阿裡雲服務網格ASM公測來襲系列之二：快速建立一個服務網格ASM 執行個體

Istio社群網站提供了一個适合于初學者的Bookinfo示例，通過這個示例可以很快了解它的一些基礎概念和能力。

同樣地，在阿裡雲服務網格ASM産品中也提供了一個如何部署該Bookinfo示例的快速入門。

歡迎掃碼入群進一步交流：

操作步驟

該入門教程将會按照如下幾個步驟：

在使用服務網格 ASM 之前，您需要建立一個 ASM 執行個體。

已開通以下服務：

建立服務網格的過程中，根據不同的配置，ASM 可能會進行如下操作：

建立安全組，該安全組允許 VPC 入方向全部 ICMP 端口的通路
建立 VPC 路由規則
建立 EIP
建立 RAM 角色及相應政策，該角色擁有SLB 的全部權限，雲監控的全部權限，VPC 的全部權限，日志服務的全部權限。服務網格會根據使用者部署的配置相應的動态建立 SLB、VPC 路由規則等
建立專有網 SLB，暴露 6443 端口
建立專有網 SLB，暴露 15011 端口
在使用服務網格的過程中，ASM 會收集被托管管控元件的日志資訊用于穩定性保障

說明：您可以在已有 VPC 清單和交換機清單中選擇所需的 VPC 和交換機。如果沒有您需要的 VPC 或交換機，可以通過單擊建立專有網絡或建立交換機進行建立，請參見建立專有網絡或建立交換機

設定是否開放使用公網位址暴露 API Server。

ASM 執行個體的運作基于 Kubernetes 運作時，可以通過 API Server 定義執行各種網格資源，如虛拟服務、目标規則或者 Istio 網關等。
1. 如果選擇開放，會建立一個 EIP，并挂載到私網 SLB 上。API Server 的 6443 端口會暴露出來，您可以在公網通過 kubeconfig 來連接配接和操作叢集，進而定義網格資源。
2. 如果選擇不開放，則不會建立 EIP，您隻能在 VPC 下通過 kubeconfig 來連接配接和操作叢集，進而定義網格資源。

設定是否開放使用公網位址暴露 Istio Pilot。
1. 如果選擇開放，會建立一個 EIP，并挂載到私網 SLB 上。Istio Pilot 的 15011 端口會暴露出來，資料平面側叢集中部署的 Envoy 代理通過該公網位址連接配接到 Istio Pilot。
2. 如果選擇不開放，則不會建立 EIP，資料平面側隻能添加與該 VPC 互連的叢集，包括同一 VPC 下的叢集或者通過雲企業網連通的跨 VPC 叢集。

說明預設不開放公網位址暴露 Istio Pilot，優先通過 VPC 連通資料平面與控制平面。

可觀測性：設定是否啟用鍊路追蹤。

ASM 內建了阿裡雲鍊路追蹤服務，為分布式應用的開發者提供了完整的調用鍊路還原、調用請求量統計、鍊路拓撲、應用依賴分析等能力，可以幫助開發者快速分析和診斷分布式應用架構下的性能瓶頸，提升開發診斷效率。

說明：啟用該配置之前，您需要登入鍊路追蹤管理控制台開通鍊路追蹤服務。

流量管理：設定是否啟用服務就近通路。

服務網格ASM通過Envoy代理為應用服務提供了全局負載均衡能力，您可以在多個跨地域的ACK叢集中部署運作應用服務的執行個體。ASM将這些應用服務的運作狀況、路由和後端資訊提供給Envoy代理，使其能夠以最佳方式将流量路由至某個服務位于多個地域的應用執行個體。ASM會根據發送請求的Envoy代理位置，針對目标服務的工作負載執行個體，進行優先級排序。開啟該項功能之後，當所有執行個體都正常時，請求将保留在同一位置，即保持服務就近通路。
政策控制：設定是否啟用OPA插件。

服務網格ASM內建了開放政策代理OPA，可用于為您的應用程式實作細粒度的通路控制。例如，可以使用OPA 跨微服務實作授權等。啟用後，如同Istio Envoy代理容器一樣，OPA代理容器也會随之被注入到業務Pod中。然後，在ASM中就可以使用OPA定義通路控制政策，為分布式應用的開發者提供了開箱可用的能力，可以幫助開發者快速定義使用政策，提升開發效率。
服務協定

了解和接受服務協定，并已閱讀和同意阿裡雲服務網格服務條款和免責聲明，然後選中該選項。
單擊确定，開始執行個體的建立。

說明一個 ASM 執行個體的建立時間一般約為 2 到 3 分鐘。