问题标签 [servicemesh]

我有A、B、C三个服务，它们之间的调用关系是A->B->C。

我想在调用A的时候传入一个特殊的http头，这个请求引起的后续请求会自动携带这个http头。

是不是只有java-agent在不侵入服务代码的情况下才能做到这一点？Envoy 似乎要求用户修改服务代码以显式配置 http 标头。

环境：

• 腾讯云上的 K8s-1.20.6
• Istio-1.12.1（使用demo配置文件安装）

在本文档中，它说“如果客户端在网格内，则可以使用 Istio 双向 TLS 加密此流量” https://istio.io/latest/docs/ops/configuration/traffic-management/tls-configuration/

服务网格中有服务 A 和 B。

我进入服务 A，然后请求服务 B，但在此日志中找不到流量已加密。

如何知道 istio 服务网格中的服务流量是否加密？

Kubernetes 通过其kube-proxy. Kubernetes 的 kube-proxy 本质上是一个 L4 负载均衡器，因此我们不能依赖它来负载均衡 L7-transport，例如多个 gRPC 实时连接或基于 http-headers、cookie 等的负载均衡。

像istio这样的服务网格实现可以在 L7 级别处理这些模式，包括 gRPC。但我一直认为 Service Mesh 只是 Kubernetes 之上的另一层，具有额外的功能（加密流量、蓝/绿部署等）。例如，我的假设始终是 Kubernetes 应用程序应该能够在没有 Mesh（例如用于开发/测试）或打开 Mesh 的情况下在 vanilla Kubernetes 上工作。在 L7 上添加这种高级流量管理打破了这一假设。我将无法再在普通 Kubernetes 上工作，我将被绑定到 Istio 数据平面（Envoy）的特定实现。

请告诉我我的假设是否正确或为什么不正确？在这个互联网上没有太多关于这种类型的关注点分离的信息。

您能否建议Istio（服务网格）是AWS EKS FARGATE的正确选择？

我正在尝试在 AKS 上安装 istio，但遇到了一些需要先在本地计算机上安装 istio 的资源。我无法理解本地机器部分。我确实尝试在本地机器上安装 istio，但遇到网络错误，说目标机器没有响应。除了 istio 安装的官方文档之外，您能帮我提供任何好的分步资源吗？谢谢你。