kubernetes - 无法为 gRPC 打开 Istio 入口网关-6ren

kubernetes - 无法为 gRPC 打开 Istio 入口网关

转载作者：行者123 更新时间：2023-12-02 12:09:55

这个问题是关于我无法使用 Istio 入口网关将 gRPC 客户端连接到托管在 Kubernetes (AWS EKS) 中的 gRPC 服务。
在 kubernetes 方面:我有一个带有 Go 进程的容器，它在端口 8081 上监听 gRPC。该端口在容器级别公开。我定义了一个 kubernetes 服务并暴露了 8081。我定义了一个 istio 网关，它选择 istio: ingressgateway 并为 gRPC 打开端口 8081。最后，我定义了一个 istio 虚拟服务，其中包含端口 8081 上任何内容的路由。
客户端:我有一个 Go 客户端，它可以向服务发送 gRPC 请求。

当我 kubectl port-forward -n mynamespace service/myservice 8081:8081 时它工作正常并通过 client -url localhost:8081 给我的客户打电话.

当我关闭端口时，用 client -url [redacted]-[redacted].us-west-2.elb.amazonaws.com:8081 调用我的客户端无法连接。 (该 url 是 kubectl get svc istio-ingressgateway -n istio-system -o jsonpath='{.status.loadBalancer.ingress[0].hostname}' 的输出，附加了 :8081。

日志:

我看了istio-system/istio-ingressgateway服务日志。我没有看到尝试连接。

在浏览 istio bookinfo 时，我确实看到了我之前建立的 bookinfo 连接。教程。该教程有效，我能够打开浏览器并查看 bookinfo 产品页面，并且 ingressgateway 日志显示 "GET /productpage HTTP/1.1" 200 .所以 Istio ingress-gateway 可以工作，只是我不知道如何为新的 gRPC 端点配置它。

Istio 的 Ingress-Gateway

kubectl describe service -n istio-system istio-ingressgateway

输出以下内容，我怀疑这是问题所在，尽管我努力打开它，但未列出端口 8081。我对默认情况下打开了多少端口感到困惑，我没有打开它们(欢迎评论如何关闭我不使用的端口，但这不是这个问题的原因)

Name:                     istio-ingressgateway
Namespace:                istio-system
Labels:                   [redacted]
Annotations:              [redacted]
Selector:                 app=istio-ingressgateway,istio=ingressgateway
Type:                     LoadBalancer
IP:                       [redacted]
LoadBalancer Ingress:     [redacted]
Port:                     status-port  15021/TCP
TargetPort:               15021/TCP
NodePort:                 status-port  31125/TCP
Endpoints:                192.168.101.136:15021
Port:                     http2  80/TCP
TargetPort:               8080/TCP
NodePort:                 http2  30717/TCP
Endpoints:                192.168.101.136:8080
Port:                     https  443/TCP
TargetPort:               8443/TCP
NodePort:                 https  31317/TCP
Endpoints:                192.168.101.136:8443
Port:                     tcp  31400/TCP
TargetPort:               31400/TCP
NodePort:                 tcp  31102/TCP
Endpoints:                192.168.101.136:31400
Port:                     tls  15443/TCP
TargetPort:               15443/TCP
NodePort:                 tls  30206/TCP
Endpoints:                192.168.101.136:15443
Session Affinity:         None
External Traffic Policy:  Cluster
Events:                   <none>

所以我认为我没有为 GRPC 正确打开端口 8081。我可以运行哪些其他日志或测试来帮助确定这是从哪里来的？
这是相关的yaml:
Kubernetes Istio 虚拟服务:其意图是将端口 8081 上的任何内容路由到 myservice

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: myservice
  namespace: mynamespace
spec:
  hosts:
  - "*" 
  gateways:
  - myservice
  http:
  - match:
    - port: 8081
    route:
    - destination:
        host: myservice

Kubernetes Istio 网关:其意图是为 GRPC 开放端口 8081

apiVersion: networking.istio.io/v1alpha3
kind: Gateway
metadata:
  name: myservice
  namespace: mynamespace
spec:
  selector:
    istio: ingressgateway 
  servers:
    - name: myservice-plaintext
      port:
        number: 8081
        name: grpc-svc-plaintext
        protocol: GRPC
      hosts:
      - "*"

Kubernetes 服务:显示端口 8081 在服务级别暴露，我在前面提到的端口转发测试中证实了这一点

apiVersion: v1
kind: Service
metadata:
  name: myservice
  namespace: mynamespace
  labels:
    app: myservice
spec:
  selector:
    app: myservice
  ports:
    - protocol: TCP
      port: 8081
      targetPort: 8081
      name: grpc-svc-plaintext

