FAA Framework: A Large Language Model-Based Approach for Credit Card Fraud Investigations

最新推荐文章于 2025-11-25 12:11:01 发布
最新推荐文章于 2025-11-25 12:11:01 发布
阅读量108 收藏
点赞数 2
CC 4.0 BY-SA版权
分类专栏: LLM Daily 文章标签: 语言模型 人工智能 自然语言处理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/c_cpp_csharp/article/details/148739460

在这里插入图片描述

文章主要内容总结

本文提出了一个基于大语言模型(LLM)的信用卡欺诈调查框架FAA(Fraud Analyst Assistant),旨在解决人工调查中警报疲劳、流程复杂和证据记录繁琐等问题。FAA框架利用多模态LLM的推理、代码执行和视觉分析能力,自动化完成欺诈调查的七个核心步骤,包括规划、证据收集、数据分析和报告生成。

通过对Sparkov和CCTD数据集的500例欺诈调查进行评估,结果显示FAA框架平均仅需7个调查步骤,且收集的证据中71-72%对欺诈嫌疑有高或极高影响,所有证据均具相关性且无逻辑矛盾。此外,基于FAA报告的欺诈检测模型F1分数达98-99%,证明其可靠性。研究还表明,引入视觉代理可提升证据质量和调查效率,但会增加token消耗。

文章创新点

  1. 全自动化调查框架:首次实现信用卡欺诈调查全流程自动化,从证据收集到报告生成,减少人工干预。
  2. LLM任务转换方法:将调查步骤拆解为LLM可执行的规划、信息收集和分析任务,结合代码执行与视觉分析能力。
  3. 新型评估指标:提出证据质量评分体系,从欺诈嫌疑影响、相关性、新知识贡献和逻辑一致性四个维度量化评估。

英文原文翻译

了解本专栏 订阅专栏 解锁全文 超级会员免费看
Substrate Tutorials:Start a Private Network (multi-node)
yzpbright的博客
06-28 4002
https://substrate.dev/docs/en/tutorials/start-a-private-network/
MPB:林科院袁志林组-​栎类外生菌根形态学特征描述
刘永鑫的博客——宏基因组公众号
02-02 3433
为进一步提高《微生物组实验手册》稿件质量,本项目新增大众评审环节。文章在通过同行评审后,采用公众号推送方式分享全文,任何人均可在线提交修改意见。公众号格式显示略有问题,建议电脑端点击文末...
【转】CLSID:6BF52A52-394A-11d3-B153-00C04F79FAA6 play-music
weixin_38170468的博客
06-11 5371
【转】CLSID:6BF52A52-394A-11d3-B153-00C04F79FAA6 CLSID:6BF52A52-394A-11d3-B153-00C04F79FAA6 CLSID:6BF52A52-394A-11d3-B153-00C04F79FAA6 <object classid="CLSID:6BF52A52-394A-11d3-B153-00...
"errcode":40029,"errmsg":"invalid code, hints: [ req_id: 2Hlcfz4ce-44Ld_a ]"
ailian_f的博客
05-23 4156
问题出现的原因: 在创建项目的时AppId使用的是测试号,这个测试号在project.config.json文件中有相应的配置。 然而我在服务器断端的使用的是注册号的APPId,这样就导致小程序访问是的AppID与后台服务端访问是的APPId不一致,才导致这样的问题出现。 解决方案: 修改project....
遥感大模型汇总
shenfenxihuan的博客
02-05 7789
简介:提出了一种称为RingMo-SAM的多模态遥感图像分割的基础模型,它不仅可以分割光学和SAR遥感数据中的任何内容,还可以识别对象类别。此外,它可以通过参考对象的空间坐标,在视觉上将其响应中的对象接地。提高了SAM在遥感图像上的分割准确性,凸显了 SAM 在遥感图像中部署的潜力,并减少了手动注释的需求。为了处理RS图像中的大尺寸和任意方向的物体,提出了一种新的旋转可变尺寸窗口注意力来取代变压器中原来的完全注意力,减少计算成本和内存占用,同时通过提取学习更好的对象表示来自生成的不同窗口的丰富上下文。
signature=4f83ef12f8acf7f9e6fbb20f6a977f57,Release v0.12.0-alpha1: Tag for Release 0.12.0-alpha1 · i...
weixin_39546092的博客
05-29 2万+
5121a30770c61a4c22b2449faa318d0dcd8904de Release 0.12.0-alpha14ea830f74ef058a0e84fa17e30fb1a909cd538ea Feat: ipfs-cluster-followce3c50187e5c738d61ec98fe3168acddee1f3835 config manager: Improve source-...
解密阿里巴巴加密技术: 爬虫JS逆向实践-1688 【JS混淆加密解析】
五包辣条的博客
11-04 7523
大家好,我是辣条。 这是爬虫系列的36篇,爬虫之路永无止境。 爬取目标 网站:阿里巴巴1688.com - 全球领先的采购批发平台,批发网 工具使用 开发工具:pycharm 开发环境:python3.7, Windows10 使用工具包:requests,urllib, time, re, execjs 重点学习的内容 JS混淆 正则表达式的使用 py执行js文件的应用 网页参数编码 页面分析 爬取:海量产地工厂,就上1688找工厂 .
5、Apache Phoenix(5.0.0-5.1.2) 介绍及部署、使用(基本使用、综合使用、二级索引示例)、数据分区示例
热门推荐
alanchanchn的专栏
05-31 9万+
Phoenix官网:「We put the SQL back in NoSQL」Apache Phoenix让Hadoop中支持低延迟OLTP和业务操作分析。提供标准的SQL以及完备的ACID事务支持通过利用HBase作为存储,让NoSQL数据库具备通过有模式的方式读取数据,我们可以使用SQL语句来操作HBase,例如:创建表、以及插入数据、修改数据、删除数据等。Phoenix通过协处理器在服务器端执行操作,最小化客户机/服务器数据传输。
我的k8s随笔:Kubernetes部署-问题篇
李迟的专栏
12-30 2万+
本文集中记录k8s集群部署过程的问题。由于各人环境不同,限于经验,本文仅供参考。 注:本文会不定时更新。 源、key问题 使用国内中科大源: cat <<EOF > /etc/apt/sources.list.d/kubernetes.list deb http://mirrors.ustc.edu.cn/kubernetes/apt kubernetes-xenial mai...
