在容器化日益成为中大型企业上云主流选择的情况下，容器服务如何能帮助用户更简单快捷的上云、高效可信赖的运维？为了更好的解决这个问题，CCE用户体验团队在今年进行了大量的用户现场调研，聆听用户的声音。围绕行业普遍存在的配置复杂门槛高、运维信息分散效率低、升级难度大等问题打造全新CCE体验，提出“易用：一站式集群配置，开箱即用”、“场景化：聚焦用户场景，无跳出运维管理”和“透明化：所见即所得，将复杂的过程透明化”的设计理念，同时融合了华为云全新设计语言，为用户打造集群开箱即用、异常快速高效定位、任务透明可信赖的容器化上云体验。图1 容器化体验改进为了持续提供更好的产品体验，我们非常期待您对CCE产品的评价，如果您有任何的建议，欢迎通过页面底部的“意见反馈”向我们反馈，我们会认真听取您的宝贵建议。设计语言焕新升级CCE服务控制台应用了华为云全新的设计语言，这套设计语言的核心特点是更加贴近用户使用感知、着力提升用户使用友好性、降低使用难度，围绕用户关注点构建信息展现结构，构建更加友好、便捷的使用体验。直观、聚焦：关键信息抽取，同时减少页面复杂色，清晰直观，希望可以帮助用户更聚焦重点。图2 集群列表优化场景化：基于用户实际场景的有效信息汇聚，无需跨服务跳页面。图3 云原生观测优化易用：一站式集群配置，开箱即用不少用户反馈容器技术门槛相对较高，很多繁杂的配置用户自行摸索起来，效率低。日志等一些服务的开通和使用，需要到不同的服务里多次跳转等。针对这些复杂的配置问题，我们推出配置中心。在配置中心里，将配置项进行分类，方便用户统一管理同一类型配置。针对具体的配置项，我们提供配置解释、配置建议、给出配置风险，帮助用户“自己搞定”配置。图4 配置中心优化在运维管理上，我们推出云原生观测中心，实现运维管理的开箱即用。云原生观测中心将监控、日志服务集成进CCE服务，用户可以在CCE的页面内完成监控、日志的一键开通，并且在使用过程也不需要跳出CCE服务。图5 日志管理优化场景化：聚焦用户场景，无跳出运维管理在实地拜访中，我们发现工程师近80%的工作场景都在进行运维相关的工作。而之前CCE提供的是基础的监控能力，用户需要跳转去应用运维管理服务，查看详细监控和告警。围绕查看监控、告警的场景，我们希望用户能更聚焦对应的资源对象，我们提出“以应用为中心，构筑端到端的一站式运维体验”的设计理念。围绕集群、节点、负载和Pod，我们提供融合了资源健康度和监控的独立运维页面，方便用户聚焦关注的资源。用户在一个页面即可快速评估资源健康度和异常项，同时查看各层级完成监控。图6 监控中心优化围绕告警，CCE集成了应用运维管理的告警通知和告警规则、消息通知服务的联系人管理，用户无需跳转，即可在CCE快速查看处理告警和进行配置。图7 告警中心优化透明化：所见即所得、将复杂的过程透明化像集群升级等关键操作，具体变更点及影响相对模糊，容易引起用户顾虑。对于此类操作，我们通过信息预先告知、过程可视可回退等设计理念，让用户有充分的知情权和掌控感，降低用户顾虑。以集群升级为例，由于用户未清晰感知相关原理和可能存在的影响，升级过程不感知进度细节，不敢轻易升级。本次优化中，我们通过可视化等手段预先为用户呈现讲解原地升级的概念和原理，告知用户升级对插件等功能的影响，降低用户顾虑。图8 集群升级流程展示图9 集群升级插件影响同时对于升级过程，如升级检查，拓扑图形式呈现检查过程，用户可感知资源视角的进度和异常情况。图10 集群升级过程可视化对于升级过程，用户如果遇到异常，可以随时调出伴随式监控，辅助定位问题，无需跳转查看监控。图11 集群升级过程监控未来愿景华为云CCE致力于为用户提供配置更简单、管理更便捷、流程更透明的容器服务。未来我们将持续打磨CCE的使用体验，力争为用户带来更多价值。如果您有任何的建议或意见，可以通过页面下方的反馈意见告知我们，您的任何意见对我们来说都很重要。

华为云云容器引擎（Cloud Container Engine，简称CCE）服务Kubernetes版本支持策略将进行优化，从Kubernetes 1.27版本开始，CCE将对每个社区版本均提供商用支持。CCE集群1.27版本计划于2023年10月正式商用，CCE集群1.28版本计划于2023年12月支持。图1 版本支持策略升级CCE 提供高度可扩展的、高性能的企业级Kubernetes集群。借助云容器引擎，您可以在华为云上轻松部署、管理和扩展容器化应用程序。服务体验请访问：cid:link_0云容器引擎CCE

作者：华为云云原生团队随着业务的全球化发展和应用多元化部署的趋势，越来越多的客户选择通过混合云、多云模式来进行业务部署。选择多云进行部署可以提高部署业务的基础设施稳定性，在单个供应商基础设施出现故障或者访问流量激增时，可以通过配置跨云弹性来提高业务的高可用性，同时，多云还可以避免企业的技术架构被厂商锁定。尽管使用多云的优点很多，但管理多云集群和在多云的场景下发布应用却面临诸多问题和挑战。多云场景下集群管理和应用交付的挑战1、多集群基础设施的管理及一致性发布面临的挑战。例如，在多集群场景下的网络策略的配置，TLS证书的发布及更新管理。在现代应用程序的部署步骤中，SSL/TLS证书是很重要的一环。但在部署应用程序时，管理证书的续订通常是事后才想到的。证书的生命周期从90天到13个月不等，为了保持安全访问，这些证书需要在到期前更新/重新颁发。鉴于大多数 Ops 团队工作繁杂，证书更新有时会被遗漏，这会导致应用间不能正常访问和工作。在多集群场景下，运维团队会每个供应商集群重复上述过程进行证书更新；而通过 GitOps 结合 Cert-manager[1]、Nginx Ingress Controller 可以一致的、统一的管理证书的自动化更新[2]，大大提升 Ops 团队的运维管理效率 。2、由业务场景侧需求和集群基础设施差异性带来的差异化配置挑战。根据应用程序的业务场景诉求不同，不同集群部署的业务版本，更新频率会存在不同。例如同一餐厅在不同地域的点餐系统可供给的菜单种类，菜单上新会有差异；或由于跨国公司在不同国家推广策略不同，新的业务软件仅需要部署至部分城市所在集群等。同时，由于业务部署的基础设施不同，应用程序部署到集群的底层架构、网络连接性、计算存储性能表现可能多种多样。例如同一份应用配置在被差异化渲染后可以被交付和托管在云上的CCE、EKS集群、客户本地数据中心中的集群（存在断连情况）、边缘端无人机的集群上（半连接集群）以及太空中卫星链所组成的集群（短时连接集群）。因此根据每个集群的性能指标（CPU、Memory）不同，部署业务应用的实例副本数可能会不同；根据每个集群的网络连接情况不同，设置部署业务的版本更新周期，高可用设置（访问某个服务的超时重试次数等）会产生差异；根据每个集群的使用目的不同（早期生命周期阶段的集群通常由开发人员管理，而实际的预发及生产集群的可能由客户的运维团队管理），部署业务的版本和数据库连接池等变量也会存在差异。因此当有M个应用需要交付至N个集群环境中时，差异化配置的复杂度会呈M×N维度爆炸增长。3、使用 UI 控制台方式交付应用与各厂商控制台风格各异、难以编排大规模微服务交付之间的挑战。随着微服务规模变大，依赖UI控制台进行应用交付的方式变得复杂臃肿，其交付的顺序编排依赖人工，无法做到自动化；且无法进行审计和版本控制。