问题标签 [istio]

Deployment的hostnetwork配置选项没有生效，pod启动后80和443port没找到

我们目前有一个设置，其中我们的 mesos/marathon 集群中的应用程序希望访问可能驻留在或可能不驻留在我们的 mesos/marathon 集群中的服务。外部流量进入集群是通过位于 Traefik 实例集群前面的 Amazon ELB 完成的，然后它通过传入的 HTTP Host 标头选择适当的容器实例集进行负载平衡，与本质上是多对多对-针对特定容器实例的已配置主机标头的一个关联。内部到内部的流量实际上也由相同的路由处理，因为与给定服务关联的 DNS 记录映射到我们的 mesos/marathon 集群内部和外部的同一个 ELB。我们还提供了让多个 DNS 记录指向同一个容器集的能力。

此设置有效，但对我们的 ELB 和 Traefik 集群造成了看似不必要的网络流量和负载，就好像容器或其他组件中的应用程序能够自行确定他们希望调用的服务在他们所在的特定 mesos/marathon 集群，并适当地调用集群内部的某些东西，或者直接调用特定的容器本身。

根据我对 Kubernetes 的理解，Kubernetes 提供了服务的概念，它本质上可以作为一组 pod 的前端，基于服务应该匹配哪些 pod 的配置。但是，我并不完全确定我们可以让 Kubernetes 集群中的应用程序透明地知道将网络流量引导到服务 IP 的机制。我认为通过让 Envoy 代理流量用于例如服务名称可以帮助其中的一些<application-name>.<cluster-name>.company.com，但是如果我们有一个映射到之前的 DNS 条目的 CNAME（例如，<application-name>.company.com），我不完全确定我们如何可以避免退出集群。

有没有解决这两种情况的好方法？我们试图避免让我们的应用程序的逻辑必须了解它位于特定的集群中，并且希望应用程序之外的组件能够适当地执行路由。

如果我从根本上误解了某个特定组件，我将很高兴得到纠正！

环境：Bluemix + K8 + Istio + Bookinfo

参考https://istio.io/docs/tasks/security/mutual-tls.html

执行时 - 测试身份验证设置，第 4 步，它失败了，因为容器安装了不支持 curl 命令的最小 linux。

在指南https://istio.io/docs/tasks/traffic-management/egress.html中，有一种方法可以通过包含 IPRange 来访问非 http 流量。但是，当我按照说明操作时，我仍然无法访问任何内容。这条规则是否应该允许我绕过 istio 进行出口，因为我认为它应该或者我错过了什么？

我运行这个命令的一个版本

kubectl apply -f <(istioctl kube-inject -f samples/sleep/sleep.yaml --includeIPRanges=172.30.0.0/16,172.20.0.0/16,10.10.10.0/24) 是它建议给 bluemix 用户的命令，但是这个对我不起作用。当我尝试从我的应用程序存储到云对象存储中时，我收到 500 错误，但是没有 istio sidecar，存储功能可以完美运行。

只是想知道在使用 Istio sidecar 注入服务时使用 AWS SDK 访问 AWS 资源（例如 S3）时是否有人有任何运气/解决方案。

正如 Istio 的文档指出的那样：

1. 流量将通过 Istio sidecar，您需要将 DNS 或 IP 列入白名单。
2. https 不可用。只能通过将格式更改为“ http://www.google.com:443 ”

但是，AWS SDK 处理 https 连接，因此我无法重写 URL。随后，我将收到“http：服务器向 HTTPS 客户端提供 HTTP 响应”错误。

非常感谢。

首次在 Kubernetes 1.7.9 中安装 Istio。安装了自动边车注入。在尝试示例应用程序时，虽然 side car 和应用程序容器已启动并处于“运行”状态，但 proxy_init 卡在 PodInitializing 并且整体 Pod 状态为 Init:0/1。

初始化器已启用：

从 istio-Proxy 日志中，

但 proxy_init 卡在等待状态。

使用

• minikube 0.23
• kubectl 1.8x
• istio 0.2.10

启用自动边车注入并使用所有正确的插件启动 minikube

我看到微服务旁边的边车。

但我现在无法在启用 istio 的情况下访问患者微服务。

我得到以下信息：

没有 istio 做这个 PUT 没有问题。谢谢你的帮助。

我正在使用 Istio 指南中的 Bookinfo 示例。部署成功。我可以看到产品页面。

当我查看 'productpage' pod 的详细 Envoy 设置时，我感到很困惑。LDS 的 istio-pilot 的返回显示它有两个监听器（以及其他），一个正在观看0.0.0.0:9080，另一个正在观看172.17.0.9:9080（这是 productpage pod 的 clusterIP）。

• 监听172.17.0.9器处理入口流量并将所有内容路由到本地主机，这是有道理的。
• 监听0.0.0.0:9080器似乎处理了对应用程序其他服务的所有出口请求，例如详细信息、评论。但如果其域是“productpage.default.svc.cluster.local”，它也会处理请求，并将其路由到 pod 本身。那么当请求发送到 productpage svc 时，这会创建一个循环吗？

我确信循环没有发生。但只是想知道是什么阻止了它？或者我阅读 Envoy 配置的方式是错误的。

另外，我认为一旦在同一个端口上创建了监听器，就不允许监听特定的接口0.0.0.0？

我当前的 istio 版本是 0.2.12。我有一个使用 istio kube-inject 部署的部署，并尝试连接到不使用 Istio 的 kubernetes 集群内的服务/部署，如何允许从使用部署的 istio 访问使用部署的非 istio。在这种情况下， istio 烘焙部署是一个 Spring Boot 应用程序，另一个是一个临时 MySQL 服务器。有任何想法吗？

我有一个部署 istio 被注入，可以访问谷歌地图距离矩阵 api。如果我运行 istioctl kube-inject--includeIPRanges 10.0.0.0/8似乎可以工作。如果我删除此标志并应用出口规则，它将不起作用：

apiVersion: config.istio.io/v1alpha2 kind: EgressRule metadata: name: google-egress-rule namespace: microservices spec: destination: service: "maps.googleapis.com" ports: - port: 443 protocol: https - port: 80 protocol: http

部署和出口规则都在同一个命名空间（微服务）中。

知道我的错在哪里吗？