解决: -bash: $‘\302\240docker‘: command not found
愿我如星君如月 ... 夜夜流光相皎洁 ...
11-21 4651
我只是运行 一条很简单的启动容器的命令,多次执行都报错,报错如题: -bash: $'\302\240docker': command not found 感觉这一点挺坑的,其实命令完全没有错。只是在命令中有多的空格,我是在命令的最前面多了一个空格。 去掉空格就 OK 了。 如下:最后 一次执行成功,只是去掉了红框处的空格。 ...
CLSID:6BF52A52-394A-11d3-B153-00C04F79FAA6
03-27
标题中的"CLSID:6BF52A52-394A-11d3-B153-00C04F79FAA6"是一个全局唯一标识符(GUID),在Windows系统中,它用于标识COM(组件对象模型)组件。这个特定的CLSID对应于Windows Media Player,这是一个集成在Windows...
Rcmp: Reconstructing RDMA-Based Memory Disaggregation via CXL——论文阅读
重新开始写博客
06-19 2041
针对RDMA和CXL结合的内存分解。本文提出基于RDMA和CXL的内存池Rcmp,通过CXL提高了基于RDMA的系统的性能,并利用RDMA克服了CXL的距离限制。包括4个创新点:(1)基于全局页面的内存空间管理,支持细粒度的数据访问,避免IO放大。(2)使用不同缓存区结构避免通信阻塞,机架内访问使用环形缓存区,机架间访问使用双层缓冲区,第一级存储已完成的访问避免阻塞,第二级使用环形缓存区,执行完时将请求添加到第一级缓冲区。
论文笔记(关于图像检索的总结性论文):Content-Based Image Retrieval and Feature Extraction: A Comprehensive Review(中)
timcanby的博客
03-05 1835
继上篇:https://blog.youkuaiyun.com/timcanby/article/details/104382103 今天继续对: Section 6 底层特征的融合运用 Section 7 局部特征 Section 8 基于深度学习的种种 ==============================进行整理=====================================...
基于学习的人工智能(1)为什么学习?
致力于大数据+AI 的应用创新。
11-24 227
学习是人类最重要的认知活动之一,贯穿我们的一生。出生后,我们无时无刻不在学习:从父母那里学说话,自己尝试走路,从小伙伴那里学会折纸飞机,从老师那里学到语文、数学等各种知识。研究人员始终将光源和风扇放在同一侧,经由学习,玉米幼苗逐渐学会了“有风的地方就会有光”的规律。之后,研究人员移去光源,并改变风扇方向,玉米幼苗依然按照所学知识,向风扇方向生长。1959 年,美国计算机学家亚瑟·塞缪尔设计了一款可以自我学习的跳棋程序,并将这一新方法称为“机器学习”,从而开启了机器自我学习的道路。
三大空间信息焕新:辉视让酒店服务、教育通知、监所管控更智能高效
CalebLXL的博客
11-24 390
走访这些场所后我发现,系统的真正价值不在于那些炫目的屏幕,而在于它构建了一套"空间信息免疫系统"——就像人体淋巴网络般,能智能识别各区域的信息需求,精准输送"营养",快速清除"毒素"。当我们在酒店大堂不再错过末班机场大巴,在学校走廊偶遇恰好需要的竞赛通知,甚至在高墙内获得规整的信息权时,或许该重新思考:所谓智能化,本质是对空间信息代谢效率的一次外科手术式改造。这种荒诞的割裂感,正是传统信息分发模式崩溃的缩影——直到我最近走访数家采用辉视系统的场所,才意识到我们早已进入"精准信息触达"的新纪元。
(116页PPT)关于5G和新基建赋能智慧工地整体解决方案(附下载方式)
最新发布
2501_92808811的博客
11-25 282
在整体架构方面,方案以“5G智慧工地平台”为核心,依托多类感知设备(如传感器、摄像头、AI眼镜、智能安全帽等)采集数据,通过5G网络实时回传至云平台,再借助大数据、云计算、人工智能等技术进行分析处理,最终在PC、手机、监控大屏等多终端进行可视化展示。此外,文件还详细列举了传统智慧工地子系统(如深基坑监测、升降机监控、扬尘噪音监测、智能水电计量等)的功能与部署方式,并补充了如5G企业专网、实测机器人、智慧科技体验中心等延伸应用,体现出方案的系统性与前瞻性。详细资料请看本解读文章的最后内容。
中国计算机学会(CCF)推荐学术会议-A(人工智能):ACL 2026
iaast的博客
11-24 400
大会官网:https://2026.aclweb.org/录用率:20.3%(1699/8360,2025年)时间地点:2026年7月2日-加州·美国。截稿时间:2026年1月5日。CCF推荐:A(人工智能
RAG 的诞生:为了让 AI 不再“乱编”
weixin_44876263的博客
11-24 381
RAG全称,中文为“检索增强生成”。其核心思想是:在生成答案时,不仅依赖大模型内部的训练知识,还能够实时访问外部知识库或文档,从而生成更加准确和可靠的内容。就像一个学生回答问题,不仅依靠自己记忆,还会去图书馆查资料,然后结合记忆和查到的资料回答问题。你问模型:“请告诉我最新的新能源补贴政策。纯模型可能只靠训练记忆,回答的是过时或模糊的信息。RAG 模型会先去查最新政策文件,再结合训练知识生成答案,因此更准确。检索资料:先找到相关文档或信息。结合生成:把找到的资料和问题一起输入模型,让模型生成答案。
原先集群配置如下所示,请求通过443端口访问到8083,我现在需要新增一个请求,从446端口路由到8084端口,但不能更改原先的配置,不影响8083端口,即配置只能新增端口不能修改原有规则,该如何修改配置文件: istio.yaml: apiVersion: networking.istio.io/v1alpha3 kind: Gateway # 允许域名和端口的流量进入服务网格 metadata: name: vms-core-server-gw namespace: dev3-vms spec: selector: istio: ingressgateway # use istio default controller servers: - hosts: - "aps1-vms-api-alpha3.tplinkcloud.com" - "aps1-vms-alpha3.i.tplinknbu.com" - "aps1-vms-alpha3.i.tplinkcloud.com" port: number: 11443 # aps1 https, public network access name: https-aps1 protocol: HTTP - hosts: - "aps1-vms-api-alpha3.tplinkcloud.com" - "aps1-vms-alpha3.i.tplinknbu.com" - "aps1-vms-alpha3.i.tplinkcloud.com" port: number: 11082 # aps1 http, public network access name: http-aps1 protocol: HTTP - hosts: - "vms-api-internal.alpha3.tplinknbu.com" #给内部服务访问的 - "aps1-vms-api-internal.alpha3.tplinknbu.com" - "aps1-vms-api-internal-alpha3.tplinkcloud.com" port: name: http-internal-aps1 number: 21080 protocol: HTTP --- apiVersion: networking.istio.io/v1alpha3 kind: VirtualService metadata: name: vms-core-server-vs namespace: dev3-vms spec: gateways: - vms-core-server-gw hosts: - "aps1-vms-api-alpha3.tplinkcloud.com" http: - match: - uri: prefix: /api port: 11443 - uri: prefix: /v1 port: 11443 route: - destination: host: vms-core-server-aps1 port: number: 