4、缺乏统一的应用观测视角的挑战。在多云集群场景下，当前缺乏统一的视图帮助客户查看应用在多集群的部署情况、应用的健康状态及异常状态定位。   使用UCS GitOps配置管理来交付您的多云应用     为了应对上述多云集群管理和多云应用交付的挑战，UCS 推出了基于 GitOps 理念的跨集群配置管理和应用分发的功能。通过它你可以屏蔽底层环境差异和多个管理入口，将多个集群环境的配置和治理集中于一处，以自动化的体验完成多集群基础设施的管理以及多云应用的发布及更新。GitOps 的概念最早由 Weaveworks 公司于2017年提出，指具备版本控制、拉取和合入请求能力、具备CI/CD流水线发布能力的基础设施即代码（Infrastructure as Code, IaC），是一种云原生的持续交付模型。如图1所示，它的核心是使用 Git 仓库来管理基础设施和应用的配置，并且以 Git 仓库作为更改基础设施和应用的单一事实来源，用户从其他地方（例如集群控制台或者命令行）修改的配置均会被修正。Git 仓库中的声明式配置描述了目标环境当前所需基础设施的期望状态，借助 GitOps 能力，当集群中的实际运行的配置或应用状态与 Git 仓库中定义的期望状态不匹配时，Kubernetes Reconcilers 会根据期望状态来调整当前的状态，最终使实际状态与期望状态保持一致[3]。图1：GitOps Operator 运行方式基于上述的思想和技术路线，CNCF 开源社区从17年开始至今，涌现出很多火热的持续交付项目，他们以Flux、ArgoCD等CNCF毕业项目为代表，可以将用户配置在代码仓库中的Kubernetes Manifast（Deployment、Service等Yaml文件）、Helm Chart、Kustomize、Ksonnet、Jsonnet 定义和组织的应用以自动化的方式部署、将配置变化更改到应用程序的运行时环境。UCS 的配置管理功能当前采用 Flux2 作为技术内核，并将其与 UCS 的容器舰队、集群模型进行适配。它通过简单易用的 UI 提供对华为云集群、多云集群、本地集群、附着集群和伙伴云集群进行跨命名空间、跨集群的应用分发与配置管理的能力，并在观测面板中对配置的实时状态的进行收集和展示。用户还可以将它对接到CI流水线后面，实现多云应用的 CI/CD 流水线的集成和发布。当前UCS提供如下关键能力，帮助用户实现便捷的多云交付。2.1 开箱即用的GitOps引擎，兼容主流的开源生态和体验图2：Flux2 主要组件的运行原理UCS 会为每个开启 GitOps 引擎的集群安装一个稳定开源版本的 Flux2 组件，且用户无须运维 GitOps 引擎。每个集群中的 GitOps 引擎会以Pull模式、定周期监听和拉取最新的仓库源配置信息并把最新的配置信息及时同步至集群中。如图2所示：Source-Controller 主要负责监视 Git 仓库源、Bucket 对象存储桶以及 Helm 仓库的存储配置变化，然后把最新 Commit 记录的制品包拉取至集群本地。而 Kustomize-Controller 和 Helm-Controller 则会负责监听集群本地拉取制品变化情况，其中以 Helm Chart/Helm Release 类型定义的制品会交由 Helm-Controller 进行渲染和同步至集群中；同理，按照 Kustomize 方式进行组织的制品交由 Kustomize-Controller 进行渲染和同步至集群中。2.2 丰富的多集群差异化配置能力随着部署应用的规模越来越大，部署集群的底层差异性越来越大，我们发现单一的一份配置对应一个集群的模式会变的越来繁琐和难以维护，因此面向多个集群的差异化配置策略随之出现。UCS 配置管理功能提供了两种多集群差异化配置的策略: Kustomize 和 Helm Release。Kustomize 是一个 Kubernetes 应用程序配置管理工具，它提供一种简单灵活的方式来生成 Kubernetes 资源，并可以使得这些资源在不同的环境中用不同的方式进行配置[4]。如图3所示，Kustomize 策略在 Base 目录下定义所有集群公共部署资源，然后在 Overlay 目录下描述每个集群产生差异化覆盖参数。然后在部署阶段，通过动态渲染参数将最终版本的制品交付至目标集群中。图3：Kustomize 制品组织目录示意图同理，HelmRelease 也是参考上述思路。将公共定义的资源放置在 templates 目录下，然后结合 valuesFrom/valuesFiles 等方式从 value.yaml 读取每个环境的差异化参数，满足客户差异化的配置诉求。其配置的重点在于做好定义公共部分抽象和少数变量的差异化配置，对应用本身参数属性和运维参数进行分离，减少重复编辑和维护的成本。2.3 基于Git的可审计、可持续的部署能力UCS 配置管理将 Git 仓库中最新合入的制品配置信息同步部署至纳管的多个集群中，同时对应用发布行为进行版本化管理和权限控制，提供发布回滚和版本迭代控制，并进行审计跟踪。 基于UCS GitOps+Pipeline流水线构建多云DevOps解决方案 随着 DevOps 价值观和文化的流行，越来越多的公司选择帮助开发团队分担应用程序交付的责任，他们将多云环境下的交付交给专门的运维团队来完成，让开发团队可以更加专注于应用程序的开发和构建本身[5,6]。基于 UCS GitOps+Pipeline 流水线可构建多云DevOps 的解决方案，实现多云环境下多云应用构建和发布。开发团队和运维团队可以基于 Git 工作流，将现有流程对接到华为云 CodeArts Pipeline 流水线或者企业自建的 CI/CD 流水线之上，从而拥有多云应用的业务开发、集成、测试再到多云应用的部署—全流程 DevOps 体验。具体来讲将分为以下两个阶段：1、定义和构建多云应用：开发团队进行业务的开发、测试、验证、打包软件和生成镜像。这里可以是采用华为云官方的 CodeArts Pipeline 流水线或者用户自建的 CI 流水线。然后定义每个集群交付资源的原始制品文件。2、交付多云应用：运维团队首先会根据开发团队提供的原始制品文件对部署在多个集群环境中的差异化内容进行配置。此环节需要做好定义公共部分抽象和少数变量的差异化配置，对应用本身参数属性和运维参数进行分离，减少重复编辑和维护参数的成本。然后使用 UCS GitOps 统一初始化集群所需的环境和资源，对发布步骤进行编排，通过更新配置仓库来一致的对多个集群进行自动化应用发布；同时运维团队还对应用发布行为进行版本化管理、权限控制和审计，提供发布回滚和版本迭代控制，保证业务应用的成功部署。图4：结合UCS GitOps的多云DevOps流水线下面将以一个详细的例子来解释：华为云某亚太跨国公司客户需要统一管理横跨多国的 Kubernetes 集群和进行业务发布，他们的线上商城业务应用同时运行在Hong Kong 的华为云 CCE 集群中，新加坡的亚马逊云 EKS 集群中；并且他们在马来西亚还拥有一部分自建数据中心集群供开发团队进行业务开发和测试验证。