服务 pod 正在使用 Istio sidecar 容器运行,并且启用了 MTLS。我们如何定义服务监视器来从此服务中抓取指标?我们是否需要为此更新 Prometheus 服务器? 我的 Pod 监视器如下所示: apiVersion: monitoring.coreos.com/v1 kind: PodMonitor metadata: name: mymonitor labels: release: podwithistiosidecar spec: selector: matchLabels: app: podw...
我正在尝试在已安装 Istio 的 Kubernetes 集群上部署 Helm 图表。以下是我的 Helm 图表依赖项的片段: dependencies: - name: opensearch version: "0.13.0" repository: "https://charts.bitnami.com/bitnami" - name: openebs version: '3.10.0' repository: https://openebs.github.io/charts 启动安装后,OpenEBS 成功创建了一个init-pvc...
我已尝试在 kubernetes 中使用 istio,参考 istio 官方网站。在那里,我可以访问 kiali、prometheus,但无法连接 jaeger-collector。由于我使用的是 EKS 和 VM,我已将它们公开为负载均衡器。当我尝试在浏览器中访问 jaeger 时,出现 404 错误。我还能做什么? 我尝试了官方网站上的 istio demo,但出现了错误。我希望在浏览器上可视化 jaeger。 ...
我正在尝试使用以下命令在我的 Azure kubernetes 集群中激活 istio: az aks mesh enable --resource-group rgtest01 --name akstest01 我收到错误信息: (BadRequest) 不允许请求更改修订版本。原因:服务网格附加组件不支持修订版本 asm-1-17。代码:BadRequest 消息:不允许请求更改修订版本。原因:服务网格附加组件不支持修订版本 asm-1-17。 我的 Azure kubernetes 集群正在运行版本 1.26.3。 有人知道如何激活网格而不收到错...
为了避免任何 XY 问题,我将分享整个故事。 我想部署 Istio 的多集群设置;特别是 Primary-Remote(单网格、单网络)设置。以下这经过大量的故障排除后,我终于设法部署了具有所需资源的两个集群,并进行了测试,一切正常。 现在的问题是,当我尝试将 VirtualService 部署到远程集群时,K8S 抱怨它不认识 VirtualService(原因很明显,远程集群中没有安装 Istio CRD)。 现在我的问题是: 我们不应该在远程集群中安装 CRD 吗?还是我遗漏了什么? 如果是,那么如何使用仅安装 CRD istioctl? 谢谢。 ...
使用 istio 是否可以为使用定义的服务网格外部的服务创建内部别名ServieEntry并控制对外部服务的访问? 例如假设我有一个服务条目 apiVersion: networking.istio.io/v1beta1 kind: ServiceEntry metadata: name: mypgsql namespace: externalapps spec: hosts: - mypgsql.example.com location: MESH_EXTERNAL ports: - number: 5432 proto...
在为环境网格安装 Istio CNI 后,我遇到了 Istio CNI 阻塞应用程序初始化容器中流量的问题。我熟悉文档中提出的解决该问题的解决方法 (https://istio.io/latest/docs/setup/additional-setup/cni/#compatibility-with-application-init-containers)但这些说明对我没有帮助,插件会忽略它们。 我曾尝试使用这样的值文件通过 init 容器运行 redis helm chart。 helm install redis bitnami/redis --ver...
我正在尝试了解当outboundTrafficPolicy模式设置为 REGISTRY_ONLY 时 Istio envoy 代理如何工作。使用下面定义的设置,我预计insidepod 将被阻止访问outsidepod,因为sidecar.istio.inject标签设置"false"为外部 pod 和"true"内部 pod。但是,当我执行insidepod 并发出 curl 命令时,我得到了成功。 kubectl -n istio-test exec -it inside-85f794ff76-7x44s -c sleep -- curl http:/...
我正在遵循 Istio 安全授权TCP 流量教程。 在第 5 步,验证 sleep 是否成功与端口 9002 上的 tcp-echo 通信。,我得到的connection rejected结果而不是connection succeeded教程指示我应该收到的结果。 user@docker-host-01:~/istio-1.20.1$ kubectl exec "$(kubectl get pod -l app=sleep -n foo -o jsonpath={.items..metadata.name})" \ > -c sleep -n ...
azure app gateway ingress 在一个命名空间中,而目标服务 istio-ingress 在另一个命名空间中,如何设置。 apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: server-ingress namespace: istio-ingress annotations: kubernetes.io/ingress.class: azure/application-gateway appgw.ingress.kubernetes.i...
我的目标是拥有一个Gateway可用于在不同路径上托管多个应用程序的单一过滤器。URLRewrite但是,当过滤器似乎无法按预期工作时,它就存在了。 以 Cilium 的 Hubble 为例,我有以下资源: apiVersion: gateway.networking.k8s.io/v1beta1 kind: HTTPRoute metadata: name: hubble namespace: kube-system spec: parentRefs: - name: gateway namespace: gateway-s...
我的 Azure 应用程序网关入口,以便它将在内部使用 istio 网关。 apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: server-ingress namespace: productnamespace annotations: kubernetes.io/ingress.class: azure/application-gateway appgw.ingress.kubernetes.io/backend-protocol: "http" ...
我们的应用程序在 aks 集群中运行,并在单独的命名空间中使用 cert-manager helm chart 来加密证书生成。argocd 命名空间用于处理部署。 我们需要启用 mTLS,这是否也要求 istio 在 argocd、cert-manager 命名空间上进行标记? 而且,我们已经有 azure appgateway ingress 将流量路由到我们的命名空间中运行的部署,因此没有启用 istio ingress。 一旦我在全局级别启用严格选项,从 Azure 应用网关入口到我们的应用程序的路由就无法正常工作。 kubectl apply -n...
我正在尝试配置负载平衡和故障转移外部的服务。服务的每个 HTTP 端点都需要其自己的特定标头。 我创建了一个具有两个目的地的虚拟服务: apiVersion: networking.istio.io/v1beta1 kind: VirtualService metadata: name: test-external spec: hosts: - test-external.com http: - headers: request: set: test: "true" route: ...
我正在尝试为我们的应用程序测试开放服务网格。 serverfault 中没有 service mesh、servicemesh、osm 或 open service mesh 等标签。因此,我将 istio 保留为该问题的 serverfault 标签,因为它也是 service mesh 的类似产品。 因此,使用此命令在我的笔记本电脑上安装了 osm cli关联 在我的 kubernetes(minikube)中,使用以下命令安装 osm: osm install 这将 osm 安装在命名空间 osm-system 中 osm 豆荚 然后使用他们的文档 ...