8080 --- apiVersion: networking.istio.io/v1alpha3 kind: VirtualService metadata: name: vms-core-server-internal-vs namespace: dev3-vms spec: gateways: - vms-core-server-gw hosts: - "aps1-vms-api-internal-alpha3.tplinkcloud.com" http: - match: - uri: prefix: /api/v1/internal port: 21080 # aps1 - uri: prefix: /openapi port: 21080 # aps1 route: - destination: host: vms-core-server-aps1 port: number: 80 retries: attempts: 3 retryOn: reset,connect-failure,refused-stream,unavailable,cancelled,retriable-status-codes --- apiVersion: networking.istio.io/v1alpha3 kind: VirtualService metadata: name: vms-core-server-self-aps1-vs namespace: dev3-vms spec: hosts: - vms-core-server-aps1 http: - match: - uri: prefix: / # access path port: 8850 route: - destination: host: vms-core-server-aps1 port: number: 8850 --- kind: DestinationRule apiVersion: networking.istio.io/v1alpha3 metadata: name: vms-core-server-dr namespace: dev3-vms spec: host: vms-aps1.dev3-vms.svc.cluster.local trafficPolicy: tls: mode: DISABLE service.yaml: apiVersion: v1 kind: Service metadata: name: vms-core-server-cloud-access-pa-fw-v1 namespace: dev3-vms annotations: service.beta.kubernetes.io/aws-load-balancer-additional-resource-tags: "Category=dev,Product=vms,ServiceType=biz" service.beta.kubernetes.io/aws-load-balancer-backend-protocol: tcp service.beta.kubernetes.io/aws-load-balancer-ssl-cert: arn:aws:acm:ap-southeast-1:242777933053:certificate/74ff9ed2-8bcc-492d-b845-15308bace4e8 service.beta.kubernetes.io/aws-load-balancer-ssl-negotiation-policy: "ELBSecurityPolicy-TLS13-1-2-Res-2021-06" service.beta.kubernetes.io/aws-load-balancer-ssl-ports: "443" service.beta.kubernetes.io/aws-load-balancer-type: "external" service.beta.kubernetes.io/aws-load-balancer-nlb-target-type: "ip" service.beta.kubernetes.io/aws-load-balancer-scheme: "internet-facing" labels: app.kubernetes.io/name: vms-core-server region: ap-southeast-1 spec: loadBalancerClass: service.k8s.aws/nlb selector: app.kubernetes.io/name: vms-core-server region: ap-southeast-1 ports: - port: 443 protocol: TCP name: cloud-access-443 targetPort: cloud-access type: LoadBalancer externalTrafficPolicy: Cluster --- apiVersion: v1 kind: Service metadata: name: vms-core-server-cloud-access-pa-fw-v2 namespace: dev3-vms annotations: service.beta.kubernetes.io/aws-load-balancer-additional-resource-tags: "Category=dev,Product=vms,ServiceType=biz" service.beta.kubernetes.io/aws-load-balancer-backend-protocol: tcp service.beta.kubernetes.io/aws-load-balancer-ssl-cert: arn:aws:acm:ap-southeast-1:242777933053:certificate/e667c161-e7b0-4faa-a21e-23df5cb5f2d4 service.beta.kubernetes.io/aws-load-balancer-ssl-negotiation-policy: "ELBSecurityPolicy-TLS13-1-2-Res-2021-06" service.beta.kubernetes.io/aws-load-balancer-ssl-ports: "443" service.beta.kubernetes.io/aws-load-balancer-type: "external" service.beta.kubernetes.io/aws-load-balancer-nlb-target-type: "ip" service.beta.kubernetes.io/aws-load-balancer-scheme: "internet-facing" labels: app.kubernetes.io/name: vms-core-server region: ap-southeast-1 spec: loadBalancerClass: service.k8s.aws/nlb selector: app.kubernetes.io/name: vms-core-server region: ap-southeast-1 ports: - port: 443 protocol: TCP name: cloud-access-443 targetPort: cloud-access type: LoadBalancer externalTrafficPolicy: Cluster service-monitor.yaml: apiVersion: v1 kind: Service metadata: labels: app.kubernetes.io/name: vms-core-server monitoring: service name: vms-core-server-aps1 namespace: dev3-vms spec: ports: - name: http-actuator port: 9091 protocol: TCP targetPort: http-actuator - name: grpc port: 8850 protocol: TCP targetPort: grpc - port: 8080 targetPort: http protocol: TCP name: http - port: 8082 targetPort: event protocol: TCP name: event - name: ops port: 10080 protocol: TCP targetPort: ops - name: internal port: 80 protocol: TCP targetPort: internal - name: websocket port: 8090 protocol: TCP targetPort: websocket - name: cloud-access port: 8083 protocol: TCP targetPort: cloud-access - name: cloud-access-short port: 8084 protocol: TCP targetPort: cloud-access-short - name: ai port: 8092 protocol: TCP targetPort: ai selector: app.kubernetes.io/name: vms-core-server region: ap-southeast-1 type: ClusterIP