由于每个国家消费者的商品喜好差异以及当地的供应链供给不同，商城中发布的商品类别会存在差异。在原有的交付流程中，运维团队会根据每个地域的供应商集群控制面板风格、部署业务版本，业务更新频率等因素，为每个环境单独构建一条流水线独立交付；并在每次发布版本前，运维团队会与开发团队就新版本特点和每条流水线的部署细节进行详细磋商。而使用 UCS GitOps 可以大大降低交付上述流程的复杂度，如图4的解决方案中所示，客户采用多套环境共享一套 CI 流水线，并将构建的产物统一推送至华为云Hong Kong 的SWR 镜像仓库。然后通过差异化配置不同环境的部署参数，将多个环境的发布对接到华为云 CodeArts 配置仓库，实现了从本地集群测试和验证到多个生产集群的发布的无缝切换，也极大的提升了他们多云交付的效率。总结综上所述，UCS GitOps 是以 Flux2 为技术内核，将其与 UCS 的容器舰队/集群模型进行适配的多云交付平台。它通过简单易用的 UI 提供对华为云集群、多云集群、本地集群、附着集群和伙伴云集群进行跨命名空间、跨集群的应用分发与配置管理的能力，并在观测面板中对配置的实时状态进行收集和展示。它可以帮助您将多个集群环境的配置和治理集中于一处，以自动化的体验完成多集群基础设施的管理以及多云应用的发布及更新。同时 UCS 会持续关注开源社区侧多集群 GitOps 的发展趋势，并将优质特性采纳为产品的内核。在后续的版本迭代中，下列特性将会逐步支持：1、容器舰队级别的配置分发：通过对舰队内部集群进行标签化管理，完成舰队视角下应用的一键分发和统一管理。2、全面对接华为云 CodeArts Pipeline：提供全流程、更好融合体验的多云 DevOps 流水线。3、在界面中提供对接三方消息系统的应用发布状态感知能力：一方面处理来自外部系统（GitHub、Bitbucket、Harbor、Jenkins）的事件，然后通知 GitOps Toolkit 控制器有关源更改的信息；另一方面处理由 GitOps Toolkit 控制器发出的事件，然后根据事件的严重性和涉及的对象将它们转发至外部系统（Slack、Microsoft Teams、Discord、Rocker）。参考资料在 Kubernetes 环境中自动化证书管理 https://www.nginx.com/blog/automating-certificate-management-in-a-kubernetes-environment 使用 Flux 管理多集群基础设施 cid:link_0Codefresh Continuous Delivery for Kubernetes使用 Kustomize 对 Kubernetes 对象进行声明式管理  https://kubernetes.io/zh-cn/docs/tasks/manage-kubernetes-objects/kustomization/Enterprise CI CD Best PracticesGitOps-2.0 The Future of DevOps Ebook v4 

由 Istio 社区指导委员会成员和华为云云原生团队联合编著的云原生服务网格书籍《 Istio 权威指南》重磅上市！《 Istio 权威指南》包含云原生服务网格原理、实践、架构、源码四大技术篇章，内容权威、系统、详实， 凝聚华为云云原生团队在 Istio 社区及产品领域耕耘多年的长期实践和宝贵经验。华为云 CTO、CNCF CTO 联合作序，Istio 社区技术委员会（ TOC ）资深成员强力推荐。Istio服务网格是 CNCF（ Cloud-Native Computing Foundation，云原生计算基金会）定义的云原生技术的典型代表之一，向下与提供资源、运行环境结合，构建了一个懂应用、对应用更友好的基础设施，帮助下层基础设施感知上层应用，更有效地发挥资源的效能；向上以非侵入的方式提供面向应用的韧性、安全、动态路由、调用链、拓扑等应用管理和运维能力。作为服务网格技术中最具影响力的项目，Istio 从诞生之初就获得了技术圈和产业界的极大关注。CNCF 这几年的调查报告显示，Istio 一直是生产环境下最受欢迎和使用最多的服务网格。2022 年 9 月，CNCF正式接受 Istio 成为孵化项目，推动 Istio 与 Envoy 项目的紧密协作，一起构建云原生应用流量管理的技术栈，也将进一步促进 Istio 成为应用流量治理领域的事实标准。根据 Istio 官方的统计，Istio 项目已有 8800 名个人贡献者，超过 260 个版本，并有来自 15 家公司的 85 名维护者，可见Istio在技术圈和产业圈都获得了极大的关注和认可。两次年度 IstioCon活动每次都吸引了超过 4000 人参加。华为云云原生团队成员入选了每届Istio社区指导委员会，当前有 2 名指导委员会成员（全球仅 8 家公司 13 人），参与Istio社区的重大技术决策，持续引领了Istio项目和服务网格技术的发展。另外Maintainer 2 名，Member 10+ 名，Pull Request 位于全球TOP 3，中国第一，Contributions TOP 3（2.3w+）。《 Istio 权威指南》简介《 Istio 权威指南》由华为云云原生团队出品,旨在打造业界最系统权威的 Istio  图书。书籍分为上、下两册，上册包括原理篇、实践篇；下册包括架构篇和源码篇，总计 26 章。▍原理篇 1～7 章介绍 Istio 的相关概念、原理，并详解 Istio 丰富的流量治理、可观测性、安全等方面的原理、机制和用法细节。▍实践篇 8～14 章基于一个统一用例实践 Istio 的流量治理、灰度、韧性、安全、可观测性、多基础设施、网关等典型应用。▍架构篇 15～20 章从架构的视角详解 Istio 各控制面组件和数据面组件的设计思想、数据模型和核心工作流程。▍源码篇 21～26 章从代码的视角详解 Istio 各控制组件面和数据面组件的代码结构、代码流程和关键代码片段。书籍特色1. 权威详实内容获 Istio 社区和 Istio TOC Lin Sun 和 John Howard 代表 Istio 社区强力推荐《 Istio 权威指南》基于 Istio 最新版本和架构，通过 4 篇、26 章、近 1000 页的篇幅，全面、系统、详细、深入地解析 Istio 原理、用法、实践、架构和源码。能帮助读者从多个维度理解云原生、服务网格、Istio 等相关技术，掌握基于 Istio 实现应用流量管理、零信任安全、应用可观测性等能力的相关原理与实践。Istio 社区最资深权威的两位 TOC 委员 Lin Sun 和 John Howard 代表Istio 社区推荐书籍的权威、系统的内容，建议初学者、云原生技术专家或 Istio 社区的贡献者均可阅读、参考。2.450+ 详实原创图表解析关键原理、架构、模型和代码流程，归纳易错技术点全书运用 450+ 原创图表多维度洞察、归纳、总结Istio原理、架构、流程和易错技术要点。践行了作者著书的理念不是搬运知识，而是将自己的实际的经验总结和提炼出来，由浅入深地帮助广大从业者学习服务网格的机制，掌握Istio的用法，特别是帮助从业者理解其中容易出错，最难理解的技术细节。