* TCP_NODELAY set
* Expire in 200 ms for 4 (transfer 0x55baaaf317a0)
* Connected to api-gateway (172.20.249.29) port 80 (#0)
> HEAD /api/RoutingLogin HTTP/1.1
> Host: api-gateway
> User-Agent: curl/7.64.0
> Accept: */*
>
< HTTP/1.1 404 Not Found
HTTP/1.1 404 Not Found
< date: Wed, 24 Jul 2019 21:12:15 GMT
date: Wed, 24 Jul 2019 21:12:15 GMT
< server: envoy
server: envoy
< x-envoy-upstream-service-time: 480
x-envoy-upstream-service-time: 480
< transfer-encoding: chunked
transfer-encoding: chunked

вижу хеджеры енвоя - смущен. их не должно быть

ты когда спрашивал про тлс, ты имел ввиду в самом истио или на лоадбалансере?

или там сайдары?

я залез в поду фронты и там курланул

имел ввиду в принципе. Потому что 426 - это запрос на апргейд tls

локалхост?

ааа

тогда есть авс елб (хттпс) — ноды куба (порт 31380)

А кто поднимал mesh expansion - как можно посмотреть health status сервиса который на vm стоит? и возможно ли это вообще?

Всем привет)

Что-то маловато людей, ожидал что хоть пару сотен будет юзающих Istio.

его сликом сложно готовить)

Я бы сказал "кушать сложнее, чем готовить")

Так-как сам вкатываюсь в чатик с вопросом

Если кто сталкивался хелпаните плиз:
Крутиться истио на AWS EKS.
Развёрнут и работает великолепно без нареканий.
Крутиться дефолтный сервис IngressGateway как AWS ELB с приаттаченым вайлдкардовским цертом из AWS ACM.
Сам трабл:
$ curl -v -I  my.subdomain.com:80
* Rebuilt URL to: my.subdomain.com:80/
*   Trying 8.8.8.8...
* TCP_NODELAY set
* Connected to my.subdomain.com (8.8.8.8) port 80 (#0)
> HEAD / HTTP/1.1
> Host: my.subdomain.com
> User-Agent: curl/7.58.0
> Accept: */*
>
< HTTP/1.1 404 Not Found
HTTP/1.1 404 Not Found
< date: Mon, 29 Jul 2019 09:37:36 GMT
date: Mon, 29 Jul 2019 09:37:36 GMT
< location: http://my.subdomain.com/
location: http://my.subdomain.com/
< server: istio-envoy
server: istio-envoy
< Connection: keep-alive
Connection: keep-alive

<
* Connection #0 to host my.subdomain.com left intact

$ curl -v -I  my.subdomain.com:443
* Rebuilt URL to:my.subdomain.com:443/
*   Trying 8.8.8.8...
* TCP_NODELAY set
* Connected to my.subdomain.com (8.8.8.8) port 443 (#0)
> HEAD / HTTP/1.1
> Host: my.subdomain.com:443
> User-Agent: curl/7.58.0
> Accept: */*
>
* Empty reply from server
* Connection #0 to host my.subdomain.com left intact
curl: (52) Empty reply from server

$ curl -v -I  https://my.subdomain.com
* Rebuilt URL to: https://my.subdomain.com/
*   Trying 8.8.8.8...
* TCP_NODELAY set
* Connected to my.subdomain.com (8.8.8.8) port 443 (#0)
* ALPN, offering h2
*###CERT INFO###
*  SSL certificate verify ok.
> HEAD / HTTP/1.1
> Host: my.subdomain.com
> User-Agent: curl/7.58.0
> Accept: */*
>
< HTTP/1.1 404 Not Found
HTTP/1.1 404 Not Found
< date: Mon, 29 Jul 2019 09:37:50 GMT
date: Mon, 29 Jul 2019 09:37:50 GMT
< location: http://my.subdomain.com/
location: http://my.subdomain.com/
< server: istio-envoy
server: istio-envoy
< Connection: keep-alive
Connection: keep-alive

<
* Connection #0 to host my.subdomain.com left intact

(ip и домен заменены для примера)
Если указываем протокол https то запрос прекрастно отрабатывается, но если мы решим указать host:443 получаем пустой ответ.
Болше всего удивило, что запрос host:443 отправляется по хттп. И не реврайтится даже если прописан  "tls:  httpsRedirect: true" в Gateway CRD.

Сорян тупканул, реврайт поставил не на тот Gateway, сейчас фиксану и чекну. Может сам дурак и вопрос снимется)

Ан, нет. Всё равно при запросе host:443 отбивает пустой ответ от сервера.

Но в браузере и курлах реврайт с http заработал нормвльно.

есть вероятность что сам gateway некорректно сконфигурирован.  вы посмотрите логи самого istio-proxy (envoy ) что он пишет на ваши запросы