问题标签 [istio-operator]

我正在尝试通过 Istio HTTPS->配置 TLS 终止HTTP。

HTTP80 工作正常。

HTTPS443 仅适用于/路径。

HTTP 200：

HTTP 404：

Istio 访问日志：

我不确定我做错了什么。通过查看文档，一切都应该正常工作。设置是带有 NLB 的 AWS EKS 上的 ISTIO 操作员。

另外，我在 istio-system 命名空间中有一个证书-机密。服务和部署具有必需的标签。

FIX：问题在于我对 Ingress 的定义

它应该是：

配置 Ingress pathType ImplementationSpecific 行为 #26883

我正在尝试创建一个 Istio Virtualservice。但是，尽管我绑定了 cluster-admin 角色，但我收到了以下错误。

我还尝试创建一个新Clusterrole的，如下所示并为我的用户创建一个绑定，这也不会产生任何结果。

我们在 K8s 集群上运行 Istio 时遇到问题，并在“Istio-sidecar-injector”pod 中看到以下错误。当前使用的 Istio 版本是 1.3.8

无法解析模板：模板：注入：1：未定义函数“Template_Version_And_Istio_Version_Mismatched_Check_Installation”{{ Template_Version_And_Istio_Version_Mismatched_Check_Installation }}

根据目前的分析，我们发现有人对部署进行了更改，并且可以看到添加了 istiod，可能是因为它正在破坏 1.11.3 版本

我有两个不同的微服务在相同的命名空间中运行，它们都具有相同的上下文路径（例如 - my/context/path），进一步的控制器在它们中是不同的，例如服务一支持 - my/context/path/service1并且 service2 现在支持 my/context/path/service2 当我这样定义时，它总是重定向到 service1，有没有可能的方法来实现这一点？下面是我的VS：

我也在VS下面尝试过，但这似乎也重定向到第一个服务。

我不确定这是否可以实现，或者我是否需要将两个服务的上下文部分分开？

问题

我正在尝试修改指标，以使其中一些指标的维度少于默认维度。我按照这里的例子。我的代码如下所示：

我如何理解代码，现在不istio_request_total应该有destination_canonical_revision尺寸，但它确实有。如果我做错了什么或者这是一个错误，请告诉我。

版本

Kubernetes：使用命令安装的 Azure Kubernetes Services (1.20.9)
Istio 1.11.4istioctl install --set profile=demo -y

解决方案

它不起作用，因为我使用 kubectl 添加 IstioOperator。在我切换到 istioctl 后，一切都按预期工作。

我们最近在我们的 kubernetes 集群上设置了 istio，并试图看看我们是否可以使用 RequestAuthentication 和 AuthenticationPolicy 使我们能够只允许命名空间 x 中的 pod 与命名空间 y 中的 pod 通信，前提是它具有有效的 jwt 令牌。

我在网上看到的所有示例似乎都只通过网关申请最终用户身份验证，而不是内部 pod 到 pod 通信。

我们尝试了几种不同的选择，但还没有运气。

我们可以让 AuthenticationPolicy 使用“from”来处理 pod 到 pod 的流量，源是命名空间 x 中 pod 的 IP 地址：

当我们为 jwt 添加 when 块时，它不起作用：

也试过这个，但似乎也不起作用：

提前致谢！

我目前正在检查我们是否能够根据服务条目名称连接外部端点，以便我们轻松切换服务条目中配置的主机。下面是我正在使用的当前配置，也在ISTIO_META_DNS_CAPTURE: "true"istio 配置中启用

但是对 elasticsearch-cluster-dev 的连接请求返回 Could not resolve host

我们能否根据 istio 中的 ServiceEntry 名称连接到外部端点？我是否缺少任何 istio 配置？

我使用此代码（来自 istio 的官方站点）来“设置远程配置集群”，当我应用 yaml 文件时 出现错误：“configCluster”未在 istio.io/v1alpha1 中识别“

为什么我的身份不明，请指导我。

我们正在使用 Istio 1.11.2 并面临 Istio 重试的一些问题。

为了禁用自动重试，我们在 http 列表的对象中添加了以下块。但是，Istio 仍然会重试请求。

我有一个场景，我需要在不标记命名空间的情况下将 istio-side 注入工作负载。我无法标记命名空间的原因是因为在我的集群中，命名空间是通过自动化过程创建的，并且由于安全原因，目前我无法更改该过程。因此想了解是否有一种方法可以自动将 istio sidecar 注入到工作负载中而无需标记命名空间。

我已经尝试和测试过的资源。

1. 使用sidecar.istio.io/inject="true"部署/pod 定义中的注释。 Note: the annotation will only work with if the namespace is labelled and for this reason I really don't why do we even have this annotation. For more information please visit: https://github.com/istio/istio/issues/6476#issuecomment-1023817004

2. 手动注入有效，但它有太多的操作开销，因此不是首选方法。

3. DiscoverySelector 构造仅适用于命名空间，而不适用于 kubernetes 内的部署/pods 对象。

Istio 版本