2

假设启用 Istio 的服务公开了一个名为A的端口,因此 Istio 在从网格内部访问它时会执行 L7 负载平衡。8080http

我想知道是否有办法从没有 Istio sidecar8080的 pod/服务访问此端口。B在这种情况下,流量将是: B -> A Envoy -> A B -> A 这样,我可以访问A未命名的端口http(即,只有 L4 负载平衡到位)

我的特殊用例是我有 Prometheus(不在网格中运行),Prometheus Operator 直接抓取在网格中运行的服务(不涉及 Istio Mixer;这些服务公开了它们自己的业务逻辑指标)。它仅适用于我,并且仅当给定服务未命名其 port 时http

4

1 回答 1

1

如果您启用了 auth (mTLS),则它在设计上不起作用,因为在这种情况下,Istio 会尝试保护所有服务到服务的通信。

您可以关闭身份验证,如果这没有帮助,还可以尝试使用 Istio 0.2.4 候选版本(或您阅读本文时的最新版本,请参阅https://github.com/istio/istio/发布)并查看问题是否仍然存在,如果确实存在,请在https://github.com/istio/issues/issues/new提交问题

在 0.3(可能更早)中,我们将让您对 mTLS 进行细粒度控制。

于 2017-09-23T02:04:49.167 回答