10-18
<think>我们有一个需求:新增一个请求,从446端口路由到8084端口,但不能更改原先的配置,不影响8083端口。也就是说,我们只能新增配置,不能修改已有的规则。 分析现有配置: 1. 在istio.yaml中,我们有一个Gateway资源(vms-core-server-gw)和几个VirtualService资源。 2. 在service.yaml中,有两个LoadBalancer类型的Service,它们都监听443端口,并将流量转发到后端Pod的端口(通过targetPort指定,但targetPort是命名端口,具体值在service-monitor.yaml中定义)。 3. 在service-monitor.yaml中,定义了一个ClusterIP类型的Service(vms-core-server-aps1),其中定义了多个端口,包括: - cloud-access: 8083 (这是当前443端口转发的目标端口) - cloud-access-short: 8084 (这是我们需要新增路由的目标端口) 当前,外部流量通过LoadBalancer Service的443端口进入,然后通过Istio Gateway和VirtualService路由到service-monitor.yaml中定义的Service的端口(比如8080,80等),但注意,在VirtualService中我们看到有路由到8080和80的,但没有直接路由到8083或8084的。实际上,我们在Gateway中定义的端口(如11443,11082,21080)都是HTTP协议,然后VirtualService根据主机和URI前缀将流量路由到后端服务的指定端口。 但是,我们注意到在service.yaml中,有两个LoadBalancer Service(v1和v2)都监听443端口,并且它们通过targetPort: cloud-access将流量转发到Pod的cloud-access端口(即8083端口)。也就是说,目前443端口的流量最终会到达Pod的8083端口。 现在我们需要新增一个端口446,将流量路由到8084端口(即cloud-access-short端口)。 由于不能修改原有配置,我们需要: 1. 新增一个LoadBalancer Service(或者修改现有的LoadBalancer Service?但注意不能修改原有规则,所以不能修改已有的两个LoadBalancer Service)来监听446端口,并将流量转发到后端的某个端口。但是,因为我们使用Istio,实际上流量会先经过Istio Ingress Gateway,所以我们需要通过Istio Gateway来引入446端口的流量。 2. 修改Istio Gateway配置,增加一个监听446端口的server。注意,题目要求不能修改原有配置,但是我们可以通过新增一个Gateway资源或者修改现有的Gateway资源来实现?这里要注意,题目要求不能修改原有规则,但可以新增端口。所以,如果我们修改现有的Gateway,增加一个新的server,不会影响原有规则。因此,我们可以选择修改现有的Gateway资源。 3. 然后,我们需要新增一个VirtualService,将来自446端口的流量路由到目标服务的8084端口。 步骤: 第一步:在Istio Gateway中新增一个server,监听446端口。 修改istio.yaml中的Gateway资源(vms-core-server-gw),在servers下新增一个条目,指定端口446,协议为HTTP(因为题目没有特别说明,但原有都是HTTP,所以我们假设也是HTTP)。 第二步:新增一个VirtualService,匹配这个446端口的流量,并将其路由到目标服务的8084端口。注意,目标服务是service-monitor.yaml中定义的Service(vms-core-server-aps1)的8084端口(命名为cloud-access-short)。 但是,需要注意的是,在DestinationRule中,我们有一个目标规则指向`vms-aps1.dev3-vms.svc.cluster.local`,而我们的服务名是`vms-core-server-aps1`(在service-monitor.yaml中定义),它们是否匹配?实际上,服务`vms-core-server-aps1`的完整域名应该是`vms-core-server-aps1.dev3-vms.svc.cluster.local`,而DestinationRule中的host是`vms-aps1.dev3-vms.svc.cluster.local`,这看起来不一样。所以,我们需要确认目标服务的host。 观察VirtualService中已有的路由,比如: - 在vms-core-server-vs中,destination的host为`vms-core-server-aps1`(这是K8s Service的短名称,在同一个命名空间下可以直接使用) - 同样,在vms-core-server-internal-vs中,也是使用`vms-core-server-aps1` 所以,我们在新的VirtualService中也可以使用`vms-core-server-aps1`作为目标host。 另外,注意在service-monitor.yaml中,8084端口的名称为`cloud-access-short`,所以在VirtualService中指定目标端口时,我们可以使用端口号8084,或者使用命名端口(但VirtualService的destination中port字段支持number或者name,具体看API,但这里我们使用number更直接)。 第三步:由于我们新增了LoadBalancer Service来监听446端口,但题目中现有的LoadBalancer Service(两个)都是监听443的。所以我们需要新增一个LoadBalancer Service来监听446端口,并且将流量转发到Istio Ingress Gateway的某个端口?这里要注意,在Istio中,流量是先到达LoadBalancer Service(外部负载均衡器),然后到Istio Ingress Gateway Pod,然后由Gateway资源定义监听的端口。 实际上,我们已有的两个LoadBalancer Service(v1和v2)都是将443端口的流量转发到后端Pod(即Istio Ingress Gateway Pod)的8083端口(通过targetPort: cloud-access,而cloud-access在service-monitor.yaml中定义为8083)。但是,我们新增的446端口不应该转发到8083,而是转发到Istio Ingress Gateway的446端口?不对,因为Istio Ingress Gateway本身并没有监听446端口。 我们需要在Istio Ingress Gateway的Service上开放446端口。但是,查看现有配置,我们并没有直接配置Istio Ingress Gateway的Service,而是通过两个LoadBalancer Service(vms-core-server-cloud-access-pa-fw-v1和v2)来暴露443端口。这两个Service的selector是: selector: app.kubernetes.io/name: vms-core-server region: ap-southeast-1 而我们在service-monitor.yaml中,Service(vms-core-server-aps1)的selector也是同样的标签,所以这个Service(vms-core-server-aps1)实际上是选择应用Pod(vms-core-server)的,而不是选择Istio Ingress Gateway的。 