问题标签 [istio-gateway]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
grpc-python - 如何使用 python 客户端调用 knative 服务 [grpc 服务器]
我在 aks 集群中创建了一个 knative 服务 [gRPC 服务器] ,我使用 istio 网关私有静态 IP 公开了该服务,
使用命令kubectl get ksvc后,我得到了一个地址sample-app.test.10.153.157.156.sslio.io
当我尝试在 python 客户端中使用此地址时,它会抛出错误,提示无法连接地址,但如果我尝试使用 curl sample-app.test.10.153.157.156.sslio.io 访问服务,我可以访问服务,我不知道我在这里缺少什么..请建议..
kubernetes - 是否可以使用 RequestAuthentication 和 AuthenticationPolicy 进行微服务到微服务的通信
我们最近在我们的 kubernetes 集群上设置了 istio,并试图看看我们是否可以使用 RequestAuthentication 和 AuthenticationPolicy 使我们能够只允许命名空间 x 中的 pod 与命名空间 y 中的 pod 通信,前提是它具有有效的 jwt 令牌。
我在网上看到的所有示例似乎都只通过网关申请最终用户身份验证,而不是内部 pod 到 pod 通信。
我们尝试了几种不同的选择,但还没有运气。
我们可以让 AuthenticationPolicy 使用“from”来处理 pod 到 pod 的流量,源是命名空间 x 中 pod 的 IP 地址:
当我们为 jwt 添加 when 块时,它不起作用:
也试过这个,但似乎也不起作用:
提前致谢!
networking - 如何配置虚拟服务以使用 Istio 公开 Kafka?
我有一个 Kafka 服务,它的 Istio 配置如下:
我想直接从 Kafka 主题消费和生产。所以,我正在尝试创建一个虚拟服务。这是我使用的配置:
但是,这似乎不起作用。
当我尝试:
我得到:
有没有人成功使用 Istio 配置 Kafka VirtualService?
amazon-eks - 应用程序运行时 Istio 负载均衡器不工作,Pod 正常
我有一个具有多个微服务的应用程序,它在端口 443 上暴露了服务类型负载均衡器。在 eks 上部署时,它会生成一个 lb url,如果我点击它,它就会成功运行。现在我正在尝试使用 istio 进行蓝绿部署。我安装了 istio。它在 istio-system 命名空间中创建了一个负载均衡器。我在一些不同的命名空间中完成了我的应用程序以及网关和虚拟服务的所有设置。我在网关清单中使用了 https 443 端口。所有 eks 实例都在“服务中”,但 istio 负载均衡器不起作用。我不知道如何调试。寻求帮助。我将代码作为图像附加,对此感到抱歉。
如果我在不涉及 istio 的情况下使用 LoadBalancer 运行应用程序,那么它会成功运行,但 istio 的负载均衡器不知何故无法工作。我是不是迷路了
istio - 无法从
无法在网关上设置 mTLS。如果我设置网关mode: MUTUAL然后istio-ingressgateway输出
Failed to load trusted CA certificates from <inline>。我正在使用Cloudflare origin pull CA cert。mode: SIMPLE秘密工作如预期。
Istio 1.12.1
kubernetes - Istio 网关端口的奇怪行为
我很难理解 Istio 网关端口是如何使用的。我指的是下面示例中的第 14 行
从 Istio 文档中:
代理应侦听传入连接的端口。所以确实,如果你应用上面的 yaml 文件并检查 istio-ingressgateway pod 以监听 TCP 端口,你会发现端口 8169 实际被使用(见下面的输出)
但棘手的部分来了。如果在应用网关之前,您将 istio-ingressgateway 服务更改如下:
然后你应用网关,然后实际使用的端口不是 8169 而是 8069。似乎网关资源将首先检查 istio-ingressgateway 服务中的匹配端口,然后使用服务的 targetPort
谁能解释为什么?预先感谢您的任何帮助
amazon-web-services - 为什么 EKS istio 经典 LB 上的子域 tcp 路由无法按预期工作?
配置:
- 路由 53 *.mydomainname.com 指向经典 LB。
- 在经典 LB 上配置的 istio ingress。
- 网关 + 虚拟服务来路由特定的子域
这是yaml:
我希望 a.example.com 流量应该流向 svc1,而 b.example.com 流量应该流向 svc2。事实上,所有流量 *.example.com 都会路由到 svc1。我错过了什么?我怎样才能让它工作?
kubernetes - Istio 无法解析主机
我一直在尝试在亚马逊 EKS 上设置 istio,一切正常,负载均衡器等已分配,但在重新部署服务后,我在 Cloudfront 上得到 502。
我真的不知道发生了什么,并且 istio 分析显示一切都在验证中
我只是想学习,我已经使用 bookinfo 作为示例完成了他们的教程
编辑 1:当我尝试访问负载均衡器主机名时,它会引发 404 错误
这是我的配置文件:
网关.yaml:
部署.yaml:
wss - 允许 websocket 协议(ws:// 和 wss://)通过 istio
我正在尝试访问部署在 kubernet 中的服务并通过 istio 网关访问该服务:
使用 wscat 命令,当我尝试使用证书访问服务时,使用 wss 它总是给出错误:
但是,当使用具有相同 wss url 的忽略标志 (-n) 时,它工作正常。
用 curl 命令用同一个证书可以访问其他 https 服务:
ssl - mitm https 连接的 istio 出口跟踪/指标
我想从我控制不多(就代码而言)的 pod 到第三方出口端点(我根本无法控制)获取出口跟踪和指标。您可以将其视为例如从 wordpress 安装到api.wordpress.org.
我计划终止出口上的 tls,然后从那里创建一个新的 tls 会话。api.wordpress.org为此,我从可以注入 pod 的 CA生成证书。
我有以下配置:
通过此设置,我可以看到通过出口的流量(并且我有指标和跟踪出口端)。然而,没有关于起源的细节——这是有道理的,因为边车的特使看不到里面的交通情况。
有没有办法在不破解源 pod 源代码的情况下向出口提供源详细信息?如果可以设置它,我通常对 tls-in-tls 之类的奇怪东西很好(我不确定我是否可以在出口处终止 tls 两次——对于 istio_mutual 和简单层)。