问题标签 [istio-sidecar]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
azure - 带有 istio 服务网格的 gke 中的 Azure apim 网关
我的 azure apim 网关安装在 gke 中并且能够与 api manager 通信。但是当我在 gke 集群上设置 istio 时,它无法连接到 azure api 管理日志连接在这里拒绝任何建议我如何在 gke 中的 istio 与 azure api 管理之间进行通信?
prometheus - 使用 Prometheus 和 Envoy 侧车代理抓取应用程序指标
我正在为我的工作负载使用 GKE。我已经在我的集群上安装了 Istio 1.11.0。我还istio-system使用此链接在命名空间中安装了 Prometheus 。
我在prom-test命名空间中部署了一个 Python 应用程序,它在端口 8080 收集指标,如下所示。
我在部署文件中使用了以下注释来让Prometheus抓取指标
1)应用程序容器和2)特使代理容器中运行了2个容器
当我打开 Prometheus 仪表板时,我看到所有目标都已启动,并且对于我的应用程序,它正在被抓取
但我可以看到任何与应用程序相关的指标?
如果这里的退伍军人可以提供相同的建议,那将非常有帮助
go - 使用默认配置文件在k8s-1.15上安装istio-1.5.0,istio-proxy遇到istio-token pmission denied问题
在 k8s-1.15 上使用默认配置文件安装 istio-1.5.0,istiod 确实无法启动。因为 istio-token 的访问权限不对,查看 istiod,istio-token 文件的权限是 istio-proxy,但是没有读写权限。
filemode: -rw----- ,无法通过 istio-proxy 访问,仅适用于 root 用户。
尝试修改试验代码中token文件的权限,发现该文件是只读的,无法修改,但配置文件中已经配置了readonly=false:
其他相关配置项如下:
任何人都可以提供一些建议或帮助吗?
envoyproxy - 有没有办法我们可以配置特使发送通过时间戳排序的访问日志?
我注意到日志是按随机顺序接收的,而不是按时间戳排序的。有没有办法可以调整 Envoy 以有序的方式发送访问日志?
istio - Istio 流量状态以及 Istio 中的流量如何流动
关于 Azure Cloud 中 Istio 中的流量如何流动,我有一个简单的问题。在我的例子中,入口流量从客户端(原始源公共 IP)传输到负载均衡器(公共 IP),它到达 Pod,但不会返回到负载均衡器。相反,出口流量似乎希望通过 Azure 虚拟网络中定义的“正常”0.0.0.0/0 路由直接返回到客户端 IP。
我猜 Proxy Envoy 是没有状态的,不允许流量通过同一条路线返回。我应该添加一个 egressrule 以指向负载均衡器 IP 吗?
kubernetes - Istio 版本 - Template_Version_And_Istio_Version_Mismatched
我们在 K8s 集群上运行 Istio 时遇到问题,并在“Istio-sidecar-injector”pod 中看到以下错误。当前使用的 Istio 版本是 1.3.8
无法解析模板:模板:注入:1:未定义函数“Template_Version_And_Istio_Version_Mismatched_Check_Installation”{{ Template_Version_And_Istio_Version_Mismatched_Check_Installation }}
根据目前的分析,我们发现有人对部署进行了更改,并且可以看到添加了 istiod,可能是因为它正在破坏 1.11.3 版本
kubernetes - 如何将 pod 出口流量限制为仅外部
我需要将 pod 出口流量限制到外部目的地。Pod 应该能够访问 Internet 上的任何目的地,并且所有集群内部目的地都应该被拒绝。
这是我尝试过的,但没有通过验证:
Istio 1.11.4
kubernetes - Kubernetes 部署因 istio-sidecar 注入而失败
我们的 K8 集群运行了一年多,最近它出现了一些奇怪的行为,现在当我们使用 部署应用程序时kubectl apply -f deployment-manifest.yaml,它没有显示在kubectl get pods. 但显示在kubectl get deployments状态0/3中。kubectl describe deployment app-deployment
当我检查kube-apiserver日志时
Kube 控制器日志
当我检查kubectl get pods -n istio-system
出口和入口网关日志有
试图获取此处描述的详细信息,但它没有显示任何资源。
尝试在非 istio 注入的命名空间中部署应用程序,它可以正常工作。
我们有运行 Ubuntu-18.04LTS 的裸机集群。
Kubernetesv1.18.8
如此处所述,跑kubectl get --raw /api/v1/namespaces/istio-system/services/https:istiod:https-webhook/proxy/inject -v4
从入口网关
编辑:在主节点/var/lib/kubelet/config.yaml
我们可以ping从我们的节点访问这个 IP。
我在corednspod 日志中发现了这个
kubernetes - Sidecar 会在 K8s 部署中扩展吗?
有没有人有这种情况的实际经验?考虑到服务的负载和并发性增加,sidecars 是否也会扩展?可以定义界限吗?
kubernetes - istio 过滤跟踪标头(如 x-b3-*)在哪里
我看到 istio在启用跟踪时正在向传入请求添加x-b3-traceid,和其他标头。x-b3-spanid但是它们都没有返回给调用者。
我能够x-b3-traceid在日志中捕获并在 Tempo/Grafana 中找到它。我可以traceid在 istio envoy 代理(sidecar)上看到,我可以使用EnvoyFilter.
有人可以告诉我它在哪里过滤吗?