-
0 votesanswersviews
在istio ingress控制器中重写所有请求目标
在测试Istio我'm in need of rewriting all incomming requests on the Istio ingress controller in the same manner as with Kubernetes'自己的入口控制器的过程中,我使用了rewrite-target annotation . # Existing Kubernetes ingress... -
4 votesanswersviews
istio:使用grpc和http进入
我有一个服务监听两个端口;一个是http,另一个是grpc . 我想设置一个入口,可以使用相同的主机路由到这两个端口 . 如果使用http / 1.1,负载均衡器将重定向到http端口,如果使用h2,则重定向到grpc端口 . 有没有办法用istio做到这一点? 我做了一个问候世界,展示了我想要实现的目标: apiVersion: extensions/v1beta1 kind: Deployme... -
0 votesanswersviews
使用TLS保护Kubernetes中从入口到服务的连接
我正在使用入口规则中配置的TLS连接来保护我的Kubernetes集群,这实际上终止了负载均衡器处的SSL连接 . 到现在为止还挺好 . 提出了一个问题,即保护从负载均衡器到Kubernetes集群中运行的每个服务的连接是否有意义 . 我对Kubernetes如何工作的理解是,服务应该能够动态地上升和下降,而不能保证私有IP保持不变,因此尝试使用TLS连接来保护服务是没有意义的 . 此外,每个服务... -
1 votesanswersviews
Istio:入侵主机网络
在启动 80 和 443 端口后,部署的 hostnetwork 配置选项无法生效 apiVersion: extensions/v1beta1 kind: Deployment metadata: name: istio-ingress namespace: istio-system annotations: sidecar.istio.io/inject: "fa... -
0 votesanswersviews
保护Nginx-Ingress> Istio-Ingress
我有Istio Ingress正在处理流入微服务和微服务之间的流量正在ISTIO域内加密 . 但我不想公开ISTIO入口 . 因此尝试部署NGINX或HAPROXY入口(使用https证书)并将它们指向ISTIO入口,一切都运行良好 . 我唯一担心的是NGINX INGRESS(https term)> ISTIO INGRESS之间的流量未加密 . 什么是Istio获得流量完全加密但通过N... -
2 votesanswersviews
Istio Ingress导致“没有 Health 的上游”
我正在使用部署面向外部的服务,该服务暴露在节点端口后面,然后是一个入口 . 部署使用手动侧车注入 . 一旦部署,nodeport和ingress正在运行,我就可以向istio ingress发出请求 . 出于某些未知原因,请求不会路由到我的部署,而是显示文本“no healthy upstream” . 为什么会这样,是什么造成的呢? 我可以在http响应中看到状态代码是503(服务不可用),服务... -
0 votesanswersviews
使用Istio 0.8和v1alpha3网关进行TCP入口
我试图使用v1alpha3路由打开TCP连接到Istio服务网格 . 我可以成功打开与外部负载均衡器的连接 . 该流量正如预期的那样进入默认的IngressGateway;我在IngressGateway pod上用 tcpdump 验证了这一点 . 不幸的是,流量永远不会转发到服务网格中;它似乎死在IngressGateway . 以下是我的配置示例: apiVersion: networkin... -
0 votesanswersviews
Istio 0.8.0服务条目不适用于istio-auth
我使用istio-auth.yaml在Google Kubernetes Engine上使用Istio 0.8.0创建了一个集群 . 我完全按照本教程:https://istio.io/docs/tasks/traffic-management/egress/ . Ingress工作,我有https工作到我的所有路线和pods,但我的容器无法与外部世界通信 . 如果我在没有启用边车注入的命名空间中... -
0 votesanswersviews
如何使用rbac保护k8s的秘密?