如图书第4章可观测性中详细介绍了Istio访问日志的内容，特别剖析了 6 个重要的可以帮助运维人员识别一个请求通过服务网格数据面的每个阶段的耗时细节、定位耗时的瓶颈时间段。考虑到大多数从业者很容易混淆这几个个时间段的细微的差别，特提供了图4-26展示了代理观测记录每个时间段的起始时间点和终止时间点。并通过表4-4对每个时间字段进行了解析。这种通过原创的细致入微的图、表和文字结合的立体表达详解易错核心技术点的方式，获得了Istio TOC成员， Director of Open Source at Solo.io Lin Sun的赞誉和强烈推荐。▲ 图4-26  访问日志中的重要时间字段解析▼ 表4-4  访问日志中的重要时间字段解析3.国内首本系统详细解析 Istio 和 Envoy 架构和源码的技术书籍，Istio 和Envoy 社区核心维护者周礼赞强力推荐此外当前服务网格的使用越来越普及，国内甚至业界介绍服务网格控制面的资料书籍已经慢慢丰富起来，但是详细介绍架构和源码实现的书籍，特别是网格数据面的资料一直较少。很多从业朋友反映业务进入深水区后网格数据面知识的欠缺阻碍了其日常的工作的开展和生产中问题定位定界。《 Istio 权威指南》下册着重介绍 Istio 的架构与源码，特别规划了4章系统详细地解析 Istio-proxy 和 Envoy 架构和源码。书籍的详实内容获得 Istio 和 Envoy 社区核心维护者周礼赞强力推荐。4. 大量原创实践内容覆盖典型应用和常见疑难问题，指导客户解决生产问题《 Istio 权威指南》内容源于华为云云原生团队在 Istio 社区及产品领域耕耘多年的长期工程实践、客户实际案例的宝贵经验积累。在全面系统、深入介绍 Istio 原理、架构的同时，更注重内容对读者具体工作的实用价值。本书规划了独立的实践篇涵盖 Istio 的典型的流量、安全和可观测性实践案例。另外，近些年用户深入使用 Istio 的过程中，访问日志的应答标记的含义对大部分资深使用者造成困扰，但是国内外的资料包括社区官方都很简单，只是一般性的简单描述。上册附录规划了原创的访问日志实践，涵盖了大部分 Istio 访问日志中典型应答标记的实际案例，帮助读者理解其用法。此外下册附录规划了多个华为云云原生团队生产中积累的有借鉴意义的疑难案例，帮助读者参照解决实际工作中碰到的类似问题。5. 华为云 CTO、CNCF CTO、信通院、IEEE/CCF Fellow 等顶级领域专家推荐《 Istio 权威指南》目标成为 Istio 技术的权威、系统的技术书籍，持续帮助读者朋友学习了解 Istio ，解答大家使用 Istio 中的具体问题，推动云原生技术的发展。该目标和成果得到了华为云 CTO 张宇昕、CNCF CTO Chris Aniszczyk 的大力支持，二位 CTO 为《 Istio 权威指南》联合作序，倾力推荐。中国信通院云计算与大数据研究所何宝宏所长、上海交通大学致远讲席教授IEEE/CCF Fellow 过敏意老师、CNCF 中国区总监  Keith Chan、华为云首席产品官方国伟分别结合研究所、学术界、CNCF和产业界的背景和技术趋势表达了对Istio和其所属的服务网格技术的观点，也给出了读者使用本书的建议 。6. Istio 社区和华为云产品专家联合出品《 Istio 权威指南》由 Istio 社区亚洲唯一的从首届至今的指导委员会成员、国内最早的 Istio 商用网格服务开发团队成员联合出品，内容涵盖 Istio 的原理、实践、架构与源码。内容来源于作者在 Istio 社区设计开发大颗粒功能的经验总结，结合华为云云原生团队在云服务开发、客户解决方案构建、生产环境运维等日常工作中的实践、思考和总结，打造国内最权威、系统、详实、实用的Istio书籍。图书是《云原生服务网格 Istio 原理、实践、架构与源码解析》核心作者张超盟、徐中虎又一力作 。作者简介张超盟华为云应用服务网格架构师，先后负责过华为云容器应用运维、微服务平台、云服务目录、云服务可靠性、服务网格等云原生产品的架构设计与开发工作，主导过多个重大项目的云原生和微服务化生产落地。在服务网格、Kubernetes容器服务、微服务架构、应用性能管理、大数据、DevOps工具等方面有深入的研究与实践。Istio社区成员，KubeCon、IstioCon及ServiceMeshCon等会议的演讲者，技术图书作者。早期曾在中铁一局从事路桥建设工作。徐中虎华为云云原生团队核心成员，开源技术专家，服务网格Istio核心维护者，Istio社区指导委员会成员，Kubernetes项目核心贡献者，批量计算项目Volcano的核心维护者，拥有丰富的开源工作经验。主要研究方向有微服务架构、服务网格、容器编排平台Kubernetes和未来的分布式云原生架构等。在分布式系统的性能优化、高可靠和可扩展方面研究深入、经验丰富。张伟华为云服务网格数据面资深专家，拥有18年架构设计与开发经验，先后就职于亿阳信通、加拿大北电网络（中国）、甲骨文、Polycom、阿里巴巴及华为等公司。作为核心开发人员开发过传输网管系统、Tuxedo交易中间件、ts-server多媒体转码服务、GTS高性能事务云服务、sc高性能注册中心、ASM数据面等多个产品，现主要负责华为云ASM服务网格数据面代理产品的设计与开发工作。冷雪西安电子科技大学杭州研究院菁英副教授，浙江大学工学博士。主要研究方向有云原生安全、性能优化和智能运维等，致力于解决云网环境下的关键问题。曾参与并主持多项科研项目，在国际顶级会议和期刊上发表多篇论文并获得多项授权专利。我们衷心地希望书中的内容能对您和您日常工作带来帮助，也很期待有机会就其中的内容和您进行技术交流。假如你需要更深入地学习服务网格及云原生相关技术，欢迎关注我们的容器魔方公众号（参见本书封面），一起学习并讨论服务网格及云原生领域最新的技术进展。行业权威著作，云原生服务网格从业白皮书华为云、CNCF CTO联合作序——华为云CTO  张宇昕《 Istio 权威指南》来源于华为云云原生团队在云服务开发、客户解决方案构建、Istio社区特性开发、生产环境运维等日常工作中的实践、思考和总结，旨在帮助技术圈的更多朋友由浅入深且系统地理解 Istio 的原理、实践、架构与源码。书中内容在描述 Istio 的功能和机制的同时，运用了大量的图表总结，并深入解析其中的概念和技术点，可以帮助读者从多个维度理解云原生、服务网格等相关技术，掌握基于 Istio 实现应用流量管理、零信任安全、应用可观测性等能力的相关实践。无论是初学者，还是对服务网格有一定了解的用户，都可以通过本书获取自己需要的信息。——CNCF CTO  Chris Aniszczyk本书提供了全面且实用的 Istio 指南，涵盖了 Istio 的核心概念、特性和对 xDS 协议等主题的深入探讨，还包括对 Envoy 和 Istio 项目源码的深入解析，这对潜在贡献者非常有用。无论您是软件工程师、SRE 还是云原生开发人员，本书都将为您提供利用 Envoy 和 Istio 构建可扩展和安全的云原生应用所需的知识和技能。