问题标签 [ambassador]

我有以下设置（如附图所示）：

A（java 进程）-> B（kubernetes 大使代理）-> C（kubernetes pod 中的 java 服务）

A 和 B 之间使用 HTTPS 进行通信，然后大使剥离 HTTPS 并继续与 C 进行 HTTP 通信。

我遇到的问题是，有时，正在发送的 HTTP BODY 消息未在 A 和 B 之间 100% 传输，但仅在 B 端跟踪我可以看到它由于某种原因停止了（在 A 上的跟踪中）侧显示为一切都已发送好）。然后，C 中的 java 进程（正在等待 B-pr​​oxy 转发所有数据）只是等待并在 30 秒后超时。

您可以在所附图像中看到，在 A 跟踪中写入了整个 BODY 已发送，但在 B 侧的跟踪中，只有一半 BODY 可见（已交付）。我怀疑这些TCP Previous segment not captured。

您还可以看到，在此之后它只等待 30 秒，然后超时。

它在我的设置中经常发生。有谁知道可能是什么问题？

大使配置：

更新

这里还有关于 cloudshark 的踪迹： A 转储（发送方 - Kubernetes 外部）：https : //www.cloudshark.org/captures/8cfad383c8fb B 转储（kubernetes 大使代理接收器）：https ://www.cloudshark.org/captures /50512920d898

我在 Google Cloud GCP 中有两个 Kubernetes 集群 cluster-a、cluster-b。我可以从同一个 GCP 项目但不同 VPC 中的不同集群 (cluster-b) 调用集群 (cluster-a) 中的 ambasador 公开的服务吗？

现在我可以通过大使服务名称调用该服务（当我在同一个集群中执行此操作时）。

我已阅读有关Internal TCP/UDP Load Balancing的信息，但它仅在 cluster-a 和 cluster-b 位于同一 VPC 网络中且我的集群位于不同 VPC 中时才有效。

有不同的方法来完成它吗？

我已经安装了服务网格（Istio）并与大使合作将流量路由到我们的应用程序。每当我通过 Istio Ingress 发送流量时，它的工作正常并与大使合作，但是当通过大使发送时，它显示未知，您可以在附图中看到，这可能与大使不使用 Istio 边车的事实有关.

用于部署大使服务的代码：

有什么我可以在这里添加的吗？

谢谢

更新大使舵图

helm upgrade --install --wait ambassador -f ambassador-helm-values.yaml stable/ambassador

失败：

删除 ClusterRoleBindingambassador-crds并尝试运行helm upgrade命令。这会ambassador-crds再次生成并失败并显示相同的错误消息。

每个人我都在网上搜索了一整天，但找不到一个完整而体面的例子来说明如何将大使 api 网关用作 istio 入口。大使网站上关于 istio 的默认文档不够清楚。那么有人可以提供一个完整而详细的示例来说明如何使用大使 Api 网关和 istio 服务网格吗？

我需要一些技巧来了解如何使用 x509 证书对 Keycloak 执行客户端身份验证。

我们有一个简单的 Spring Boot Web App (API REST) 到 Kubernetes 集群中。此 Web 应用程序通过 API 网关（大使）公开，目前通过浏览器重定向到 Keycloak 登录页面进行保护，用户可以在其中输入其用户名和密码。

然而这不是我们想要的。我们需要的是客户端身份验证（React Native Mobile App），其中：

• 移动应用程序尝试调用我们的服务器 API REST 端点
• 大使检查有效的访问令牌并（如果没有）以 403 http 状态响应（无浏览器重定向）
• 移动应用程序然后重定向到 Keycloak 以执行身份验证
• Keycloak 不显示用户名/密码登录页面，而是移动应用程序通过其浏览器传递 x509 用户证书。

不幸的是，我无法理解如何使用用户数据（信息、角色 ecc）生成有效且受信任的 x509 证书，以便从 IdP 获取访问令牌。

并且...... IdP 如何检查和验证此客户端证书？是否有必要在 Keycloak 上的某个地方安装服务器证书副本？

将客户端证书传递给 keycloak 的正确形式是什么（例如 CURL）？是否也需要传递私钥，为什么？

我有一个 kubernetes 多资源文件，其中包含要应用的不同资源，例如部署定义、服务定义、pv、pvc 等。有没有办法通过 kubernetes python 客户端使用这个单个文件来部署所有这些资源一下子？虽然我的情况有点不同。我有一个文件，它使用 CRD 以及自定义 kubernetes 资源对象，例如Deployment + Ambassador's Mapping。如何使用kubernetes python 客户端来实现这一点？

我有一个工作的大使和一个工作的 Istio，我在 Istio 中使用默认的 Jaeger 跟踪器，它工作正常。

现在我想让大使向 Istio 的 Jaeger 报告跟踪数据。

Ambassador 文档表明 Jaeger 受 Zipkin 驱动程序支持，但仅提供了与 Zipkin 一起使用的示例。

https://www.getambassador.io/user-guide/with-istio/#tracing-integration

所以我检查了 jaeger-collector 服务的端口，并选择了 http: jaeger-collector-http 14268/TCP

并修改了大使文档中显示的 TracingService：

但我看不到来自 Jaeger 大使的跟踪数据。

有人对这个话题有任何经验吗？

我正在尝试设置一个已经处理 CORS 请求的服务，并希望保持这种方式，而不是在边缘代理上处理 CORS 请求。

将cors字段留空根本没有帮助。

有没有办法通过大使实现这一目标？

我正在尝试将 Knative 与大使一起使用。按照以下步骤安装 Knative，

安装 Knative

配置大使，

配置 Knative 使用 ambassdor 作为入口，

我已经在“ambassador-ns”命名空间下安装了大使。它工作正常。

部署 hello world 应用程序，

当我检查 ksvc 的状态时，

Knative 控制器日志

你能告诉我我做错了什么吗？