我在启用了rbac的GKE中设置了k8s集群,然后将Istio安装到集群中 . 我按照此步骤(link)为Istio ingress控制器创建密钥/证书,密钥/证书存储为秘密,其名称为istio-ingress-certs . 现在我想使用RBAC来限制对istio-ingress-certs的访问,以便允许istio-system中的每个组件读取秘密,但是没有人可以修改或删除它 . 我创建了一个... -
0 votesanswersviews
istio grpc负载 balancer 外网
仅仅为了上下文,我有这个设置: istio mesh external service grpc | grpc 2 * istances app:client -> envoy -> | aws classic load balance -... -
0 votesanswersviews
kubernetes-dashboard通过istio [1.0.0] ingress --istio-ingressgateway暴露
我已经配置了istio ingress和加密证书 . 我可以通过使用网关和虚拟服务访问在不同端口上运行的https上的不同服务 . But kubernetes-dashboard run on 443 port in kube-system namespace and with its own certificate, How i can expose it through istio gate... -
0 votesanswersviews
k8s网关上的istio主机值
我试图按照https://istio.io/docs/guides/bookinfo/和https://istio.io/docs/tasks/traffic-management/ingress/#determining-the-ingress-ip-and-ports的说明将istio放在minikube上 . pod和服务似乎运行良好 . 然后我导出端口和主机 export INGRES... -
1 votesanswersviews
K8s istio启用pod无法达到常规服务
我正在尝试在AWS上的K8s 1.6集群中使用Istio . 我有一个运行旧时尚方式的Kafka pod /服务,没有IP的“kafka-zk-broker-kafka.dev”服务,所以kafka-zk-broker-kafka.dev服务(我在dev名称空间中) )解析我的3 Kafka beans 荚的内部名称 . 这很有效 . ~ # nslookup kafka-zk-broker-... -
4 votesanswersviews
为什么istio-ingressgateway暴露端口31400?
Istio ingress网关默认公开以下端口: 80:31380/TCP,443:31390/TCP,31400:31400/TCP 为什么它会暴露31400并将其映射到31400?我无法在文档或其他地方找到对此的解释 . Background: 我正在使用Istio 0.8.0关注Install with Helm via helm template指南 . 部署清单是从https://gi... -
0 votesanswersviews
配置istio后访问服务运行状况检查端口
所以我们正在使用全局mtl部署istio 1.0.2,到目前为止它已经很好了 . 对于运行状况检查,我们已为服务添加了单独的端口,并根据文档对其进行了配置: https://istio.io/docs/tasks/traffic-management/app-health-check/#mutual-tls-is-enabled 我们的应用程序端口现在位于8080,运行状况检查端口位于8081.执... -
1 votesanswersviews
无法通过Kubernetes REST API创建/获取ISTIO对象
我们无法通过Kubernetes REST API访问ISTIO对象 . 示例:kubectl get gatewayways --->工作并显示默认命名空间中的所有istio网关 .但是curl .... / api / v1 / namespaces / default / gateways返回404.对于"virtualservices","service... -
1 votesanswersviews
istio egressgateway:通过静态IP路由
我试图通过静态IP路由来自我的GKE集群中的应用程序的出站流量,因为目标服务器需要白名单IP才能访问 . 我已经能够使用terraformed nat网关执行此操作,但这会影响来自群集的所有流量 . 按照网站上的istio指南,我已经能够通过一个出口网关路由(我可以在网关日志中看到它),但我需要网关有一个静态IP,并且没有覆盖在掌舵中egressgateway static ip的值 . 如何在安... -
0 votesanswersviews
为什么我不能用Istio Gateway公开来自istio的grafana?
我正在使用helm来安装带有 --set grafana.enabled=true 的istio-1.0.0版本 . 要访问grafana仪表板,我必须使用 kubectl 命令进行端口转发 . 它工作正常 . 但是,我想使用公共IP访问它,因此我使用此网关yaml文件 --- apiVersion: networking.istio.io/v1alpha3 kind: Gateway metad... -
0 votesanswersviews
无法在Istio Gateway中设置https
使用http设置Istio网关很好 . 但是我无法设置https . 我按照指南https://istio.io/docs/tasks/traffic-management/secure-ingress/ Istio:1.0.2(使用Helm安装)Kubernetes 1.10.3 eks 我正在使用COMODO的证书 . 只有第一次,我才能使用https访问该页面 . 访问页面后,如果我再次尝试... -
0 votesanswersviews
路由Kubernetes的内部流量?
