A
а SDS и certmanager получилось у кого связать?
Size: a a a
2019 July 22
AK
да
AK
credentialName string
The credentialName stands for a unique identifier that can be used to identify the serverCertificate and the privateKey. The credentialName appended with suffix “-cacert” is used to identify the CaCertificates associated with this server. Gateway workloads capable of fetching credentials from a remote credential store such as Kubernetes secrets, will be configured to retrieve the serverCertificate and the privateKey using credentialName, instead of using the file system paths specified above. If using mutual TLS, gateway workload instances will retrieve the CaCertificates using credentialName-cacert. The semantics of the name are platform dependent. In Kubernetes, the default Istio supplied credential server expects the credentialName to match the name of the Kubernetes secret that holds the server certificate, the private key, and the CA certificate (if using mutual TLS). Set the ISTIO_META_USER_SDS metadata variable in the gateway’s proxy to enable the dynamic credential fetching feature.
AK
там могут быть путаницы с namepsaces и по моему это фичу также нужно еще включить в самом istio
A
credentialName - туда класть это название секрета с сертификатами, или название certificate crd?A
credentialName: "httpbin-credential" # must be the same as secret
AK
1 - нужно поставить istio c включеным
https://archive.istio.io/v1.1/docs/setup/kubernetes/install/helm/#option-1-install-with-helm-via-helm-template
например
но вам нужно смотреть для вашей версии как это сделать
2 - в серт менеджере вам нужно указать название секрета в который он будет складывать ключи и серт выписаные им
3 - в гейтевее указать название этого секрета
sdshttps://archive.istio.io/v1.1/docs/setup/kubernetes/install/helm/#option-1-install-with-helm-via-helm-template
например
$ helm template install/kubernetes/helm/istio --name istio --namespace istio-system \
--values install/kubernetes/helm/istio/values-istio-sds-auth.yaml | kubectl apply -f -
но вам нужно смотреть для вашей версии как это сделать
2 - в серт менеджере вам нужно указать название секрета в который он будет складывать ключи и серт выписаные им
3 - в гейтевее указать название этого секрета
AK
cert for acme
gateway
apiVersion: ne
nam
credentialName: yyy-xxx-cer
apiVersion: certmanager.k8s.io/v1alpha1
kind: Certificate
metadata:
name: yyy-xxx-cert
namespace: istio-system
spec:
secretName: yyy-xxx-cert
issuerRef:
kind: ClusterIssuer
name: letsencrypt-prod
commonName: "*.yyy.xxx"
dnsNames:
- "*.yyy.xxx"
acme:
config:
<your config>
gateway
apiVersion: ne
tworking.istio.io/v1alpha3
kind: Gateway
metadata:
name: yyy-xxx-gatewaynam
espace: istio-system
spec:
selector:
istio: ingressgateway
servers:
- port:
number: 80
name: http2
protocol: HTTP2
hosts:
- "*.yyy.xxx"
tls: httpsRedirect: true
- port:
number: 443
name: https-443
protocol: HTTPS
hosts:
- "servicenamespace/*.yyy.xxx" tls: mode: SIMPLE # enables HTTPS on this portcredentialName: yyy-xxx-cer
tA
это я все делал, только 443 порт не открылся и я хз куда дебажить
A
логи ingress не особо помогают
A
в общем понятно, он опять свой istio-system любит … неважно что все ресурсы в других неймспейсах, секрет должен лежать именно там
AK
в k8s доступ к секрету только из самого неймспейса
нельзя читать из namespaceA секрет находящийся namespaceB
нельзя читать из namespaceA секрет находящийся namespaceB
AK
можно и gateway в другом запустить
AK
это я все делал, только 443 порт не открылся и я хз куда дебажить
AK
тут вопрос в том где у вас k8s
AK
в облаке или просто запустили у себя где-то или локально?
A
про доступ к секрету - точно, спасибо что напомнили
443 порт не открывался потому что istio-ingress искал секрет не в том неймспейсе куда я его клал
в целом все заработало, спасибо
443 порт не открывался потому что istio-ingress искал секрет не в том неймспейсе куда я его клал
в целом все заработало, спасибо
HK
привет всем. подскажите плз, установил истио (
сделал
добавил gateway и virtualservice по примеру bookinfo
но не могу попасть на сервис, отдает 404 ошибку, в istio-ingressgateway нет вообще ни одной записи.
куда копать?
helm template install/kubernetes/helm/istio --name istio --namespace istio-system | kubectl apply -f -)сделал
kubectl label namespace istio-test istio-injection=enabledдобавил gateway и virtualservice по примеру bookinfo
но не могу попасть на сервис, отдает 404 ошибку, в istio-ingressgateway нет вообще ни одной записи.
куда копать?
2019 July 23
A
> отдает 404 ошибку
проблем может быть много, навскидку:
- покажите манифесты может там мистайпы какие
- убедитесь что у service на который они направлены есть endpoints
- попробуйте сделать curl с другого пода и сравнить ответы
> istio-ingressgateway нет вообще ни одной записи
попробуйте выставить другой уровень логов еще: https://github.com/istio/istio/blob/1.2.2/install/kubernetes/helm/istio/values.yaml#L171
проблем может быть много, навскидку:
- покажите манифесты может там мистайпы какие
- убедитесь что у service на который они направлены есть endpoints
- попробуйте сделать curl с другого пода и сравнить ответы
> istio-ingressgateway нет вообще ни одной записи
попробуйте выставить другой уровень логов еще: https://github.com/istio/istio/blob/1.2.2/install/kubernetes/helm/istio/values.yaml#L171
ZO
Huan Karlos
привет всем. подскажите плз, установил истио (
сделал
добавил gateway и virtualservice по примеру bookinfo
но не могу попасть на сервис, отдает 404 ошибку, в istio-ingressgateway нет вообще ни одной записи.
куда копать?
helm template install/kubernetes/helm/istio --name istio --namespace istio-system | kubectl apply -f -)сделал
kubectl label namespace istio-test istio-injection=enabledдобавил gateway и virtualservice по примеру bookinfo
но не могу попасть на сервис, отдает 404 ошибку, в istio-ingressgateway нет вообще ни одной записи.
куда копать?
а как проверяется, что записей нет? через istioctl?