问题标签 [istio-operator]

如何使用 IstioOperator 启用 sidecar 注入？这是我的配置，这还不够。

我正在尝试升级 Kubernetes 集群中的节点。当我这样做时，我会收到一条通知：

命名空间 istio-system 中的 PDB istio-ingressgateway 允许 0 个 pod 中断

PDB 是 Pod 中断预算。基本上， istio 是说它不能松开那个 pod 并保持一切正常。

在 Istio GitHub 问题上对此进行了很长时间的讨论。这个问题已经持续了2年多。大多数讨论都围绕着说默认设置是错误的。几乎没有解决方法的建议。但其中大部分是 1.4 之前的版本（以及 Istiod 的引入）。我能找到的可能与当前版本兼容的最接近的解决方法是向IstioOperator添加一些额外的副本。

我尝试了一个补丁操作（在 PowerShell 中运行）：

在哪里istio-ha-patch.yaml：

我应用了它，并检查了 IstioOperator 的 yaml，它确实适用于资源的 yaml。但是入口 pod 的副本数没有增加。（它保持在 1 of 1。）

此时，我唯一的选择是卸载 Istio，应用我的更新，然后重新安装 Istio。（呸）

有没有办法让 Istio 的入口网关的副本数增加，这样我就可以在滚动节点升级时保持它的运行？

我正在我的本地 Kubernetes 集群中配置 Istio。作为其中的一部分，我必须与我的系统管理员协调设置 DNS 和负载平衡器资源。

我在学习和设置 Istio 的工作中发现，我需要完全卸载它并重新安装它。 当我这样做时，Istio 将为 Ingress Gateway 选择一个新端口。 这需要我与系统管理员协调更新。

如果我可以强制 Istio 继续使用相同的端口会很方便。

我正在使用 Istio Operator 来管理 Istio。 有没有办法使用 Istio Operator 设置 Ingress Gateway 的 NodePort？

我试图通过 Istio 访问 OpenFaaS，其中包含网关和虚拟服务。

我需要为 OpenFaaS 创建一个单独的端点，例如："http://istio_ingress_Loadbalancer/openfaas"- 这应该给我 OpenFaaS UI。

任何人都可以帮助我，关于我很难访问这个吗？下面是我为网关和虚拟服务编写的代码。

我对 ISTIO 很陌生，想澄清我的以下疑问。

我们计划在生产中的 AKS 集群 1.18.14 中将 Istio 版本从 1.7 升级到 1.8。

但是我不确定在生产中要遵循的正确升级方法，因为 Istio 提供了多种方法。

我不知道当前 Istio 设置是如何在我的环境中完成的，以及我们使用了哪些配置文件设置，因为它很久以前就完成了。可以理解以下是安装 istio 所遵循的步骤..

Istio 的安装方式如下：

1. 创建的清单：

   istioctl manifest generate --set profile=default -f /manifests/overlay/overlay.yaml > $HOME/generated-manifest.yaml

2. 安装的 istio：

   istioctl install --set profile=default -f /manifests/overlay/overlay.yaml

3. 针对已部署的清单验证了 istio：

   istioctl verify-install -f $HOME/generated-manifest.yaml

是否有任何方法可以导出所有现有设置（当前正在运行的设置）并进行升级？

因此，我正在寻找一种生产就绪的方法来升级 Istio，并放置所有现有设置。

我有一项服务，我在其中添加了 5 分钟的延迟。因此，对该服务的请求将需要 5 分钟才能给出响应。现在我已经使用 istio v1.5 在 kubernetes 中部署了这个服务。当我通过入口网关调用此服务时，我会在 3 分钟内超时。

我尝试将虚拟服务中的超时设置为大于 3 分钟，但这不起作用。只有在虚拟服务中设置的小于 3 分钟的超时有效。

除了VirtualService，还有其他可以设置超时的配置吗？

3分钟（180s）是我们可以在VirtualService中设置的最大值吗？

文件说，

使用运算符确实有安全隐患。使用该istioctl install命令，操作将在管理员用户的安全上下文中运行，而使用操作员，集群内 pod 将在其安全上下文中运行该操作。为避免漏洞，请确保运营商部署足够安全。

应该怎么做才能保护 Kubernetes 中的操作员部署？

我正在使用 calico CNI 的 EKS 集群上使用 istio-operator 设置 istio 控制平面。在集群上安装 istio 后，我知道新的 pod 没有出现，我在谷歌搜索后得到的原因如下：

Istio 安装成功但无法部署 POD

现在，我想仅使用 istio-operator 对 istiod 部署应用hostNetwork: true更改spec.template.spec。

我做了一些谷歌搜索来更改或覆盖 istiod 部署的值，并获得了以下 yamls 文件：

https://github.com/istio/istio/tree/ca541df418d0902ebeb9506c84d24c6bd9743801/operator/cmd/mesh/testdata/manifest-generate/input

但他们也没有工作。以下是我应用的最后一个配置：

任何人都可以帮助我仅使用 istio-operator 添加到 istiod 部署吗hostNetwork: true？spec.template.spec

我正在尝试通过 IstioOperator manifest 和 k8s.overlays 为 istio ingressgateway 修补 podAntiAffinity 但总是得到类似的东西：

podAffinityTerm 不是有效的键：值路径元素这是我的配置：

确切的错误：

错误：路径 spec.template.spec.affinity.podAntiAffinity.preferredDuringSchedulingIgnoredDuringExecution.[podAffinityTerm.topologyKey:"topology.kubernetes.io/zone"].labelSelector.matchExpressions.[0].values.[0]: [podAffinityTerm 不是有效的 key:value 路径元素，路径 spec.template.spec.affinity.podAntiAffinity.preferredDuringSchedulingIgnoredDuringExecution.[podAffinityTerm.topologyKey:"topology.kubernetes.io/zone"].labelSelector.matchExpressions.[0].values.[0]: [podAffinityTerm 不是有效的键：值路径元素

此外，如果我使用索引而不是键/值对，它也可以正常工作。
感谢您的任何建议。
PS Istio 版本为 1.10.3

Istio-citadel发布的podistio 1.4.10 helm会定期重新启动。

2 个副本istio-citadel正在运行。

这种情况每 4-5 天发生一次，此时 CSR 请求数达到 28.3k，内存达到 9.8G。重新启动后内存稳步增加，直到再次崩溃。还观察到 CPU 峰值消耗了大约 10 个 CPU。

重启前 4 分钟可以看到以下错误日志。

想了解错误信息以及可以解释周期性重启的原因。