堆栈内存溢出
  繁体   English   中英

Istio:HTTPS Pod 之间的流量仅在未注入 sidecar 时有效

[英]Istio : HTTPS Traffic between Pods working only if sidecar not injected

 原文  2022-11-29 17:06:22       kubernetes/ ssl/ https/ istio/ istio-sidecar

问题描述

我完成的步骤:

  • 我有两个命名空间,一个注入了 istio,另一个没有
  • 现在在两个命名空间中使用这个 yaml 部署简单的 nginx 服务器
apiVersion: v1
kind: Service
metadata:
  name: software-upgrader
  labels:
    app: software-upgrader
    service: software-upgrader
spec:
  ports:
    - name: http
      port: 25301
  selector:
    app: software-upgrader
---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: software-upgrader
spec:
  selector:
    matchLabels:
      app: software-upgrader
      version: v1
  template:
    metadata:
      labels:
        app: software-upgrader
        version: v1
    spec:
      containers:
      - image: gcr.io/mesh7-public-images/scalability/nginx
        imagePullPolicy: IfNotPresent
        name: software-upgrader
        resources:
          limits:
            cpu: 20m
            memory: 32Mi
          requests:
            cpu: 20m
            memory: 32Mi
  • 现在通过此步骤在两个命名空间中部署 HTTPS 服务器部署 HTTPS 服务器的步骤
  • 现在 curl 来自两个命名空间中的另一个 pod
  • 未注入 istio 的 Pod 会得到 200 OK,而注入了 istio 的 pod 会得到
curl: (56) OpenSSL SSL_read: error:1409445C:SSL routines:ssl3_read_bytes:tlsv13 alert certificate required, errno 0
command terminated with exit code 56
  • 请原谅我的无知,如果注入 istio,我是否必须为 HTTPS 创建一些服务条目或虚拟服务以在同一命名空间中的 Pod 之间发生?

1 个解决方案

解决方案1
 1  2022-11-30 10:45:04

您必须将协议添加到服务端口定义

apiVersion: v1
kind: Service
metadata:
  name: test-https-server
  labels:
    app: test-https-server
    service: test-https-server
spec:
  ports:
    - name: test-https
      port: 25302
      appProtocol: https
  selector:
    app: test-https-server
---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: test-https-server
spec:
  selector:
    matchLabels:
      app: test-https-server
  template:
    metadata:
      labels:
        app: test-https-server
    spec:
      containers:
      - image: gcr.io/mesh7-public-images/scalability/nginx
        command: ["bash", "-c", "python3 ThreadedHTTPSServer.py 25302"]
        imagePullPolicy: Always
        name: test-https-server
        resources:
          limits:
            cpu: 20m
            memory: 32Mi
          requests:
            cpu: 20m
            memory: 32Mi

这有一个工作示例的示例

  ports:
    - name: http
      port: 25302
      appProtocol: https # Should Specify Protocol

Istio appProtocol 配置文档

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 istio:在启用 sidecar 的 pod 和非启用 sidecar 的 pod 之间路由流量 Istio sidecar 让 pod 重新启动 Istio 出口流量不通过 istio istio-proxy sidecar 路由 Pod注入istio的sidecar后,websocket连接会异常中断 注入 Istio sidecar 容器时 Pod 无法访问 configmap 将 istio sidecar 添加到 Pod 后,AWS Cognito 无法进行身份验证 启用 Istio sidecar 后,Rook Ceph pod 无法正常启动 Istio 出站 https 流量问题排查 Istio (Envoy-proxy sidecar) 正在阻止端口 8088 上的 http 流量 Istio 和 Hashicorpt Vault 代理 Sidecar 无法正常工作
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM