[英]Does Istio envoy proxy sidecar has anything to do with container filesystem?
最近我將 Istio 添加到我的 kubernetes 集群中。 當對部署了 MongoDB statefulset 的命名空間之一啟用 istio 時,MongoDB 無法啟動。
錯誤消息是“密鑰文件權限太開放”
當我分析發生的事情時,密鑰文件來自 /etc/secrets-volume,它從 kubernetes 秘密安裝到 statefulset。
文件權限是 440 而不是 400。因此 MongoDB 開始抱怨“權限太開放”並且 pod 進入 Crashbackloopoff。
當我在該命名空間中禁用 Istio 注入時,MongoDB 開始正常。
這里發生了什么? Istio 是否與容器文件系統有關,尤其是默認權限?
istio sidecar 注入並不總是適用於 istio 文檔指南中提到的所有類型的容器。 這些容器應該從 istio sidecar 注入中排除。
在使用StatefulSets
部署的數據庫的情況下,一些容器可能是臨時的或用作操作員,最終可能會陷入崩潰循環或其他有問題的狀態。
還有一種替代方法根本不注入 istio 數據庫,只需將它們添加為帶有ServiceEntry
對象的外部服務。 在 istio 文檔中有完整的博客文章如何專門使用 MongoDB 來做到這一點。 該指南有點過時,因此請務必參考ServiceEntry
的當前文檔頁面,其中還包含使用外部 MongoDB 的示例。
希望能幫助到你。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.