Module complémentaire Open Service Mesh (OSM) dans Azure Kubernetes Service (AKS)

Open Service Mesh est un maillage de services natif Cloud léger et extensible qui vous permet de gérer et de sécuriser uniformément les environnements de microservices hautement dynamiques et de bénéficier de fonctionnalités d’observabilité prêtes à l’emploi.

OSM exécute un plan de contrôle basé sur Envoy sur Kubernetes, et peut être configuré avec des API SMI. OSM fonctionne en injectant un proxy Envoy en tant que conteneur side-car avec chaque instance de votre application. Le proxy Envoy contient et exécute des règles concernant les stratégies de contrôle d’accès, implémente la configuration de routage et capture les métriques. Le plan de contrôle configure continuellement les proxys Envoy pour garantir que les stratégies et les règles de routage sont à jour et que les proxys sont intègres.

Microsoft a lancé le projet OSM, mais il est maintenant régi par la CNCF (Cloud Native Computing Foundation).

Remarque

Avec la mise hors service d’OSM (Open Service Mesh ) par la CNCF (Cloud Native Computing Foundation), nous vous recommandons d’identifier vos configurations OSM et de les migrer vers une configuration Istio équivalente. Pour obtenir des informations sur la migration d’OSM vers Istio, consultez Conseils de migration pour les configurations Open Service Mesh (OSM) vers Istio.

Activer le composant additionnel OSM

OSM peut être ajouté à votre cluster Azure Kubernetes Service (AKS) en activant le module complémentaire OSM à l’aide d’Azure CLI ou d’un modèle Bicep. Le module complémentaire OSM fournit une installation entièrement prise en charge d’OSM qui est intégrée à AKS.

Important

En fonction de la version de Kubernetes exécutée par votre cluster, le module complémentaire OSM installe une autre version d’OSM.

Version de Kubernetes Version d’OSM installée
1.24.0 ou version ultérieure 1.2.5
Entre 1.23.5 et 1.24.0 1.1.3
Antérieure à la version 1.23.5 1.0.0

Les versions antérieures d’OSM peuvent ne pas être disponibles pour l’installation ou être activement prises en charge, si la version AKS correspondante a atteint sa fin de vie. Vous pouvez consulter le Calendrier des versions d’AKS Kubernetes pour plus d’informations sur les fenêtres de prise en charge des versions d’AKS.

Capacités et fonctionnalités

OSM fournit les fonctionnalités suivantes :

  • Sécurisation des communications entre services grâce à l’activation mutuelle TLS (mTLS).
  • Intégration des applications dans le maillage OSM grâce à l’injection automatique de side-car du proxy Envoy
  • Configuration transparente du déplacement du trafic sur les déploiements
  • Définition et exécution de stratégies de contrôle d’accès affinées pour les services.
  • Supervision et débogage des services à l’aide de l’observation et des insights relatifs aux métriques d’application
  • Chiffrement des communications entre des points de terminaison de service déployés dans le cluster
  • Activation de l’autorisation du trafic HTTP/HTTPS et TCP
  • Configuration de contrôles du trafic pondéré entre deux services ou plus pour les tests A/B ou déploiements Canary
  • Collecte et affichage des indicateurs de performance clés du trafic de l’application
  • Intégration à la gestion des certificats externes
  • Effectuez l’intégration avec des solutions d’entrée existantes telles que NGINX, Contour et Routage des applications.

Pour plus d’informations sur l’entrée et OSM, consultez les articles Utilisation de l’entrée pour gérer l’accès externe aux services au sein du cluster et Intégrer OSM à Contour pour l’entrée. Pour obtenir un exemple d’intégration d’OSM à des contrôleurs d’entrée à l’aide de l’API networking.k8s.io/v1, consultez la rubrique Entrée avec le contrôleur d’entrée Kubernetes Nginx. Si vous souhaitez en savoir plus sur l’utilisation du routage des applications web qui s’intègre automatiquement avec OSM, veuillez consulter la rubrique Routage des applications.

Limites

Le module complémentaire OSM AKS présente les limitations suivantes :

  • Après l’installation, vous devez activer la redirection Iptables pour l’adresse IP du port et l’exclusion de plage de ports à l’aide de kubectl patch. Pour plus d’informations, consultez la rubrique redirection iptables.
  • Les pods qui doivent accéder au maillage qui doivent accéder à IMDS, à Azure DNS ou au serveur d’API Kubernetes doivent avoir leurs adresses IP dans la liste globale des plages d’adresses IP sortantes exclues avec les exclusions des plages d’adresses IP sortantes globales.
  • OSM ne prend pas en charge les conteneurs Windows Server.

Étapes suivantes

Après avoir activé le module complémentaire OSM à l’aide d’Azure CLI ou d’un modèle Bicep, vous pouvez :