我们目前有一个设置,我们的mesos / marathon集群中的应用程序想要接触可能存在或不存在于我们的mesos / marathon集群中的服务 . 进入群集的外部流量的入口是通过位于Traefik实例集群前面的Amazon ELB完成的,然后选择适当的容器实例集以通过传入的HTTP主机头进行负载 balancer ,与基本上为多个的进行比较 . - 已配置的主机标头与特定容器实例的关联 ... -
0 votesanswersviews
在Minikube上安装带Helm的Istio失败
在我的干净Ubuntu 16.04服务器上的文档中运行以下命令: minikube start --memory=7168 --cpus=3 --kubernetes-version=v1.10.0 --vm-driver=kvm2 kubectl apply -f istio-1.0.4/install/kubernetes/helm/helm-service-account.yaml helm... -
0 votesanswersviews
Kubernetes不允许我使用securityContext runAsUser创建一个pod
Summary: 由于被政策禁止,我有 security context: runAsUser: 1337 的吊舱无法启动 . 我已经改变了录取控制而没有成功(如建议here和here) 通过这种安全环境还需要强制什么呢? Details 我正在通过https://istio.io/docs/samples/bookinfo.html示例开始移植到istio . 我有一个名为 details-v1... -
1 votesanswersviews
通过K8中的istio ingress规则从外部集群访问没有pod(没有istio envoy)的服务
步骤:1 . 我创建了2个名称空间(ns1和ns2) . 2.在ns1中,我已经部署了启用了envoy代理的服务(istioctl kube-inject service.yaml)2 . 在ns1中,我创建了指向服务的istio ingress规则,我可以从集群外部访问它 . 3.在ns2中,我有部署任何服务,因为它是我的共享命名空间,因此我创建了无头服务(外部名称),它指向ns1命名空间中... -
0 votesanswersviews
无法进入微服务
运用 minikube 0.23 kubectl 1.8x istio 0.2.10 启用自动边车注入并启动minikube与所有正确的插件 minikube start --vm-driver=xhyve --extra-config=apiserver.Admission.PluginNames="Initializers,NamespaceLifecycle,Lim... -
0 votesanswersviews
访问istio中部署的TIBCO REST服务
我对istio世界很陌生,据我所知,这是一项前沿技术 . 我能够按照istio快速入门页面上的说明将bookinfo示例成功部署到minikube(Kubernetes / istio)上 . 我能够从浏览器访问bookinfo(web)应用程序,没有问题 . 我试图在TIBCO中创建一个简单的hello world REST服务并部署到istio . 虽然部署成功,但我很难访问该服务 . 当我尝... -
0 votesanswersviews
Istio服务进入不起作用
What Version of Istio and Kubernetes are you using, where did you get Istio from, Installation details istioctl version Version: 0.8.0 GitRevision: 6f9f420f0c7119ff4fa6a1966a6f6d89b1b4db84 User: root@... -
0 votesanswersviews
使用secret和configmap的应用程序进行Istio注入
我正在尝试使用 Istio/envoy ingress测试SSL pass-thru,因为我能够使用nginx入口控制器实现它 . 所以我创建了一个nginx https部署并测试了部署/ pod / service工作 . 但是,当我照常运行时, kubectl apply -f <(istioctl kube-inject -f ~/nginx/nginx-app.yaml) 部署不会... -
0 votesanswersviews
服务可以在Istio环境中学习客户端的身份吗?
据我所知,Istio的主要目标之一是确保服务不必担心安全问题:这些问题可以在很大程度上转移到特使边车上 . 但是,在我看来,在某些情况下,服务必须自己执行一定程度的授权执行,同时考虑到请求的详细信息,这些请求对于特使可以执行的通用策略实施而言过于细粒度完成 . 在这些情况下,消息的接收者是否可以了解发出该消息的服务的身份?使用概述页面的“Istio体系结构”图中显示的示例,服务B是否可以知道它是调... -
0 votesanswersviews
Istio 0.8.0需要istio-proxy?
我想知道 istio 0.8.0 是否需要部署 istio-proxy ?我看到在侧车注射后,在吊舱描述中有一些 istio-proxy 图像 . -
2 votesanswersviews
Amazon S3的 endpoints 是什么?
我创建了一个"Istio-enabled" k8s群集,我的容器默认为“are unable to access URLs outside of the cluster” . 这很好,符合我的安全要求 . 现在我正在尝试创建一个在Istio服务网格之外的Istio Service Entry到 allow my containers to requests my s3 buck...