Azure Kubernetes - Istio Egress 不工作-6ren

Azure Kubernetes - Istio Egress 不工作

转载作者：行者123 更新时间：2023-12-02 12:09:27

25

4

我使用以下配置来设置 Istio

cat << EOF | kubectl apply -f -
apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
metadata:
  namespace: istio-system
  name: istio-control-plane
spec:
  # Use the default profile as the base
  # More details at: https://istio.io/docs/setup/additional-setup/config-profiles/
  profile: default
  # Enable the addons that we will want to use
  addonComponents:
    grafana:
      enabled: true
    prometheus:
      enabled: true
    tracing:
      enabled: true
    kiali:
      enabled: true
  values:
    global:
      # Ensure that the Istio pods are only scheduled to run on Linux nodes
      defaultNodeSelector:
        beta.kubernetes.io/os: linux
    kiali:
      dashboard:
        auth:
          strategy: anonymous
  components:
    egressGateways:
    - name: istio-egressgateway
      enabled: true
EOF

我可以看到 istio 服务

kubectl get svc -n istio-system

我已经部署了 sleep 应用

kubectl apply -f https://raw.githubusercontent.com/istio/istio/release-1.7/samples/sleep/sleep.yaml
-n akv2k8s-test

并已部署 ServiceEntry

kubectl apply -f - <<EOF
apiVersion: networking.istio.io/v1alpha3
kind: ServiceEntry
metadata:
  name: httpbin-ext
  namespace: akv2k8s-test
spec:
  hosts:
  - httpbin.org
  ports:
  - number: 80
    name: http
    protocol: HTTP
  resolution: DNS
  location: MESH_EXTERNAL
EOF

并尝试访问外部 URL

export SOURCE_POD=$(kubectl get -n  akv2k8s-test  pod -l app=sleep -o jsonpath='{.items..metadata.name}')
kubectl exec "$SOURCE_POD"  -n  akv2k8s-test  -c sleep -- curl -sI http://httpbin.org/headers | grep  "HTTP/";

但是我看不到代理上报告的任何日志

kubectl logs "$SOURCE_POD" -n  akv2k8s-test -c istio-proxy | tail

根据文档我应该看到这个

但是我没有看到标题

我在这里遗漏了什么吗？

最佳答案

我按照下面提到的方式让它工作

cat << EOF | kubectl apply -f -
apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
metadata:
  namespace: istio-system
  name: istio-control-plane
spec:
  # Use the default profile as the base
  # More details at: https://istio.io/docs/setup/additional-setup/config-profiles/
  profile: default
  # Enable the addons that we will want to use
  addonComponents:
    grafana:
      enabled: true
    prometheus:
      enabled: true
    tracing:
      enabled: true
    kiali:
      enabled: true
  values:
    global:
      # Ensure that the Istio pods are only scheduled to run on Linux nodes
      defaultNodeSelector:
        beta.kubernetes.io/os: linux
    kiali:
      dashboard:
        auth:
          strategy: anonymous
  components:
    egressGateways:
    - name: istio-egressgateway
      enabled: true
  meshConfig:
    accessLogFile: /dev/stdout
    outboundTrafficPolicy:
      mode: REGISTRY_ONLY
EOF


cat << EOF | kubectl apply -f -
apiVersion: v1
kind: Namespace
metadata:
  name: akv2k8s-test
  labels:
    istio-injection: enabled
    azure-key-vault-env-injection: enabled
---
apiVersion: networking.istio.io/v1alpha3
kind: ServiceEntry
metadata:
  name: cnn
  namespace: akv2k8s-test
spec:
  hosts:
  - edition.cnn.com
  ports:
  - number: 80
    name: http-port
    protocol: HTTP
  - number: 443
    name: https
    protocol: HTTPS
  resolution: DNS
---
apiVersion: networking.istio.io/v1alpha3
kind: Gateway
metadata:
  name: istio-egressgateway
  namespace: akv2k8s-test
spec:
  selector:
    istio: egressgateway
  servers:
  - port:
      number: 80
      name: http
      protocol: HTTP
    hosts:
    - edition.cnn.com
---
apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
  name: egressgateway-for-cnn
  namespace: akv2k8s-test
spec:
  host: istio-egressgateway.istio-system.svc.cluster.local
  subsets:
  - name: cnn
---
apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: direct-cnn-through-egress-gateway
  namespace: akv2k8s-test
spec:
  hosts:
  - edition.cnn.com
  gateways:
  - istio-egressgateway
  - mesh
  http:
  - match:
    - gateways:
      - mesh
      port: 80
    route:
    - destination:
        host: istio-egressgateway.istio-system.svc.cluster.local
        subset: cnn
        port:
          number: 80
      weight: 100
  - match:
    - gateways:
      - istio-egressgateway
      port: 80
    route:
    - destination:
        host: edition.cnn.com
        port:
          number: 80
      weight: 100
EOF

kubectl apply -f https://raw.githubusercontent.com/istio/istio/release-1.7/samples/sleep/sleep.yaml -n akv2k8s-test
export SOURCE_POD=$(kubectl get pod -l app=sleep -n akv2k8s-test -o jsonpath={.items..metadata.name})
kubectl exec "$SOURCE_POD" -n akv2k8s-test -c sleep -- curl -sL -o /dev/null -D - http://edition.cnn.com/politics
kubectl logs -l istio=egressgateway -c istio-proxy -n istio-system | tail


kubectl delete -n akv2k8s-test gateway istio-egressgateway
kubectl delete -n akv2k8s-test serviceentry cnn
kubectl delete -n akv2k8s-test virtualservice direct-cnn-through-egress-gateway
kubectl delete -n akv2k8s-test destinationrule egressgateway-for-cnn

关于Azure Kubernetes - Istio Egress 不工作，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/64467070/