Kubernetes 部署:显示端口 8081 在容器级别暴露，我在前面提到的端口转发测试中证实了这一点

apiVersion: apps/v1
kind: Deployment
metadata:
  name: myservice
  namespace: mynamespace
  labels:
    app: myservice
spec:
  replicas: 1
  selector:
    matchLabels:
      app: myservice
  template:
    metadata:
      labels:
        app: myservice
    spec:
      containers:
      - name: myservice
        image: [redacted]
        ports:
        - containerPort: 8081

重新检查客户端上的 DNS 工作:

getent hosts [redacted]-[redacted].us-west-2.elb.amazonaws.com

输出 3 个 IP，我认为这很好。

[IP_1 redacted]  [redacted]-[redacted].us-west-2.elb.amazonaws.com
[IP_2 redacted]  [redacted]-[redacted].us-west-2.elb.amazonaws.com
[IP_3 redacted]  [redacted]-[redacted].us-west-2.elb.amazonaws.com

检查 Istio Ingressgateway 的路由:

istioctl proxy-status istio-ingressgateway-[pod name]
istioctl proxy-config routes istio-ingressgateway-[pod name]

Clusters Match
Listeners Match
Routes Match (RDS last loaded at Wed, 23 Sep 2020 13:59:41)

NOTE: This output only contains routes loaded via RDS.
NAME          DOMAINS     MATCH                  VIRTUAL SERVICE
http.8081     *           /*                     myservice.mynamespace
              *           /healthz/ready*        
              *           /stats/prometheus*

端口 8081 被路由到 myservice.mynamespace，对我来说似乎很好。
更新 1:
我开始明白我无法使用默认的 istio 入口网关打开端口 8081。该服务不公开该端口，我假设创建网关会在“幕后”更新服务，但事实并非如此。
我可以选择的外部端口是:80、443、31400、15443、15021，我认为我的网关只需要依赖这些。我已经更新了我的网关和虚拟服务以使用端口 80，然后客户端连接到服务器就好了。
这意味着我必须不通过端口来区分多个服务(显然不能从同一个端口路由到两个服务)，但是通过 SNI，我不清楚如何在 gRPC 中做到这一点，我猜我可以添加 Host:[hostname]在 gRPC header 中。不幸的是，如果这就是我可以路由的方式，这意味着需要在网关上读取 header ，并且当我希望在 pod 处终止时，这要求在网关处终止 TLS。

最佳答案

I am starting to understand I can't open port 8081 using the default istio ingress gateway. That service does not expose that port, and I was assuming creating a gateway would update the service "under the hood" but that's not the case. The external ports that I can pick from are: 80, 443, 31400, 15443, 15021 and I think my gateway needs to rely only on those. I've updated my gateway and virtual service to use port 80 and the client then connects to the server just fine.

我不确定您究竟是如何尝试为入口网关添加自定义端口的，但这是可能的。
据我查 here可以通过 3 种方式进行，以下是@A_Suh、@Ryota 和 @peppered 提供的带有示例链接的选项。

Kubectl edit

Helm

Istio Operator

其他资源:

How to create custom istio ingress gateway controller?

How to configure ingress gateway in istio?

That means I have to differentiate between multiple services not by port (can't route from the same port to two services obviously), but by SNI, and I'm unclear how to do that in gRPC, I'm guessing I can add a Host:[hostname] in the gRPC header. Unfortunately, if that's how I can route, it means headers need to be read on the gateway, and that mandates terminating TLS at the gateway when I was hoping to terminate at the pod.

我看到你已经创建了新问题 here ，所以让我们搬到那里去。

关于kubernetes - 无法为 gRPC 打开 Istio 入口网关，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/64035040/