行业大咖倾力推荐——中国信通院云计算与大数据研究所所长 何宝宏服务网格作为一种管理服务间通信的核心技术，为服务间的调用带来了便捷且可靠的流量、安全和可观测性等能力。中国信通院作为ICT领域的国家智库，率先牵头制定了服务网格相关标准。华为作为云原生领域的中坚力量，在该标准的编写过程中发挥了重要作用。《Istio权威指南》作为关于服务网格的专业技术书籍，对国内云原生技术的普及和发展将起到极大的促进作用。——上海交通大学致远讲席教授、国家杰青、IEEE/CCF Fellow 过敏意云原生技术已经成为产业界和学术界共同关注的热点之一。Istio作为一种集成了流量、安全和可观测性等能力的透明服务治理平台，有效推动了服务网格在云生产环境下的应用和普及。《Istio权威指南》作为服务网格领域的权威书籍，凝聚了华为云云原生团队长期积累的丰富经验，深入浅出地对Istio相关技术进行了详尽解读，值得相关从业者、技术爱好者和学术研究者阅读、参考。——CNCF中国区总监、Linux Foundation亚太区战略总监Keith ChanIstio一直是云原生领域非常流行的开源项目，是CNCF组织的各类会议上的热门话题。华为一直是云原生开源活动的积极参与者，在Kubernetes和Istio等项目中都有着突出的贡献。《Istio权威指南》由华为云云原生团队倾力打造而成，其理论结合实践，深度剖析了Istio的原理、实践、架构与源码，对于企业面向云原生架构转型及践行服务网格落地都有很大的参考意义。——华为云首席产品官 方国伟云原生极大地提高了企业应用生产力，缩短了应用的上市时间，降低了应用上云的门槛。服务网格作为云原生技术栈中的关键技术之一，可以帮助用户打造“以应用为中心”的云原生基础设施。《Istio权威指南》作为系统介绍服务网格技术Istio的权威书籍，来源于在Istio社区及产品领域耕耘多年的华为云云原生团队的长期工程实践和宝贵经验积累，值得广大云原生技术爱好者阅读、参考。——Istio TOC Member、Director of Open Source at Solo.io Lin SunIstio是当今生产环境下非常流行、部署非常广泛的服务网格技术。如果您已经了解Istio并想从基本概念、API、架构、各组件的源码等方面深入研究Istio，那么《Istio权威指南》适合您阅读。本书是非常实用且有深度的Istio书籍，其涵盖的Istio组件工作流和图表的深度给我留下了特别深刻的印象。希望您喜欢本书，我代表Istio社区祝您学习Istio愉快！——Istio TOC Member、Istio SC Member、Google Staff Engineer John Howard加入CNCF，标志着Istio向服务网格的事实标准迈出了关键的一步。《Istio权威指南》由来自Istio指导委员会、Istio社区等的Istio资深开发人员编写而成，是非常全面、深入地讲解Istio技术的权威书籍，内容涵盖Istio的原理、实践、架构与源码。无论您是初学者、云原生技术专家，还是Istio社区的贡献者，都可以从中获益。——Envoy与Istio核心维护者、Tetrate.io前创始工程师 周礼赞《Istio权威指南（上）》讲解了Istio的原理、各种使用场景和优秀实践，《Istio权威指南（下）》讲解了Istio控制面和数据面Envoy的内部架构及源码实现。这两本书深入剖析了Istio的内部架构，可以帮助您更充分地理解Istio的工作原理和实现，从而更好地应用Istio并进行Istio调优。凝聚深厚实践 行业问鼎力作华为云应用服务网格华为云在2018年率先发布全球首个Istio商用服务：应用服务网格 ASM （Application Service Mesh，）。ASM 是一个拥有高性能、高可靠性和易用性的全托管服务网格。作为分布式云场景中面向应用的网络基础，ASM 对多云、混合云环境下的容器、虚拟机、Serverless、传统微服务、Proxyless 服务提供了应用健康、韧性、弹性、安全性等的全方位管理。华为云应用服务网格（ASM）也已服务于互联网、汽车、制造、物流、政府等多个行业的近千家客户，满足不同行业客户的业务诉求。华为云将在此过程中积累的丰富经验，转化为代码贡献给Istio社区，极大地推动了 Istio 技术的成熟和社区的快速发展。华为云 Istio 社区贡献作为最早一批投身云原生技术的厂商，华为云是 CNCF 在亚洲唯一的初创成员。华为云云原生团队从 2018 年开始积极参与 Istio 社区的活动，参与 Istio 社区的版本特性设计与开发，基于用户的共性需求开发了大量大颗粒特性。团队成员入选了每届 Istio 社区指导委员会，当前有2名指导委员会成员（全球仅 8 家公司 13 人），参与 Istio 社区的重大技术决策，持续引领了 Istio 项目和服务网格技术的发展。另外 Maintainer 2 名，Member 10+名，Pull Request 位于全球TOP 3，中国第一，Contributions TOP 3（2.3w+）。华为云云原生团队华为云云原生团队创建于2013年，是国内较早从事云原生研究的团队之一，也是CNCF的初创成员和白金会员。华为云在容器、服务网格、微服务等云原生技术领域都有着深厚的沉淀，拥有10多名CNCF项目维护者，对 Kubernetes、Istio 等核心项目的贡献一直位居全球前列，并向CNCF捐献了 KubeEdge、Volcano、Karmada 等知名项目。基于 CNCF 的开源生态，华为云还打造了云容器引擎、云容器实例、应用服务网格等一系列优质的商业化云原生服务。为进一步推广云原生技术，加速云原生在行业中落地，华为云联合CNCF、中国信通院及业界云原生技术精英们成立了全球云原生交流平台——创原会。创原会创原会是 CNCF、中国信通院、华为云及业界云原生技术精英们联合成立的全球云原生交流平台，旨在通过研究前沿云原生技术及共享产业落地实践，探索云原生与业务融合的无限可能。自 2020 年成立至今，创原会已在中国、东南亚、拉美、欧洲陆续成立分会并举办活动 50 余场，为全球技术精英们提供了一个优质、高端、开放的交流平台，并吸纳近 300 位 CTO、技术总监成为会员，极大地促进了云原生在全球各行业中的普及和落地。对本书感兴趣，可链接直达− 《Istio权威指南（上）：云原生服务网格Istio原理与实践》(张超盟，徐中虎，张伟，冷雪) https://item.jd.com/13938046.html− 《Istio权威指南（上）：云原生服务网格Istio架构与源码》(张超盟，徐中虎，张伟，冷雪)https://item.jd.com/13938046.html添加小助手k8s2222进入华为云云原生团队Istio技术交流群

