问题标签 [istio-sidecar]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
istio - 为 tls 和 MTLS 配置 istio
我有一个 Kubernetes 应用程序,并且正在设置 istio sidecar。是否可以为 API 子集和其他使用简单 TLS 的子集配置 istio MTLS?
istio - 是否可以在同一命名空间中使用特使代理的工作负载和另一个没有特使代理的工作负载之间进行通信?
我是 istio 的新人。
就像标题一样,我在同一个命名空间中部署了一个 pod 注入的 envoy sidecar 和一个没有 envoy 的 pod。当我尝试从没有 envoy 的 pod 访问有 enovy 的 pod 时,没有任何进展,就像被阻止一样。
要访问具有 enovy 的工作负载,它必须具有 enovy 代理吗?还是有其他方法可以做到这一点?
提前致谢。
proxy - Istio 上的 Jgroups
我正在尝试让 Jgroups 集群在 Istio 上工作。如果没有 istio,我可以让它工作。总之,下面的代码将尝试将 2 个 pod 放入一个 jgroups 集群。当他们在集群中时,我希望看到
但是,当我使用 istio 注入将相同的代码部署到命名空间中时,我从未看到过这一点。我只看到独立隔离的 POD。我错过了什么?我需要进行哪些配置才能使其正常工作?可能吗 ?
我知道这可能与如何通过 istio-proxy 代理通信有关。
我使用以下清单部署了 istio
我的图像有以下代码
测试.xml
istio - Istio 服务到服务流量加密
设想:
- 在 1 个 Azure Kubernetes 服务 (AKS) 中,有 2 个 .NET 服务正在运行:Service1 和 Service2
- Service1 和 Service2 都侦听 HTTP:80 和 HTTPS:443
- 两种服务都运行 Istio 和 Istio 代理
为了确保同一集群中服务之间的流量加密,使用双向 TLS,
Service1 是否需要调用 Service2 HTTPS:443 端点?
或者
调用 Service2 HTTP:80 就足够了,其余的由 istio 处理?
kubernetes - Istio:在不同节点注入的 pod 副本无法与 istio 通信
使用 Istio 1.9.2
当 Kubernetes 决定在与 istio-ingressgateway 的节点不同的节点上部署(envoy 注入)pod 时,envoy sidecar 在下面抛出此错误并且 pod 仍然不健康(Readiness probe failed: Get "http://10.244.2.101:15021/healthz/准备好”:拨打 tcp 10.244.2.101:15021:连接:连接被拒绝):
登录到我的 pod bash 并执行 curl,连接被拒绝:
kubernetes - 如何通过 Istion 入口网关访问 prometheus 和 grafana?我已经通过 Helm 安装了 promethius anfd grafana
我使用以下命令来调出 pod:
然后我使用以下命令创建 custerIp:
然后我使用了以下虚拟服务:
输出:
现在,当我尝试访问它时,我从 grafana 收到以下错误:
kubernetes - 在 K8s/Istio 上浏览我的 Grafana 部署时出现“上游连接错误”
我正在使用连接到 PostgreSQL 的 Grafana v7.3.3。我让它在使用 Istio 的 Kubernetes 环境中运行,通过 ArgoCD 部署。大约 50% 的时间在网站上一切正常,但其他 50% 的时间会出现以下类型的错误:
- 503 服务不可用 -> 上游连接错误或在标头之前断开/重置。重置原因:连接终止
- 错误上游连接错误或在标头之前断开/重置。重置原因:连接终止
然后我刷新页面,然后有一半的时间它会再次正常工作。我并没有在应用程序日志和 Istio 日志中看到任何可以给我任何线索的东西。有人知道我可以开始寻找什么来解决这个问题吗?
错误是零星的,所以它工作了几分钟,然后你点击或刷新页面,它坏了,然后你刷新它就可以正常工作了。
docker - Istio 允许在 Docker Desktop Kubernetes 上使用第三方 JWT
我使用的是 docker 桌面自带的预打包的 Kubernetes 集群。我在 Windows 机器上,使用 WSL 2 在 Ubuntu-18.04 VM 上运行 Kubernetes。在我的 Kubernetes 集群上,我运行:
但我得到消息:
之后,它会一直冻结直到超时:
有没有办法在我的集群中启用第三方 JWT?
kubernetes - 为什么我的 TCP Istio EnvoyFilter 不工作?
我正在尝试通过 Envoy 过滤器设置 TCP idleTimeout,以便外部域的出站连接some.app.com
在空闲 5 秒后将被终止:
但是,当我尝试应用此过滤器时,出现以下错误:
所以,我意识到上面的 EnvoyFilter 配置不支持istio 1.2.5
,所以我修改了配置以使用旧版本:
修改后创建了 EnvoyFilter,但它似乎对出站请求没有任何影响。此外,我找不到一种方法来将此过滤器限制为仅发送到外部服务的出站请求some.app.com
。
我的 EnvoyFilter 配置中是否缺少某些内容?另外,我们可以限制这个过滤器some.app.com
吗?下面有address
选项,listenerMatch
但是如果外部服务的 IP 地址不断变化怎么办?
使用的 Istio 和 EnvoyProxy 版本:
istio - 上游连接错误或在标头之前断开/重置。重置原因:连接失败
我在标头之前面临上游连接错误或断开/重置的问题。重置原因:我的部署和服务文件在这里连接失败
这里是Gateway and virtualservice
当我使用 minikube-ip:istio-engress 访问时,我得到了这个错误,但是当我只是将图像从我的到 bookinfo 产品页面时,没有这个错误。我不知道这是为什么,从哪里来。请帮助我,我将非常感谢你!