这不对!因为Istio Ingress Gateway应该由它自己的Deployment和Service管理。所以这里可能存在配置混淆。 重新思考:在Istio中,Gateway资源定义在Ingress Gateway上,而Ingress Gateway是一个独立的Pod(由Istio安装时部署)。我们需要将外部流量先路由到Ingress Gateway Pod,然后由Gateway资源定义的路由规则进行转发。 但是,在现有的service.yaml中,我们创建了两个LoadBalancer Service(v1和v2),它们选择的是app.kubernetes.io/name: vms-core-server和region: ap-southeast-1,这是我们的业务应用Pod的标签,而不是Istio Ingress Gateway的Pod。 所以,这里可能是一个错误?或者,我们并没有使用Istio的Ingress Gateway,而是使用了业务Pod作为入口?这不太符合常规。 另一种可能是,我们使用了Istio的Sidecar,并且业务Pod直接作为入口?但是,Gateway资源需要绑定到Istio Ingress Gateway的Pod(通过gateway的selector: istio: ingressgateway)。 实际上,在Gateway资源中,selector指定的是istio: ingressgateway,这是Istio默认安装的Ingress Gateway的标签。所以,外部流量应该先到达Istio Ingress Gateway的Service(默认可能是istio-ingressgateway),然后由这个Service将流量转发到Ingress Gateway Pod。 但是,我们这里又创建了两个LoadBalancer Service(v1和v2)来选择业务Pod,这会造成混乱。 因此,我们需要澄清流量路径: 方案一(可能当前实际运行的方式): - 外部流量通过LoadBalancer Service(v1和v2)的443端口进入,然后直接转发到业务Pod(vms-core-server)的8083端口(targetPort: cloud-access,即8083)。然后,业务Pod内部通过Sidecar代理处理流量,再根据VirtualService进行路由?但是,Gateway资源是定义在Ingress Gateway上的,而这里流量并没有经过Ingress Gateway。 方案二(正确使用Istio的方式): - 应该有另一个LoadBalancer Service指向Istio Ingress Gateway Pod,然后外部流量先到这个Ingress Gateway,再由Ingress Gateway根据Gateway和VirtualService的配置路由到业务Pod。 从配置中,我们并没有看到指向Istio Ingress Gateway的LoadBalancer Service。因此,我怀疑当前的配置并没有使用Istio Ingress Gateway,而是直接通过LoadBalancer Service将流量导入业务Pod,然后由业务Pod的Sidecar处理。但是,Gateway资源还是需要由Ingress Gateway来处理,所以这里存在矛盾。 重新阅读题目:我们现在是通过443端口访问到8083。在现有配置中,LoadBalancer Service(v1和v2)将443端口的流量转发到targetPort: cloud-access(8083)。而在service-monitor.yaml中,8083端口是业务Pod的一个端口。所以,流量直接进入了业务Pod,并没有经过Istio Ingress Gateway。 但是,我们又有Gateway和VirtualService的配置。这些配置如何生效?如果流量直接进入业务Pod,那么VirtualService应该是在业务Pod的Sidecar上生效。此时,Gateway资源实际上并没有被使用,因为Gateway是定义在Ingress Gateway上的。 所以,我们需要确定:现在请求是通过哪个Service进入的?是vms-core-server-cloud-access-pa-fw-v1/v2吗?如果是,那么流量直接进入业务Pod的8083端口。那么,我们在业务Pod的Sidecar上,VirtualService会根据请求的主机名和路径进行路由(但注意,在VirtualService中,我们绑定了gateway: vms-core-server-gw,而这个Gateway资源定义在Istio Ingress Gateway上,但我们的流量并没有经过Ingress Gateway,所以这个VirtualService实际上并没有被应用到业务Pod的Sidecar上?) 这看起来配置不一致。为了解决这个问题,我们需要明确: 如果我们希望使用Istio Ingress Gateway作为入口,那么外部流量应该先到达Ingress Gateway的Service(如istio-ingressgateway),然后由Ingress Gateway根据Gateway资源定义的规则将流量转发到业务Pod。这样,我们只需要在Ingress Gateway的Service上开放446端口,然后在Gateway资源中增加一个server监听446端口,并新增VirtualService将446端口的流量路由到8084端口。 但是,题目中并没有提供Ingress Gateway的Service配置。所以,我推测当前并没有使用Ingress Gateway,而是直接使用了业务Pod作为入口。 那么,为了保持一致性,我们也可以为446端口新增一个LoadBalancer Service,将446端口的流量转发到业务Pod的8084端口(targetPort: cloud-access-short)。这样,不需要修改Istio的任何配置,因为流量直接进入了业务Pod的8084端口。但是,这样就没有经过VirtualService的路由,可能不符合要求(因为可能需要根据主机名或路径进行路由)? 根据需求,我们只需要将446端口的请求路由到8084端口,所以直接通过LoadBalancer Service转发到8084端口即可,不需要VirtualService的干预? 但是,题目要求通过Istio的配置来实现路由?因为题目中给出了Istio的配置文件,并且要求修改配置文件(istio.yaml等)。 因此,我重新考虑:现有配置中,虽然流量直接到达业务Pod的8083端口,但是业务Pod上的Sidecar会根据VirtualService的配置进行路由。例如,在VirtualService中定义了对8083端口的路由吗?我们查看VirtualService: 在istio.yaml中,第一个VirtualService(vms-core-server-vs)绑定了gateway: vms-core-server-gw,并且匹配端口11443(这是Gateway中定义的一个端口)。但是,我们的流量并没有经过Gateway,而是直接进入Pod的8083端口,所以这个VirtualService不会生效。 我们需要为直接进入Pod的流量创建VirtualService,即不指定gateway(或指定gateway为mesh,表示网格内部的Sidecar)。现有的VirtualService中有没有这样的?我们看到有一个名为vms-core-server-self-aps1-vs的VirtualService,它没有指定gateway,所以它会被应用到Pod的Sidecar。但是,它只匹配了端口8850,将流量路由到8850端口。 所以,目前直接进入8083端口的流量并没有被任何VirtualService处理,它会直接到达8083端口上的服务(即业务应用)。 因此,如果我们新增一个LoadBalancer Service监听446端口,转发到业务Pod的8084端口,那么流量直接进入8084端口,同样不会被VirtualService处理。 为了使用VirtualService,我们应该让流量经过Gateway。所以,我建议采用标准的Istio Ingress Gateway方式: 1. 确保有一个指向Istio Ingress Gateway Pod的LoadBalancer Service(默认应该是istio-ingressgateway,但这里我们没有配置,所以需要提供?