文章推荐： kubernetes - Kubernetes Pod处于初始化阶段

文章推荐： java - Spring Boot 中从 Hibernate 迁移到 EclipseLink

文章推荐： java - java中装饰器设计模式的问题

kubernetes - Istio 导出流量不通过 istio istio-proxy sidecar 路由
我们有一个将导出流量路由到服务网格之外的外部服务的最小示例。 apiVersion: networking.istio.io/v1alpha3 kind: ServiceEntry metadata:
istio - 在 istio 中捕获组
如何在 istio 的目标规则中使用部分匹配的 URI？试图实现这样的目标: apiVersion: networking.istio.io/v1alpha3 kind: VirtualServic
istio - 如何在 istio 中启用用户级速率限制
我看到了Istio site提到速率限制支持，但我只能找到全局速率限制示例。是否可以在用户级别这样做？例如，如果我的用户登录但在一秒钟内发送超过 50 个请求，那么我想阻止该用户等。在类似情况下，如
istio - 超时和重试如何在 Istio 中协同工作？
这里是 VirtualService 的例子，同时使用了超时和重试。 apiVersion: networking.istio.io/v1alpha3 kind: VirtualService met
istio - 超时和重试如何在 Istio 中协同工作？
这里是 VirtualService 的例子，同时使用了超时和重试。 apiVersion: networking.istio.io/v1alpha3 kind: VirtualService met
istio - Istio Envoy访问日志中，什么是上下游remote，local
场景我正在使用 Istio 1.5 来自 this question我知道 Istio 使用的默认 envoy 访问日志格式，即 \[%{TIMESTAMP_ISO8601:timestamp}\]
Istio Operator 的 Istio 外部授权错误
我们已经在开发和生产环境中使用 helm-chart 部署了 Istio 1.11.0。我们在 istio configmap 中使用以下配置，我们已通过 istio-control helm-cha
istio - 在 istio 中，主体名称是如何创建的？
文档中没有提到主体名称是如何构造的。我所说的主体是指 istio sidecar 创建的客户端证书中的名称，并且可以在规范的 from 指令中的 istio AuthorizationPolicy 对
istio - Istio 的通信 Sidecar Controle Plane
我目前正在研究 1.6 版的服务网格 Istio。数据平面(Envoy 代理)由控制平面配置。尤其是 Pilot( istiod 的一部分)负责将路由规则和配置传播给特使。我想知道通信是如何工作的？
istio - 增加 Istio 中的 header 大小
当用户有多个与之关联的角色时，授权持有者 token 将超过 istio 提供的最大 header 大小，从而阻止所有请求。授权不记名 token 超过 35,000 个字符，大小为 34K。如何
istio - 如何在 kubernetes 中为 Istio 负载均衡器创建自定义错误页面
我似乎无法找到/理解如何更改 kubernetes 中 Istio 负载均衡器的默认错误登录页面。例如 503“上游不健康”页面。是否可以在 Istio 中更改这些？如果是这样，我将如何去做？提
istio - 配置 istio 目标规则以使用回退 URL 而不是 503
我知道您可以使用 istio 在服务没有响应时打开断路器。而不是返回 503 , 是否可以重定向到不同的 URL？同样的问题，但是当原始服务返回 500 时，我们可以重定向到另一个 URL 吗？或者
istio - 禁用向作业 pod 注入(inject) Istio sidecar
如何为 Kubernetes 禁用 Istio sidecar 注入(inject) Job ? apiVersion: batch/v1beta1 kind: CronJob metadata:
istio - 如何让 lua envoy 过滤器在 istio 集群上工作？
我正在尝试让 lua envoy 过滤器与 istio 网关一起工作，但我添加到集群并且它正在工作，就好像过滤器不存在一样。我已经使用本指南在 GKE 上配置了我的 istio 集群 https:/
kubernetes - Istio |不使用 Istio 入口网关的 TLS 双向认证
我想在 kubernetes 集群中运行的不同服务之间实现 TLS 相互身份验证，我发现 Istio 是一个很好的解决方案，无需对代码进行任何更改即可实现这一目标。我正在尝试使用 Istio sid
istio - 如何让 lua envoy 过滤器在 istio 集群上工作？
我正在尝试让 lua envoy 过滤器与 istio 网关一起工作，但我添加到集群并且它正在工作，就好像过滤器不存在一样。我已经使用本指南在 GKE 上配置了我的 istio 集群 https:/
istio - 安装 istio 后启用 grafana、kiali 和 jaeger？
我已经使用 Helm 安装了 ISTIO。我忘了启用 grafana、kiali 和 jaeger。安装 istio 后如何启用上述所有服务？最佳答案这里是 howto : 来自官方仓库。你需要
kubernetes - NLB -> Istio 网关 vs ALB -> Istio 网关
据我了解，无论如何，您的 Istio 网关前都会有一个 NLB 或 ALB？但我很困惑，因为 Istio Gateway 似乎为 ALB 为第 7 层甚至更多做了很多事情？所以我读了 ALB ->
kubernetes - 为什么我不能用 Istio Gateway 暴露来自 istio 的 grafana？
我正在使用 helm 安装带有 --set grafana.enabled=true 的 istio-1.0.0 版本. 要访问 grafana 仪表板，我必须使用 kubectl 进行端口转发命令。
istio - 安装 istio 后启用 grafana、kiali 和 jaeger？
我已经使用 Helm 安装了 ISTIO。我忘了启用 grafana、kiali 和 jaeger。安装 istio 后如何启用上述所有服务？最佳答案这里是 howto : 来自官方仓库。你需要

行者123

个人简介

我是一名优秀的程序员,十分优秀！

作者热门文章

滴滴打车优惠券免费领取

全站热门文章

首页

博学

6Ren·AI

商城

kubernetes - 无法为 gRPC 打开 Istio 入口网关