GG
ну, да, конечно
Size: a a a
2019 April 16
GG
дешево и сердито
A
Ок, если отвлечься от шифрования - мне так или иначе нужен сайдкар для получения трейсов запросов к монге и ластику, так?
насколько понимаю, тебе не нужно вешать сайдкар на монгу - можно создать виртуальный сервис-выход из истио через который твое приложение будет ходить в монгу, и там снимать трейсы
GG
насколько понимаю, тебе не нужно вешать сайдкар на монгу - можно создать виртуальный сервис-выход из истио через который твое приложение будет ходить в монгу, и там снимать трейсы
кстати, тоже интересный вариант
A
Итого, просто перехватывать эти запросы на стороне приложения?
а вот этого я бы избегал - istio и сделан для того чтобы логику уменьшать
GG
соглашусь
GG
но я пытаюсь убедить, что эластик и монгу запихивать в истио - не лучшая идея (профита ноль, а гемора вагон)
A
а на уровне CNI не зашло?
для шифрования есть свой слой
ZO
а вот этого я бы избегал - istio и сделан для того чтобы логику уменьшать
я про то, что сайдкар их перехватит
A
Тогда второй вопрос - для деплойментов у которых нет входящего http, но есть исходящий и http healthcheck - как правильно настроить сайдкар, чтоб не менять деплоймент, но экспортить хелсчек через istio? ( чтоб рединес проходил )
так же и оставь - он хелсчеки нативные берет
ZO
так же и оставь - он хелсчеки нативные берет
пока валится контейнер, не проходит чек без readiness.status.sidecar.istio.io/applicationPorts
A
так, позволь уточнить правильно ли я тебя понял:
1) у тебя есть deployment с http readiness
2) этот порт на подах открыт
3) ты явно не описывал его ни в serivce, ни в virtualservice, ни в каких других сущностях
4) без заинжектеного сайдкара истио все работает а с ним нет
?
1) у тебя есть deployment с http readiness
2) этот порт на подах открыт
3) ты явно не описывал его ни в serivce, ни в virtualservice, ни в каких других сущностях
4) без заинжектеного сайдкара истио все работает а с ним нет
?
A
ммм, навскидку - я бы сказал что все должно работать и возможно проблема где-то еще
но я не до конца понимаю поведение в данном случае istio поэтому постесняюсь утверждать 🙂
k describe statefulset game-matching | grep health
Liveness: http-get http://:http/game-matching/generic/health delay=10s timeout=1s period=10s #success=1 #failure=6
Readiness: http-get http://:http/game-matching/generic/health delay=0s timeout=1s period=5s #success=1 #failure=3
k delete service game-matching
service "game-matching" deleted
k delete pod -l app=sl-game-matching
pod "game-matching-0" deleted
k get pods | grep game-matching
game-matching-0 2/2 Running 0 23s
но я не до конца понимаю поведение в данном случае istio поэтому постесняюсь утверждать 🙂
k describe statefulset game-matching | grep health
Liveness: http-get http://:http/game-matching/generic/health delay=10s timeout=1s period=10s #success=1 #failure=6
Readiness: http-get http://:http/game-matching/generic/health delay=0s timeout=1s period=5s #success=1 #failure=3
k delete service game-matching
service "game-matching" deleted
k delete pod -l app=sl-game-matching
pod "game-matching-0" deleted
k get pods | grep game-matching
game-matching-0 2/2 Running 0 23s
A
у меня по крайней мере хелсчеки проходят
ZO
Так, опять я фигню сморозил. проблема не в этом. Эта проблема была у ластика, но ее я тогда решил прописыванием правильного порта в аннотации. Проблема в том, что запросы к SQS падают: Unable to execute HTTP request: Unrecognized SSL message, plaintext connection?. и от этого уже хелсчек не проходит
A
для меня с tls в istio все сложно и непонятно - они с каждым релизом что-то там добавляют и удаляют
я пока туда не суюсь 🙂
я пока туда не суюсь 🙂