但是题目没有要求新增其他资源,所以可能我们只能利用现有的)。 2. 修改现有的两个LoadBalancer Service(v1和v2)指向Istio Ingress Gateway Pod(即修改selector,选择Istio Ingress Gateway的Pod标签,如app: istio-ingressgateway),这样流量就会先进入Ingress Gateway,然后再转发到业务Pod。 但是,题目要求不能修改原有规则,所以不能修改v1和v2。 因此,我们只能新增一个LoadBalancer Service,指向Istio Ingress Gateway,监听446端口。 3. 然后在istio Gateway中新增一个server,监听446端口。 4. 新增VirtualService,将446端口的流量路由到业务Pod的8084端口。 但是,由于题目中没有Istio Ingress Gateway的Service配置,我们需要创建它?题目没有禁止新增资源,所以我们可以新增一个Service。 但是,题目要求修改配置文件,我们只能在给出的配置文件中修改?题目中给出了istio.yaml, service.yaml, service-monitor.yaml,所以我们可以修改这些文件,也可以新增资源(在istio.yaml中新增Gateway和VirtualService,在service.yaml中新增Service)。 综合以上,方案如下: 步骤: 1. 在service.yaml中新增一个LoadBalancer Service,用于监听446端口,并将其流量转发到Istio Ingress Gateway Pod的446端口(注意:Istio Ingress Gateway Pod需要监听446端口,这由Gateway资源控制,我们在下一步中会在Gateway中增加446端口的监听)。 但是,Istio Ingress Gateway Pod的Service(如istio-ingressgateway)可能已经存在,我们不需要再创建?不过题目中没有给出,所以我们假设需要自己创建。 然而,题目中给出的service.yaml里,已有的两个Service(v1和v2)的selector是业务Pod的标签,所以我们需要创建一个新的Service,selector为Istio Ingress Gateway的标签(istio: ingressgateway)。 例如,我们可以新增一个Service: ```yaml apiVersion: v1 kind: Service metadata: name: vms-core-server-446 namespace: dev3-vms annotations: # 根据需要添加annotations,例如SSL证书等,但题目没有要求,所以暂时不加 service.beta.kubernetes.io/aws-load-balancer-additional-resource-tags: "Category=dev,Product=vms,ServiceType=biz" service.beta.kubernetes.io/aws-load-balancer-backend-protocol: tcp # 如果需要SSL,则需要指定证书,但446端口我们假设也要HTTPS?题目没有说明,但原有443用了HTTPS,所以446可能也需要。 # 由于题目没有提供证书arn,我们可以先不加,或者使用原有的证书?但这需要额外信息。 # 为了简化,我们假设446端口也要HTTPS,并且使用和443端口同一个证书?但是题目中两个443端口的Service使用了不同的证书。 # 题目要求新增,所以我们这里假设使用其中一个证书,比如第一个证书arn。 service.beta.kubernetes.io/aws-load-balancer-ssl-cert: arn:aws:acm:ap-southeast-1:242777933053:certificate/74ff9ed2-8bcc-492d-b845-15308bace4e8 service.beta.kubernetes.io/aws-load-balancer-ssl-negotiation-policy: "ELBSecurityPolicy-TLS13-1-2-Res-2021-06" service.beta.kubernetes.io/aws-load-balancer-ssl-ports: "446" service.beta.kubernetes.io/aws-load-balancer-type: "external" service.beta.kubernetes.io/aws-load-balancer-nlb-target-type: "ip" service.beta.kubernetes.io/aws-load-balancer-scheme: "internet-facing" labels: app: istio-ingressgateway # 注意,这个Service是给Istio Ingress Gateway用的 region: ap-southeast-1 spec: loadBalancerClass: service.k8s.aws/nlb selector: istio: ingressgateway # 选择Istio Ingress Gateway的Pod ports: - port: 446 protocol: TCP name: https-446 targetPort: 446 # 这里targetPort设置为446,因为Ingress Gateway Pod会监听446端口(由Gateway资源定义) type: LoadBalancer externalTrafficPolicy: Cluster ``` 2. 修改istio.yaml,在Gateway资源中新增一个server,监听446端口: 在Gateway的servers数组中新增一项: - hosts: - "*" # 或者指定具体域名,但题目没有要求,我们可以先用*,或者和443端口一样的域名 port: number: 446 name: https-446 protocol: HTTPS # 注意,这里应该是HTTPS,因为外部使用HTTPS访问446端口 tls: mode: SIMPLE credentialName: # 这里需要指定证书,但是我们没有在集群中创建对应的Secret,题目没有提供信息,所以暂时省略。实际中需要提供。 但是,题目中已有的server并没有配置tls,而是protocol: HTTP,这是因为他们在LoadBalancer Service上终止了SSL?因为LoadBalancer Service的annotation中配置了SSL证书,所以SSL终止在LoadBalancer,然后以HTTP协议转发给后端Pod。 所以,我们的新端口446也应该在LoadBalancer上终止SSL,然后以HTTP协议转发给Ingress Gateway Pod。因此,在Gateway中,我们配置protocol: HTTP即可。 所以,在Gateway中新增: - hosts: - "aps1-vms-api-alpha3.tplinkcloud.com" # 这里我们使用和443端口相同的域名,或者根据实际需要 - "aps1-vms-alpha3.i.tplinknbu.com" - "aps1-vms-alpha3.i.tplinkcloud.com" port: number: 446 name: http-446 # 注意name要唯一 protocol: HTTP 3. 新增一个VirtualService,将进入446端口的流量路由到8084端口: 我们新增一个VirtualService资源,绑定到Gateway(vms-core-server-gw),并匹配hosts和端口446,然后路由到目标服务的8084端口。 ```yaml apiVersion: networking.istio.io/v1alpha3 kind: VirtualService metadata: name: vms-core-server-446-vs namespace: dev3-vms spec: gateways: - vms-core-server-gw hosts: - "aps1-vms-api-alpha3.tplinkcloud.com" - "aps1-vms-alpha3.i.tplinknbu.com" - "aps1-vms-alpha3.i.tplinkcloud.com" http: - match: - port: 446 # 匹配446端口的流量 route: - destination: host: vms-core-server-aps1 port: number: 8084 ``` 4. 