问题标签 [servicemesh]

我正在审查转向服务网格的过程。虽然Istio并且Consul Connect肯定仍然存在，但我倾向于使用Linkerd和从较低的级别进行构建SPIFFE/SPIRE。

我想构建一个“hello world”网格来测试这个架构。在这个 hello world 网格中，我希望能够从SPIFFE/SPIRE该编码某种角色中颁发证书。正如您可能知道的那样，我是服务网格的新手。我将如何实现角色？是否有任何指南可以帮助我入门？

我目前正在使用 Istio 作为 Kubernetes 的服务网格。我想用 Elastic Stack 实现可观察性基础设施，我知道 jaeger 和 Prometheus 支持 Istio，但我必须通过 Elastic Stack 捕获分布式跟踪和矩阵。有人可以告诉我如何通过 Istio 将跟踪和矩阵导出到 ELK 堆栈。高度赞赏参考实现（或高级图）

提前致谢

我正在尝试根据此文档为领事连接服务网格配置异常值检测。

https://learn.hashicorp.com/tutorials/consul/service-mesh-circuit-break?in=consul/developer-mesh

文档显示可以使用 proxy.upstreams 中的配置节来配置异常值检测和断路。但是以下作业文件会引发错误 -Blocks of type "config" are not expected here.

我做错什么了吗？这不是在游牧作业文件中配置断路的正确方法吗？

我们在 K8s 集群上运行 Istio 时遇到问题，并在“Istio-sidecar-injector”pod 中看到以下错误。当前使用的 Istio 版本是 1.3.8

无法解析模板：模板：注入：1：未定义函数“Template_Version_And_Istio_Version_Mismatched_Check_Installation”{{ Template_Version_And_Istio_Version_Mismatched_Check_Installation }}

根据目前的分析，我们发现有人对部署进行了更改，并且可以看到添加了 istiod，可能是因为它正在破坏 1.11.3 版本

当我阅读断路器的文档时，我看到很多关于弹出主机等的引用。这很酷，但我想通过路径弹出。这可能吗？

例如：

• https://example.com/good/*总是以 200 秒等快速响应，所以我们保持不变。但
• https://example.com/bad/*正在响应 500 秒或超时，所以我们想以某种方式阻止对它的调用。

目标规则似乎是配置它的唯一方法，它们似乎只是主机级别的东西？

提前致谢。

我必须让现有的微服务运行。它们以 docker 图像的形式给出。它们通过配置的主机名和端口相互通信。我开始使用 Istio 来查看和配置每个微服务的呼出调用。现在我需要重写/重定向主机和从一个容器发出的请求的端口。我如何使用 Istio 做到这一点？

我将尝试举一个最小的例子。有两个服务，服务-a 和服务-b。

我可以 docker exec 进入 service-a 并成功执行：

现在，为了模拟我的问题，我想通过使用另一个主机名和端口来访问 service-b。我想配置 Istio 以使该调用也可以工作：

最好的问候，克里斯蒂安

是否可以配置与应用程序一起运行的 Istio sidecar(envoy) 以终止 tls 作为 Istio Ingress Gateway？

目标是在出站/入站时终止我的应用程序 TLS，并在连接到其他 sidecar 时使用 Istio mTLS 进行加密，并在将流量转发到上游之前使用我的证书将其加密。

如果是这样，请参阅一些文档。

istio-proxy 容器日志

[2021-11-12T22:22:17.663Z]“---”0--rbac_access_denied_matched_policy[none]“-”109 0 0-“-”“-”“-”“-”“127.0.0.1:8080”入站|8080|| 127.0.0.1:34840 10.129.2.236:8080 10.129.2.236:55638 - -

当从 istio-proxy sidecar 卷曲到前端应用程序的同一个 pod 中时，结果为空。当直接在前端容器中卷曲时，结果符合预期（html 结果）。

Istio 网关定义或其他地方缺少什么？

缺少授权策略？(rbac_access_denied_matched_policy)

感谢您的任何提示。迈克尔

Cansomeone help with Consul Service Mesh 帮助我理解此查询，请在此处提及

https://discuss.hashicorp.com/t/getting-empty-reply-when-accessing-a-pod-ip-which-has-consul-sidecar-containers/32389/2

计数-d9d58c4cb-fr5cr 2/2 运行 0 33h 10.288.0.157

现在，如果使用 Pod IP 进行如下卷曲

% Total % Received % Xferd 平均速度 时间 时间 当前 Dload 上传总花费 左速度 0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:-- 0 curl: (52) 来自服务器命令的空回复以退出代码 52 终止

如果使用注释 'consul.hashicorp.com/connect-inject': 'true' 在部署中不存在 consul sidecar 容器，则相同的 curl 命令会按预期工作并给出响应。有人可以对此有所了解并帮助我理解这一点

我按照特使文档https://www.envoyproxy.io/docs/envoy/latest/start/install了解如何安装特使代理：但我一直收到同样的错误：

我还尝试禁用和启用防火墙，不断收到相同的错误。

如果有人有任何建议，请帮忙。