25

4

0

文章推荐： kubernetes - 未找到 terraform kubectl 提供程序

文章推荐： java - 在 KafkaStreams 中的聚合数据上使用 SessionWindows (0.11)

文章推荐： java - 多线程在 GUI JFrame 中显示 java 控制台日志

kubernetes - Istio 导出流量不通过 istio istio-proxy sidecar 路由
我们有一个将导出流量路由到服务网格之外的外部服务的最小示例。 apiVersion: networking.istio.io/v1alpha3 kind: ServiceEntry metadata:
istio - 在 istio 中捕获组
如何在 istio 的目标规则中使用部分匹配的 URI？试图实现这样的目标: apiVersion: networking.istio.io/v1alpha3 kind: VirtualServic
istio - 如何在 istio 中启用用户级速率限制
我看到了Istio site提到速率限制支持，但我只能找到全局速率限制示例。是否可以在用户级别这样做？例如，如果我的用户登录但在一秒钟内发送超过 50 个请求，那么我想阻止该用户等。在类似情况下，如
istio - 超时和重试如何在 Istio 中协同工作？
这里是 VirtualService 的例子，同时使用了超时和重试。 apiVersion: networking.istio.io/v1alpha3 kind: VirtualService met
istio - 超时和重试如何在 Istio 中协同工作？
这里是 VirtualService 的例子，同时使用了超时和重试。 apiVersion: networking.istio.io/v1alpha3 kind: VirtualService met
istio - Istio Envoy访问日志中，什么是上下游remote，local
场景我正在使用 Istio 1.5 来自 this question我知道 Istio 使用的默认 envoy 访问日志格式，即 \[%{TIMESTAMP_ISO8601:timestamp}\]
Istio Operator 的 Istio 外部授权错误
我们已经在开发和生产环境中使用 helm-chart 部署了 Istio 1.11.0。我们在 istio configmap 中使用以下配置，我们已通过 istio-control helm-cha
istio - 在 istio 中，主体名称是如何创建的？
文档中没有提到主体名称是如何构造的。我所说的主体是指 istio sidecar 创建的客户端证书中的名称，并且可以在规范的 from 指令中的 istio AuthorizationPolicy 对
istio - Istio 的通信 Sidecar Controle Plane
我目前正在研究 1.6 版的服务网格 Istio。数据平面(Envoy 代理)由控制平面配置。尤其是 Pilot( istiod 的一部分)负责将路由规则和配置传播给特使。我想知道通信是如何工作的？
istio - 增加 Istio 中的 header 大小
当用户有多个与之关联的角色时，授权持有者 token 将超过 istio 提供的最大 header 大小，从而阻止所有请求。授权不记名 token 超过 35,000 个字符，大小为 34K。如何
istio - 如何在 kubernetes 中为 Istio 负载均衡器创建自定义错误页面
我似乎无法找到/理解如何更改 kubernetes 中 Istio 负载均衡器的默认错误登录页面。例如 503“上游不健康”页面。是否可以在 Istio 中更改这些？如果是这样，我将如何去做？提
istio - 配置 istio 目标规则以使用回退 URL 而不是 503
我知道您可以使用 istio 在服务没有响应时打开断路器。而不是返回 503 , 是否可以重定向到不同的 URL？同样的问题，但是当原始服务返回 500 时，我们可以重定向到另一个 URL 吗？或者
istio - 禁用向作业 pod 注入(inject) Istio sidecar
如何为 Kubernetes 禁用 Istio sidecar 注入(inject) Job ? apiVersion: batch/v1beta1 kind: CronJob metadata:
istio - 如何让 lua envoy 过滤器在 istio 集群上工作？
我正在尝试让 lua envoy 过滤器与 istio 网关一起工作，但我添加到集群并且它正在工作，就好像过滤器不存在一样。我已经使用本指南在 GKE 上配置了我的 istio 集群 https:/
kubernetes - Istio |不使用 Istio 入口网关的 TLS 双向认证
我想在 kubernetes 集群中运行的不同服务之间实现 TLS 相互身份验证，我发现 Istio 是一个很好的解决方案，无需对代码进行任何更改即可实现这一目标。我正在尝试使用 Istio sid
istio - 如何让 lua envoy 过滤器在 istio 集群上工作？
我正在尝试让 lua envoy 过滤器与 istio 网关一起工作，但我添加到集群并且它正在工作，就好像过滤器不存在一样。我已经使用本指南在 GKE 上配置了我的 istio 集群 https:/
istio - 安装 istio 后启用 grafana、kiali 和 jaeger？
我已经使用 Helm 安装了 ISTIO。我忘了启用 grafana、kiali 和 jaeger。安装 istio 后如何启用上述所有服务？最佳答案这里是 howto : 来自官方仓库。你需要
kubernetes - NLB -> Istio 网关 vs ALB -> Istio 网关
据我了解，无论如何，您的 Istio 网关前都会有一个 NLB 或 ALB？但我很困惑，因为 Istio Gateway 似乎为 ALB 为第 7 层甚至更多做了很多事情？所以我读了 ALB ->
kubernetes - 为什么我不能用 Istio Gateway 暴露来自 istio 的 grafana？
我正在使用 helm 安装带有 --set grafana.enabled=true 的 istio-1.0.0 版本. 要访问 grafana 仪表板，我必须使用 kubectl 进行端口转发命令。
istio - 安装 istio 后启用 grafana、kiali 和 jaeger？
我已经使用 Helm 安装了 ISTIO。我忘了启用 grafana、kiali 和 jaeger。安装 istio 后如何启用上述所有服务？最佳答案这里是 howto : 来自官方仓库。你需要

首页

博学

6Ren·AI

商城

Azure Kubernetes - Istio Egress 不工作