由于446端口的流量经由LoadBalancer Service(vms-core-server-446)进入,转发到Ingress Gateway Pod的446端口,然后由Gateway资源定义转发,最后由VirtualService路由到业务Pod的8084端口。 注意:我们新增的LoadBalancer Service(vms-core-server-446)的selector是`istio: ingressgateway`,这是Istio Ingress Gateway的标签,而Ingress Gateway Pod会监听我们在Gateway资源中定义的所有端口(包括446),所以不需要额外的Pod配置。 但是,我们并没有修改原有的istio-ingressgateway Deployment,所以它默认监听的端口可能不包括446。我们需要检查Ingress Gateway的Deployment,确保它监听446端口。不过,Istio Ingress Gateway默认会监听Gateway资源中定义的端口,所以问题不大。 由于题目中没有Istio IngressGateway的Deployment配置,我们假设它可以动态监听Gateway资源中定义的端口。 另外,在新增的LoadBalancer Service中,我们将targetPort设置为446,这是由于Ingress Gateway Pod会暴露446端口(通过Gateway资源)。 综上所述,我们修改配置文件如下: 在service.yaml的最后,新增一个Service(vms-core-server-446): 如上所述。 在istio.yaml中修改Gateway(vms-core-server-gw),在servers下新增一个server(监听446端口): - hosts: - "aps1-vms-api-alpha3.tplinkcloud.com" - "aps1-vms-alpha3.i.tplinknbu.com" - "aps1-vms-alpha3.i.tplinkcloud.com" port: number: 446 name: http-446 protocol: HTTP 在istio.yaml中新增一个VirtualService(vms-core-server-446-vs): 如上所述。 注意:题目要求不影响原有8083端口的配置,我们新增的配置不会影响原有端口。 但是,由于题目中没有给出Ingress Gateway的Service,我们新增了一个,这没有违反题目要求(题目要求配置只能新增端口不能修改原有规则)。 如果集群中已经有一个Istio Ingress Gateway的Service,那么我们就不需要新增,只需要在那个Service上开放446端口。但题目没有给出,所以我们新增。 由于题目要求不能修改原有规则,所以我们的方案是新增,符合要求。 然而,题目中给出的istio.yaml中,Gateway资源的metadata.name是vms-core-server-gw,它在dev3-vms命名空间,我们修改它(新增一个server)算不算修改原有规则?题目说“配置只能新增端口不能修改原有规则”。这里,“原有规则”指的是已存在的配置条目,我们新增一个server,不修改已有的server,所以应该可以。 所以,最终修改: 1. 修改istio.yaml中的Gateway(vms-core-server-gw),新增一个server(446端口)。 2. 在istio.yaml中新增一个VirtualService(vms-core-server-446-vs)。 3. 在service.yaml中新增一个LoadBalancer Service(vms-core-server-446)。 注意:我们假设Ingress Gateway的Deployment已经存在,并且其selector为istio: ingressgateway。 由于题目中给出的配置文件较多,我将在回答中给出修改后的配置文件片段,而不是整个文件。 修改后的istio.yaml(部分): ```yaml # 在Gateway的servers下新增一个server apiVersion: networking.istio.io/v1alpha3 kind: Gateway metadata: name: vms-core-server-gw namespace: dev3-vms spec: selector: istio: ingressgateway # use istio default controller servers: # ... 原有的server配置保持不变 - hosts: - "aps1-vms-api-alpha3.tplinkcloud.com" - "aps1-vms-alpha3.i.tplinknbu.com" - "aps1-vms-alpha3.i.tplinkcloud.com" port: number: 446 # 新增的446端口 name: http-446 protocol: HTTP # 新增VirtualService --- apiVersion: networking.istio.io/v1alpha3 kind: VirtualService metadata: name: vms-core-server-446-vs namespace: dev3-vms spec: gateways: - vms-core-server-gw hosts: - "aps1-vms-api-alpha3.tplinkcloud.com" - "aps1-vms-alpha3.i.tplinknbu.com" - "aps1-vms-alpha3.i.tplinkcloud.com" http: - match: - port: 446 # 匹配446端口 route: - destination: host: vms-core-server-aps1 port: number: 8084 ``` 修改后的service.yaml(在最后新增一个Service): ```yaml --- apiVersion: v1 kind: Service metadata: name: vms-core-server-446 namespace: dev3-vms annotations: service.beta.kubernetes.io/aws-load-balancer-additional-resource-tags: "Category=dev,Product=vms,ServiceType=biz" service.beta.kubernetes.io/aws-load-balancer-backend-protocol: tcp service.beta.kubernetes.io/aws-load-balancer-ssl-cert: arn:aws:acm:ap-southeast-1:242777933053:certificate/74ff9ed2-8bcc-492d-b845-15308bace4e8 # 使用v1的证书 service.beta.kubernetes.io/aws-load-balancer-ssl-negotiation-policy: "ELBSecurityPolicy-TLS13-1-2-Res-2021-06" service.beta.kubernetes.io/aws-load-balancer-ssl-ports: "446" service.beta.kubernetes.io/aws-load-balancer-type: "external" service.beta.kubernetes.io/aws-load-balancer-nlb-target-type: "ip" service.beta.kubernetes.io/aws-load-balancer-scheme: "internet-facing" labels: app: istio-ingressgateway region: ap-southeast-1 spec: loadBalancerClass: service.k8s.aws/nlb selector: istio: ingressgateway # 选择Istio Ingress Gateway的Pod ports: - port: 446 protocol: TCP name: https-446 targetPort: 446 # 转发到Ingress Gateway Pod的446端口 type: LoadBalancer externalTrafficPolicy: Cluster ``` 注意:我们假设Ingress Gateway Pod会监听446端口(由Gateway资源中的server定义),所以targetPort设置为446。 