在openEuler 22.03-lts aarch64版本的容器中安装rsyslogd，根据centos的类似方法，将以下注释 #### MODULES ####  #module(load="imuxsock"           # provides support for local system logging (e.g. via logger command) #       SysSock.Use="off") # Turn off message reception via local log socket;                           # local messages are retrieved through imjournal now. #module(load="imjournal"            # provides access to the systemd journal #       StateFile="/run/log/imjournal.state") # File to store the position in the journal #module(load="imklog") # reads kernel messages (the same are read from journald) #module(load="immark") # provides --MARK-- message capability  #$imjournalRatelimitInterval 0 启动rsyslog报错 [root@fb4bbc75f4e5 ~]# rsyslogd  rsyslog startup failure, child did not respond within startup timeout (60 seconds) 求助解决

问题现象：docker login 时报错：x509: certificate signed by unknown authority可能原因：1. docker没有配置insecure-registries解决方法：1. 查看docker代理是否已配置cat /proc/`pidof dockerd`/environ | grep -a PROXY或者docker info2. 修改docker代理mkdir /etc/systemd/system/docker.service.d/# 根据docker版本不同，代理配置文件也可能不同，根据实际进行选择编辑vim /etc/systemd/system/docker.service.d/http-proxy.conf# 添加如下内容，根据实际环境进行代理地址配置[Service]Environment="HTTP_PROXY=xx.xx.xx.xx"Environment="HTTPS_PROXY=xx.xx.xx.xx"3. 修改daemon.json文件vim /etc/docker/daemon.json添加如下内容：{        "insecure-registries": ["ascendhub.huawei.com"]}保存文件 :wq4. 重启dockersystemctl daemon-reloadsystemctl restart docker

一、容器化改造方案租户对应一个企业。租户中内置多级VDC对企业不同部门。每个部门可以设置配额，对应部门对资源的预算。支持VDC多级管理，最大5级。 部门内的项目，对应project，一个用户可以在不同项目内。一个项目也可以有不同用户。用户可以跨部门关联项目 部门的资源归属到项目中 VDC内用户有不同角色，分别为VDC管理员，负责本级及下级的产品、角色、用户、Project管理、资源管理； VDC业务员：负责资源使用二、高可用规划结合华为云，给出高可用规划的简单说明：1 、分别在2个AZ中部署两套CCE集群，K8S Master采用本地3节点高可用部署；2、应用AZ内高可用部署，通过ClusterIP服务调用不跨AZ。3、应用发布LoadBalancer类型的Service对接到集群所在AZ的融合ELB服务实例；4、应用通过VIP访问数据库，数据库自动切换应用不感知。5、支持多AZ动态容器存储，根据pod所在AZ创建数据卷。三、 网络规划1、集群内部应用默认可通过ClusterIP类型服务相互通信。k8s集群内置DNS服务，服务间访问可以通过IP或域名访问，请画出K8S集群内部应用网络互通示意图：2、Step1：kube-proxy、core-dns从Master中kube-apiserver订阅service，POD2的Service创建时，kube-proxy刷新本节点iptables，core-DNS更新路由数据。3、Step2：Pod2通过域名访问Pod4的service4，发起到core-dns查询请求，并获取对应的ClusterIP（如果使用ClusterIP直接访问则忽略这一步骤）4、Step3：Pod2发送业务报文，目的地址为获取到的ClusterIP。容器网络根据目的地址匹配策略后进行VxLAN封装，封装源地址为容器所在的VM IP地址，目的地址为目的容器所在VM IP，并将报文发给I层vSwitch，然后转发至目的容器所在VM，容器网络解VxLAN封装后，根据ClusterIP将业务报文发送目的service及POD。四、 云原生概念五、 微服务微服务目的是有效的拆分应用，实现敏捷开发和部署 。1、按照业务来划分服务，单个服务代码量小，业务单一，易于维护2、每个微服务都有自己独立的基础组件，例如数据库、缓存等，且运行在独立的进程中3、微服务之间的通信是通过HTTP 协议或者消息组件，且具有容错能力4、微服务有一套服务治理的解决方案，服务之间不相合，可以随时加入和剔除服务5、单个微服务能够集群化部署，并且有负载均衡的能力6、整个微服务系统应该有一个完整的安全机制，包括用户验证、权限验证、资源保护等7、整个微服务系统有链路追踪的能力8、有一套完整的实时日志系统微服务具备功能：1、服务的注册和发现2、服务的负载均衡3、服务的容错4、服务网关5、服务配置的统一管理6、链路追踪7、实时日志六、 CI/CDCICD实现了从代码开发、代码编译、部署、测试、发布上线自动化的一套自动化构建的流程；CI即持续集成(Continuous Integration)，它实现代码合并、构建、部署、测试都在一起，不断地执行这个过程，并对结果进行反馈。CD包含两个含义：持续交付(Continuous Delivery)，它实现部署到生产环境，给用户进行使用；持续部署(Continuous Deployment)，它实现部署到生产环境七、 DevopsDevOps就是让开发人员和运维人员更好地沟通合作，通过自动化流程来使得软件整体过程更加快捷和可靠八、 容器化容器是通过一种虚拟化技术来隔离运行在主机上不同进程，从而达到进程之间、进程和宿主操作系统相互隔离、互不影响的技术。这种相互孤立进程就叫容器，它有自己的一套文件系统资源和从属进程。九、 使用容器引擎客户端上传镜像顺序开始——安装容器引擎——构建镜像——创建组织——连接容器镜像服务——上传镜像——结束十、 CCE引擎优势

isula启动容器报错Execute operation failed系统环境是openEuler 20.03 (LTS)，isula版本是2.0.3,Kernel Version: 4.19.90-2003.4.0.0036.oe1.aarch64

