В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

Istio_ru

109 membersпожаловаться на группу
2020 June 04

SV

Sergey Volchkov in Istio_ru
Denis Lozhkin
Можете подсказать как сделать сервис доступным внутри кластера? по *.svc.cluster.local
после того как к нему прилеплен sidecar не могу достучатся до него..

это рулится на правилом для sidecar? чет не получается..
apiVersion: networking.istio.io/v1alpha3
kind: Sidecar
metadata:
  name: default
spec:
  egress:
  - hosts:
    - "./*"
    - "istio-system/*"
Политики включены чтоле?)
источник
12:34пожаловаться#1

DL

Denis Lozhkin in Istio_ru
да вроде нет)
источник
12:34пожаловаться#2

SV

Sergey Volchkov in Istio_ru
Обычно они доступны стандартным способом
источник
12:34пожаловаться#3

DL

Denis Lozhkin in Istio_ru
➜  istio-1.5.4 kubectl get configmap istio -n istio-system -o yaml | grep -o "mode: ALLOW_ANY" | uniq                                                                                                    

mode: ALLOW_ANY
источник
12:34пожаловаться#4

АМ

Александр Молодчий... in Istio_ru
Denis Lozhkin
Можете подсказать как сделать сервис доступным внутри кластера? по *.svc.cluster.local
после того как к нему прилеплен sidecar не могу достучатся до него..

это рулится на правилом для sidecar? чет не получается..
apiVersion: networking.istio.io/v1alpha3
kind: Sidecar
metadata:
  name: default
spec:
  egress:
  - hosts:
    - "./*"
    - "istio-system/*"
AuthorizationPolicy вписывал?
источник
12:35пожаловаться#5

DL

Denis Lozhkin in Istio_ru
<service>.global:1337                                          OK         STRICT     ISTIO_MUTUAL     /default                istio-system/istio-multicluster-ingressgateway
<service>d.svc.cluster.local:1337                       AUTO       STRICT     -                /default                -
источник
12:35пожаловаться#6

АМ

Александр Молодчий... in Istio_ru
Это новая фича с 1.5.4 версии
источник
12:35пожаловаться#7

DL

Denis Lozhkin in Istio_ru
Александр Молодчий
AuthorizationPolicy вписывал?
нет
источник
12:36пожаловаться#8

DL

Denis Lozhkin in Istio_ru
меня смущается STRICT для всех сервисов автоматом стоит
источник
12:36пожаловаться#9

DL

Denis Lozhkin in Istio_ru
хотя я с ним игрался..
источник
12:37пожаловаться#10

АМ

Александр Молодчий... in Istio_ru
Denis Lozhkin
нет
Я вообще не особо разбираюсь, но попробуй, может поможет
источник
12:37пожаловаться#11

АМ

Александр Молодчий... in Istio_ru
rbac-more.yaml
(274 байт)
источник
12:37пожаловаться#12

SV

Sergey Volchkov in Istio_ru
2. Проверяем доступность с test-ns4
Правилами явно не указана возможность доступа с test-ns4
curl -s http://nginx-with-configmaps.test-ns1:8001/
источник
12:38пожаловаться#13

АМ

Александр Молодчий... in Istio_ru
Александр Молодчий
Ребят привет, прошу направить меня куда посмотреть, а то заблудился.
Задача элементарная: Нужно чтобы EnvoyFilter вешался только на конкретные поды, можно как вариант на конкретный namespace.
Соответственно если я закидываю его в root namespace (istio-system) всё работает как должно, но работает на все namespace и gateway, что логично.
Выношу EnvoyFilter в другой namespace, выношу gateway и vs туда же.
Проблема первая, что gateway не в root не резолвится, соответственно vs тоже. Я так понял мне нужен DestinationRule для него?
Проблема вторая, как работает workloadSelector? labels чего он ищет? Deployment? Service? Pod?
По поводу этой таски нашел большой топик, где с версии 1.1 (и вообще из версию в версию всё меняют) ingresscontroller и gateway должны находится в одном namespace

https://discuss.istio.io/t/istio-ingressgateway-controller-and-namespaces/1217/14
Discuss Istio
Istio-ingressgateway controller and namespaces
Do I need to create an istio-ingressgateway controller in every namespace I use, or can all my gateways in all namespaces use the one in the istio-system namespace?  If they all use the one in istio-system, do I need to specify the namespace of the controller in some way when declaring the gateway resource?  For example, if I declare a gateway resource and a virtualservice resource in a namespace called “dev”, will they be able to access the ingressgateway controller in istio-system?  Or do I ne...
источник
12:39пожаловаться#14

АМ

Александр Молодчий... in Istio_ru
As a better solution design, you should create multiple ingress gateway in each namespace. All this gateways use/refer the same istio-ingressgateway deployed in istio-sytem namespace. The namespace should be a boundary/container fronted by gateway exposing different virtual services deployed along with destination rules and deployments.
источник
12:39пожаловаться#15

SV

Sergey Volchkov in Istio_ru
Никто не говорил что это правильно))
источник
12:40пожаловаться#16

АМ

Александр Молодчий... in Istio_ru
Sergey Volchkov
Никто не говорил что это правильно))
источник
12:40пожаловаться#17

SV

Sergey Volchkov in Istio_ru
Я сказал что оно может вот так работать
источник
12:40пожаловаться#18

HC

Hardcore Cat in Istio_ru
Всем привет!
Интересно я один тут с такой дичью сталкивался?:
https://github.com/istio/istio/issues/24388#issuecomment-638332263

Если что то ишшью мой :)
GitHub
EKS API server downtime may corrupt "istio-sidecar-injector"? · Issue #24388 · istio/istio
That bug may be a replication of #17718 or #20478 but they have closed and nothing from them helps with my issue. I faced the issue with the istio-sidecar-injector on EKS. Before that issue, I got ...
источник
12:42пожаловаться#19

SV

Sergey Volchkov in Istio_ru
Видимо никто)
источник
12:50пожаловаться#20