由于题目要求不能修改原有配置,所以我们在原有配置基础上新增,不会影响原有的8083端口。 以上配置仅供参考,实际中可能需要根据集群的具体情况调整(比如证书、域名等)。 由于题目复杂度高,以上方案可能需要根据实际Istio Ingress Gateway的部署情况进行调整。 </think>为了在现有配置基础上新增从446端口路由到8084端口的规则,同时保持原有443→8083规则不变,需要遵循以下原则:**只新增配置,不修改任何现有条目**。以下是修改步骤及配置文件变更: ### 修改步骤: 1. **新增 Gateway 端口** 在 `istio.yaml` 的 `vms-core-server-gw` Gateway 中新增一个 server 条目,监听 446 端口(HTTP 协议)。 2. **新增 VirtualService** 创建新的 VirtualService,将 446 端口的流量路由到目标服务 `vms-core-server-aps1` 的 8084 端口。 3. **新增 LoadBalancer Service** 在 `service.yaml` 中添加新 Service,暴露 446 端口并通过 AWS NLB 终止 SSL,将流量转发到 Istio Ingress Gateway。 ### 修改后的配置文件: ```yaml # ========== istio.yaml 变更 ========== # 在 Gateway 中添加 446 端口规则 (新增 server 条目) --- apiVersion: networking.istio.io/v1alpha3 kind: Gateway metadata: name: vms-core-server-gw namespace: dev3-vms spec: selector: istio: ingressgateway servers: # 原有 servers 保持不变 ↓ - hosts: ["aps1-vms-api-alpha3.tplinkcloud.com", ...] port: { number: 11443, name: https-aps1, protocol: HTTP } - hosts: ["aps1-vms-api-alpha3.tplinkcloud.com", ...] port: { number: 11082, name: http-aps1, protocol: HTTP } - hosts: ["vms-api-internal.alpha3.tplinknbu.com", ...] port: { number: 21080, name: http-internal-aps1, protocol: HTTP } # 新增 446 端口规则 ↓ - hosts: - "aps1-vms-api-alpha3.tplinkcloud.com" - "aps1-vms-alpha3.i.tplinknbu.com" - "aps1-vms-alpha3.i.tplinkcloud.com" port: number: 446 name: http-446 protocol: HTTP # 新增 VirtualService 路由到 8084 端口 --- apiVersion: networking.istio.io/v1alpha3 kind: VirtualService metadata: name: vms-core-server-446-vs # 新增名称 namespace: dev3-vms spec: gateways: - vms-core-server-gw hosts: - "aps1-vms-api-alpha3.tplinkcloud.com" http: - match: - port: 446 # 匹配 446 端口 route: - destination: host: vms-core-server-aps1 port: number: 8084 # 目标端口 8084 # ========== service.yaml 变更 ========== # 新增 LoadBalancer Service 暴露 446 端口 --- apiVersion: v1 kind: Service metadata: name: vms-core-server-446 # 新增服务名 namespace: dev3-vms annotations: service.beta.kubernetes.io/aws-load-balancer-additional-resource-tags: "Category=dev,Product=vms,ServiceType=biz" service.beta.kubernetes.io/aws-load-balancer-backend-protocol: tcp service.beta.kubernetes.io/aws-load-balancer-ssl-cert: arn:aws:acm:ap-southeast-1:242777933053:certificate/74ff9ed2-8bcc-492d-b845-15308bace4e8 # 复用现有证书 service.beta.kubernetes.io/aws-load-balancer-ssl-negotiation-policy: "ELBSecurityPolicy-TLS13-1-2-Res-2021-06" service.beta.kubernetes.io/aws-load-balancer-ssl-ports: "446" service.beta.kubernetes.io/aws-load-balancer-type: "external" service.beta.kubernetes.io/aws-load-balancer-nlb-target-type: "ip" service.beta.kubernetes.io/aws-load-balancer-scheme: "internet-facing" labels: app.kubernetes.io/name: vms-core-server region: ap-southeast-1 spec: loadBalancerClass: service.k8s.aws/nlb selector: istio: ingressgateway # 指向 Istio Ingress Gateway ports: - port: 446 # 监听 446 端口 protocol: TCP name: https-446 targetPort: 446 # 转发到 Gateway 的 446 端口 type: LoadBalancer externalTrafficPolicy: Cluster ``` ### 关键说明: 1. **流量路径**: 外部请求 `https://<domain>:446` → AWS NLB (终止 SSL) → Istio Ingress Gateway (446 端口) → VirtualService 路由 → 目标 Pod 的 8084 端口。 2. **零影响原有配置**: - 原有 443 端口 Service (`vms-core-server-cloud-access-pa-fw-v1/v2`) 保持不变 - 原有 Gateway 和 VirtualService 规则未修改 - 8083 端口服务不受影响 3. **端口复用**: - 复用现有域名和 SSL 证书 (ARN 来自原配置) - Ingress Gateway 自动处理 446 端口的 HTTP 流量 4. **目标端口**: 直接使用 `service-monitor.yaml` 中已定义的 `cloud-access-short` (8084) 端口,无需额外修改。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

UnknownBody

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值