一.存储容器化存储作为基础组件，直接和本地盘打交道，所以我们一个要解决的事情就是如果Kubernetes 管理本地盘。kubernetes管理本地盘通过官方提供的local-static-provisioner自动生成LocalPersistentVolume管理磁盘。LocalPersistentVolume是Kubernetes提供的一种管理本地盘的资源。5.1 使用Statefulset管理存储容器通过statefulset 管理有状态的存储服务， 为每个pod分配一个单独的磁盘可以使用volumeClaimTemplates给每个pod生成唯一的pvc，具体规则{podName}，事先准备好PVC 和 PV，通过Statefulset 我们就可以把我们的存储托管到云上了。另外借助daemonset，可以把我们gateway模块部署到每一个node上面。处理云存储的请求。5.2 存储容器化的收益1）降低运维成本基于Kubernetes和statfulset获得了滚动更新，灰度更新，健康检查，快速扩容等功能，只需要一组yaml文件就可以快速搭建一个集群，相比于传统写ansible脚本部署的方式复杂度大大降低。2）降低开发运维成本由于Kubernetes把存储抽象成StorageClass PersistentVolume PersistentVolumeClaim。我们可以通过他们管理我们的存储资源，基于Kubernetes lable的过滤功能，可以实现简单的关系查询，通过PVC与PV管理存储资源，减少管理端的开发。定位问题也能通过POD信息快速定位到问题机器和问题云盘。而且接入Kubernetes生态上的prometheus后，监控告警也能快速开发。3）隔离性增强docker限制cpu memory使用，减少进程之间资源互相干扰，进一步提升资源利用率。在做流媒体容器化过程中，各个系统 Portal 平台、中间件、ops 基础设施、监控等都做了相应的适配改造，改造后的架构矩阵如下图所示。Portal：流媒体 的 PaaS 平台入口，提供 CI/CD 能力、资源管理、自助运维、应用画像、应用授权(db 授权、支付授权、应用间授权)等功能。2.运维工具：提供应用的可观测性工具, 包括 watcher（监控和报警）、bistoury （Java 应用在线 Debug）、qtrace（tracing 系统）、loki/elk（提供实时日志/离线日志查看）。中间件：应用用到的所有中间件，mq、配置中心、分布式调度系统 qschedule、dubbo 、mysql sdk 等。3.虚拟化集群：底层的 K8s 和 OpenStack 集群。4.Noah：测试环境管理平台，支持应用 KVM/容器混合部署。一．CI/CD 流程改造主要改造点:应用画像: 把应用相关的运行时配置、白名单配置、发布参数等收敛到一起，为容器发布提供统一的声明式配置。授权系统: 应用所有的授权操作都通过一个入口进行，并实现自动化的授权。K8s 多集群方案: 通过调研对比，KubeSphere 对运维优化、压测评估后也满足我们对性能的要求，最终我们选取了 KubeSphere 作为多集群方案。二.中间件适配改造改造关注点：由于容器化后，IP 经常变化是常态，所以各个公共组件和中间件要适配和接受这种变化。Qmq组件改造点：Broker端加快过期数据的处理速度。原因:由于IP变化频繁，对于一个主题有几百个甚至上千个的IP订阅，会产生很多文件Qconfig/Qschedule组件改造点：按实例级别的推送、任务执行在容器场景下不建议使用 。原因:因为IP经常变化，在容器化场景下发布、pod驱逐等都会导致IP变化，按实例维度推送没有意义Dubbo组件改造点：更改上线下线逻辑，下线记录由永久节点改为临时节点。 原因:上下线机制加上频繁的IP变更会导致zookeeper上产生大量的过期数据Openresty改造点：监听多K8s集群的endpoint变更，并更新到upstream; KVM、容器server地址共存，支持KVM和容器混合部署;三、应用平滑迁移方案设计为了帮助业务快速平滑地迁移到容器，制定了一些规范和自动化测试验证等操作来实现这个目标。1.容器化的前置条件: 应用无状态、不存在 post_offline hook（服务下线后执行的脚本）、check_url 中不存在预热操作。2.测试环境验证: 自动升级 SDK、自动迁移。我们会在编译阶段帮助业务自动升级和更改 pom 文件来完成 SDK 的升级，并在测试环境部署和验证，如果升级失败会通知用户并提示。3.线上验证: 第一步线上发布，但不接线上流量，然后通过自动化测试验证，验证通过后接入线上流量。4.线上 KVM 与容器混部署：保险起见，线上的容器和 KVM 会同时在线一段时间，等验证期过后再逐步下线 KVM。5.线上全量发布: 确认服务没问题后，下线 KVM。6.观察: 观察一段时间，如果没有问题则回收 KVM。

一、容器和虚拟化的联系容器和虚拟化相比容器比虚拟机小很多，通常是MB级，所需的硬件资源也少很多，虚拟机是GB级，意味着一台物理机器可以承载的容器比虚拟机要多的多。容器可以在几秒甚至几毫秒内启动，相比之下，虚拟机启动时间比较长。容器是共享主机的操作系统，因为所有应用必须在统一操作系统上运行。相比，虚拟机可以运行不同的操作系统。使用容器只需对容器主机的操作系统进行补丁和更新，而虚拟机需对每个操作系统进行补丁和更新。如果一个容器导致容器主机操作系统崩溃，则在该主机上运行的所有容器都将失败。容器主机的操作系统内核中的安全漏洞将影响其所托管的所有容器。使用场景虚拟机非常适合传统的资源密集型单片应用程序，尤其是准备将这些应用程序移至云中时。容器更适合承载web服务中使用的微服务。不仅如此，容器和虚拟机也可以共存，容器可以在虚拟机中运行，企业可以利用现有的虚拟化基础设施来管理其容器。

1：获取参考资料一、在浏览器地址栏输入hub.docker.com 访问dockerhub官网。二、搜索框内输入要下载的镜像，我们这里下载的是nginx三、点击搜索出来的第一个nginx，进入详情页面四、详情页面介绍1：打了一标签，说明这是一个官方镜像。DOCKER OFFICIAL IMAGE，还有下载量 1B+ （代表10亿+），还收收藏量。2：右侧这个，如果我们要使用这个镜像该如何下载镜像3: 镜像所提供的tags，我们在使用镜像的过程中，我们要选择使用哪个镜像，什么什么版本的镜像，那么我们就要看一下下面这些tags，这些tags是否能够满足我们的需求，如果可以满足，我们就直接使用，如果不能满足我就要自己去制作镜像。另外在我们这些tags中都对应了一个dockerfile links，你点击这些文件就能看到这些dockerfile文档应用的方式，方法。4：【文档中的重点】，是我们如何部署这个nginx的基础$ docker run --name some-nginx -v /some/content:/usr/share/nginx/html:ro -d nginx运行一个niginx应用的容器，docker run 然后-name 给容器起一个名字，名字自定义。这里有一个-v选项，这个选项是干什么的呢？