问题标签 [servicemesh]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
2 回答
97 浏览

kubernetes - 针对 istio 出口流量的粒度策略

我有安装了 Istio 的 Kubernetes 集群。我有两个 pod,例如 sleep1 和 sleep2(安装了 curl 的容器)。我想将 istio 配置为允许从 sleep1 到 www.google.com 的流量,并禁止从 sleep2 到 www.google.com 的流量。

所以,我创建了 ServiceEntry:

网关

两个虚拟服务(mesh->egress,egress->google)

结果,我可以从两个 pod 卷曲 google。

又是一个问题:我可以允许从 sleep1 到 www.google.com 的流量并禁止从 sleep2 到 www.google.com 的流量吗?我知道这可能与 kubernetes NetworkPolicy 和黑/白名单(https://istio.io/docs/tasks/policy-enforcement/denial-and-list/)有关,但这两种方法都禁止(允许)流量到特定的 ips 或者我错过了什么?

0 投票
2 回答
773 浏览

kubernetes - 两个 Kubernetes 集群之间的 mTLS

我试图在两个 kubernetes 集群中的两个应用程序之间获取 mTLS,而不是 Istio 的方式(使用它的入口网关),我想知道以下是否可行(对于 Istio,对于 Likerd,对于 Consul ......)。

假设我们有一个带有应用程序 AA 的 k8s 集群 A 和一个带有应用程序 BB 的集群 B,我希望它们与 mTLS 通信。

  • 集群 A 为 nginx 入口控制器提供了letsEncrypt 证书,并为其应用程序提供了一个网格(无论如何)。
  • 集群 B 具有来自我们的根 CA 的自签名证书。
  • 集群 A 和 B 服务网格具有由我们的根 CA 签名的不同证书。
  • 流量从互联网流向集群 A 入口控制器 (HTTPS),从那里流向应用 AA
  • 流量到达应用 AA 后,此应用想与应用 BB 通话
  • 应用程序 AA 和 BB 具有通过入口暴露的端点(使用它们的入口控制器)。
  • TLS 证书以端点结尾并且是通配符。

您认为 mTLS 会在这种情况下工作吗?

0 投票
1 回答
110 浏览

microservices - 使用 Kuma 运行多云服务网格

如何使用Kuma运行跨基于 VM 的环境和基于 Kubernetes 的环境的多云服务网格?

具体来说,服务发现将如何以这样一种方式工作,即基于 VM 的工作负载可以发现基于 K8s 的工作负载,反之亦然?

0 投票
1 回答
1845 浏览

istio - Istio 入口网关:域名和端口转发

我已经建立了一个 Istio 服务网格。到目前为止,它工作正常。从外部我只能使用端口号(如http://www.mytest.com:41333. 我需要做什么才能转发80到,41333以便我可以访问它http://www.mytest.com

这是我的网关:

不知道该怎么办...

0 投票
0 回答
136 浏览

kubernetes - (kubernetes/GKE) 如何根据客户端 IP 地址在 istio 中路由流量?

我正在使用 GKE,它启用了自己的一组 istio 网格。我确实有一个网关和一个虚拟服务,可以很好地路由流量。但我想根据源 IP 将流量引导到不同的路径。我确实意识到我们可以在虚拟服务中使用匹配/标头,如this question所示,如下所示:

但这似乎对我不起作用。请建议,非常感谢。

0 投票
1 回答
90 浏览

kubernetes - 有没有像 Istio 这样支持 LXC 容器的服务网格实现?

我正在尝试了解服务网格架构。据我了解,服务网格实现通常会在 Kubernetes pod 中注入代理或代理,以实现服务到服务的通信。参考Kubernetes 可以在没有 LXD 守护进程的情况下管理 LXC 容器吗?,看来 Kubernetes 不能管理没有 LXD 的 LXC 容器。我想知道的是:

  1. 有没有像 Kubernetes 这样的容器编排平台可以管理 LXC 容器?
  2. 是否有任何现有的服务网格实现可以支持 LXC 容器?

任何指导或建议都会非常有帮助。

谢谢!

0 投票
1 回答
375 浏览

kubernetes - 使用 istioctl 和 Istio operator 升级 Istio 1.4.3 到 1.5.6

我可以使现有的 Istio 开源可安装与 (Istioctl + Operator) 兼容吗?我目前通过 istioctl 安装了 Istio 1.4.3 .. 并且需要在升级到 Istio 1.5.6+ 之前让现有的部署 Istio 操作员知道。这里有什么具体的步骤吗?

0 投票
1 回答
174 浏览

istio - 如何将正在开发的本地服务连接到托管服务网格?

我目前有一个正在开发的托管 (GCP) 微服务​​环境。在处理服务时,我目前在本地运行环境。我运行我正在处理的服务需要与之通信的所有服务。

这提供了糟糕的开发人员体验,因为:

  • 我必须启动每项服务;可能有很多
  • 运行这么多服务会占用我大量的系统资源
  • 如果这些服务中的任何一个需要数据库,我也必须设置它

我正在寻找解决方案。理想情况下,我将只在本地运行单个服务并连接到托管环境中的其余服务。

是否有任何流行的服务网格提供此选项?我主要关注 Istio 和 Kuma。有没有想到的替代解决方案?

0 投票
1 回答
106 浏览

amazon-ecs - Consul 连接 Envoy 代理动态端口

我们使用带有桥接网络模式的 AWS ECS,这就是为什么我们不能使用静态 21000 端口作为 sidecar Envoy 代理的原因,因为我们想为每个服务使用 sidecar Envoy 代理。不幸的是,由于某些原因,我们无法开始使用 awsvpc 网络模式,所以我们必须找到一种方法来为 Envoy 代理使用动态端口而不是 21000。有人能给我们一些建议吗?

0 投票
1 回答
415 浏览

kubernetes - Istio 不转发 Authorization 标头

有没有人知道如何将 Authorization 标头转发到微服务?

Istio 1.7