Телеграмм чат группы istio

Хотел 1.3.5

23:46пожаловаться #1

2019 November 26

Как-то фигово обновился

λ istioctl version
client version: 1.3.5
citadel version: release-1.3-20191024-10-16
galley version: release-1.3-20191125-10-16
ingressgateway version: release-1.3-20191024-10-16
pilot version: release-1.3-20191024-10-16
policy version: release-1.3-20191024-10-16
sidecar-injector version: release-1.3-20191125-10-16
telemetry version: release-1.3-20191024-10-16

00:55пожаловаться #2

Почему-то версии разные

00:55пожаловаться #3

Error from server (Invalid): error when applying patch:
{"metadata":{"annotations":{"kubectl.kubernetes.io/last-applied-configuration":"{\"apiVersion\":\"policy/v1beta1\",\"kind\":\"PodDisruptionBudget\",\"metadata\":{\"annotations\":{},\"labels\":{\"app\":\"galley\",\"chart\":\"galley\",\"heritage\":\"Helm\",\"istio\":\"galley\",\"release\":\"RELEASE-NAME\"},\"name\":\"istio-galley\",\"namespace\":\"istio-system\"},\"spec\":{\"minAvailable\":1,\"selector\":{\"matchLabels\":{\"app\":\"galley\",\"istio\":\"galley\",\"release\":\"RELEASE-NAME\"}}}}\n"},"labels":{"heritage":"Helm","release":"RELEASE-NAME"}},"spec":{"selector":{"matchLabels":{"release":"RELEASE-NAME"}}}}
to:
Resource: "policy/v1beta1, Resource=poddisruptionbudgets", GroupVersionKind: "policy/v1beta1, Kind=PodDisruptionBudget"
Name: "istio-galley", Namespace: "istio-system"
Object: &{map["apiVersion":"policy/v1beta1" "kind":"PodDisruptionBudget" "metadata":map["annotations":map["kubectl.kubernetes.io/last-applied-configuration":"{\"apiVersion\":\"policy/v1beta1\",\"kind\":\"PodDisruptionBudget\",\"metadata\":{\"annotations\":{},\"labels\":{\"app\":\"galley\",\"chart\":\"galley\",\"heritage\":\"Tiller\",\"istio\":\"galley\",\"release\":\"release-name\"},\"name\":\"istio-galley\",\"namespace\":\"istio-system\"},\"spec\":{\"minAvailable\":1,\"selector\":{\"matchLabels\":{\"app\":\"galley\",\"istio\":\"galley\",\"release\":\"release-name\"}}}}\n"] "creationTimestamp":"2019-10-24T15:33:00Z" "generation":'\x01' "labels":map["app":"galley" "chart":"galley" "heritage":"Tiller" "istio":"galley" "release":"release-name"] "name":"istio-galley" "namespace":"istio-system" "resourceVersion":"5972137" "selfLink":"/apis/policy/v1beta1/namespaces/istio-system/poddisruptionbudgets/istio-galley" "uid":"8f9180bc-f673-11e9-9fe9-fa163ec0c55d"] "spec":map["minAvailable":'\x01' "selector":map["matchLabels":map["app":"galley" "istio":"galley" "release":"release-name"]]] "status":map["currentHealthy":'\x00' "desiredHealthy":'\x01' "disruptionsAllowed":'\x00' "expectedPods":'\x00' "observedGeneration":'\x01']]}
for: "istio/install/istio-1.3.5-install.yaml": PodDisruptionBudget.policy "istio-galley" is invalid: spec: Forbidden: updates to poddisruptionbudget spec are forbidden.

00:56пожаловаться #4

Есть ли у кого проблемы с CloudFlare?

01:39пожаловаться #5

Кто бы мне подсказал, почему у меня не пролезают https наружу?
Куда смотреть?

Кто бы мне подсказал, почему у меня не пролезают https наружу?
Куда смотреть?

https запросы наружу? ServiceEntry

21:52пожаловаться #7

Да

21:52пожаловаться #8

Zon Orti in Istio_ru

Должен быть сервис энтри, как минимум

21:53пожаловаться #9

https://github.com/istio/istio/issues/16458

GitHub

Any HTTP service will block all HTTPS traffic on the same port · Issue #16458 · istio/istio

(Assumes ALLOW_ANY mode) Normally, traffic to external HTTPS services works due to the ALLOW_ANY mode changes we added. However, when an http service is added on port 443 (or any port, but generall...

21:55пожаловаться #10

У меня что-то типа этого

21:56пожаловаться #11

известный косяк, поищи сервисы в кластере у которых имя http и порт 443
раньше dashboard так делал например

21:56пожаловаться #12

Как их все получить?

22:01пожаловаться #13

kubectl get services --all-namespaces -o yaml > debug.yml

22:07пожаловаться #14

нет таких

22:12пожаловаться #15

а ошибка-то какая при запросе https

22:13пожаловаться #16

CApath: none
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* error:1408F10B:SSL routines:ssl3_get_record:wrong version number
* Closing connection 0
curl: (35) error:1408F10B:SSL routines:ssl3_get_record:wrong version number

22:14пожаловаться #17

вот такое у меня было когда istio старых версий (не знаю как в новых, там поидее внедрили распознавание протокола по первым байтам) находил 443 порт с именем (или постфиксом/префиксом) http, делал это дефолтным роутом на 443 почему-то и начинал слать весь трафик как plain html
решилось поиском левых сервисов и удалением их, после этого крыша у сервисмеша вставала на место... если таких сервисов нет в кластере (во всех неймспейсах смотрел?) то я все что знал рассказал :)

22:16пожаловаться #18

Было так

  ports:
  - number: 80
    name: http-port
    protocol: HTTP
  - number: 443
    name: http-port-for-tls-origination
    protocol: HTTP
  resolution: DNS

22:22пожаловаться #19

Сделал так

  ports:
  - number: 80
    name: http-port
    protocol: HTTP
  - number: 443
    name: https-port-for-tls-origination
    protocol: HTTPS
  resolution: DNS