把宿主机的某个目录（/some/content），挂载到容器当中的某个目录（/usr/share/nginx/html）当中去，并且定义它的读写权限（:ro），并且以非交互式的方式运行（-d）这个命令执行完，只能在宿主机中访问nginx相关的应用。不能跨域docker host来访问它。$ docker run --name some-nginx -d -p 8080:80 some-content-nginx如果需要跨dockerhost访问，就需要用到这个方法，把我们容器中的80端口映射到宿主机的8080，后面加上它的镜像就可以了。这样我们就能通过宿主机的8080端口来访问nginx2：运行Nginx应用容器不暴露端口不在docker host暴露端口# docker run -d --name nginx-server -v /opt/nginx-server:/usr/share/nginx/html:ro nginx 664cd1bbda4ad2a71cbd09f0c6baa9b34db80db2d69496670a960be07b9521cb查看进行 # docker ps CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 664cd1bbda4a nginx "/docker-entrypoint.…" 4 seconds ago Up 3 seconds 80/tcp nginx-server查看容器的IP地址 # docker inspect 664 | grep IPAddress "SecondaryIPAddresses": null, "IPAddress": "172.18.0.1", "IPAddress": "172.18.0.1",在本机使用crul命令进行访问，为什么访问后是403呢？因为我们挂载过去后/opt/nginx-server下面并没有文件。# curl http://172.18.0.1403 Forbiddennginx/1.21.6我们使用echo 把nginx is working 添加到/opt/nginx-server/index.html中去# ls /opt nginx-server # echo "nginx is working" > /opt/nginx-server/index.html重复访问，发现可以重新访问# curl http://172.17.0.1 nginx is working

↵AR502H系列网关的容器是开放的，用户可以根据自身要求来定制，本文介绍如何制作出一个带有Python3运行环境的lxc容器。一，容器制作环境搭建环境制作方法在此不再赘述，请参考《软件二次开发指南》相关章节进行搭建《软件二次开发指南》：cid:link_0二、修改制作容器脚本1、修改编译环境中的/usr/local/bin/create-rootfs的脚本，以完成安装python如上图，在脚本178行左右末尾添加python3 python3-pip2、添加py运行库如上图在脚本185行左右添加如红框内容，该部分可按需添加这里的pip3 install 后建议指定为国内源以保证网络质量三、制作容器按照正常步骤制作容器，制作出的容器就带有python3环境了后记：也可使用相同方法，在容器中安装如gdb等调试工具

在国产系统麒麟10上 搭建k8s 虚拟网络（etcd+flanneld），检查系统配置，路由转发，防火墙等相关配置没有问题，检查 etcd ，flanneld配置没有问题，日志输出信息正确，但就是不能建立跨主机的虚拟网络通信，请帮忙看下是什么原因。

open Euler下isula容器网络配置，crictl runp pod-config.json失败 显示load podSandboxConfig: config at pod-config.json not foundpod-config.json文件在根目录下/CRI/pod-config.json 内容为 { "metadata": { "name": "nginx-sandbox", "namespace": "default", "attempt": 1, "uid": "hdishd83djaidwnduwk28bcsb" }, "log_directory": "/tmp", "linux": { } }daemon.json位置在/etc/isulad/ 配置内容为：{ "group": "isulad", "default-runtime": "lcr", "graph": "/var/lib/isulad", "state": "/var/run/isulad", "engine": "lcr", "log-level": "ERROR", "pidfile": "/var/run/isulad.pid", "log-opts": { "log-file-mode": "0600", "log-path": "/var/lib/isulad", "max-file": "1", "max-size": "30KB" }, "log-driver": "stdout", "hook-spec": "/etc/default/isulad/hooks/default.json", "start-timeout": "2m", "storage-driver": "overlay2", "storage-opts": [ "overlay2.override_kernel_check=true" ], "registry-mirrors": [ ], "insecure-registries": [ ], "pod-sandbox-image": "", "image-opt-timeout": "5m", "image-server-sock-addr": "unix:///var/run/isulad/isula_image.sock", "native.umask": "secure", "network-plugin": "", "cni-bin-dir": "", "cni-conf-dir": "", "image-layer-check": false, "use-decrypted-key": true, "insecure-skip-verify-enforce": false }

用过sudo yum install -y iSulad 安装的isula在跟华为论坛帖子配置cni过程中，crictl runp pod-config.json 失败，报错：load podSandboxConfig: config at pod-config.json not found通过systemctl status isulad检查i酥啦状态，发现报错：isulad[4268]: isulad 20221030202454.588 ERROR src/connect/client/grpc/grpc_isula_image_client.cc:run:137 - error_code: 14: failed to connect to all addresses早重新安装isula后直接检查状态仍然报错，求助