AK
кто он?
Size: a a a
2019 March 12
A
istio )
AK
а. прочитайте статью из блога. Там делается отдельный гейт для сертификата.
AK
то есть можно разные сертификаты. просто придётся делать несколько гейтов
AK
но я не за этим сюда пришёл. Кто сталкивался с 503 ошибками при переключении на istio? Я уже зарылся под грудой ишшуй на истио, не могу понять, где они починили, где нет
A
а. прочитайте статью из блога. Там делается отдельный гейт для сертификата.
ага, вижу, в кастомных гейтвеях можно теперь маунтить кастомные сертификаты в
/etc/istio/ingressgateway-certs ... ну норм, одним костылем меньше, а то я https://github.com/prune998/certmerge-operator юзал
A
но я не за этим сюда пришёл. Кто сталкивался с 503 ошибками при переключении на istio? Я уже зарылся под грудой ишшуй на истио, не могу понять, где они починили, где нет
это общая ошибка: роутинг не работает там, концы не соединены или еще что... так что каждая ишью будет о своей частной ошибке, думаю надо в логи дебажить
A
вот у меня щас 503 только что была потому что порт у
VirtualService не тот указал )A
HTTP/2 503 upstream connect error or disconnect/reset before headers вместо rest-ответаAK
запрос доходит до сайдкара istio-proxy, он 503 возвращает. Само приложение работает нормально, если сайдкар выкинуть. Причём 503 возникают редко, несколько раз в сутки
2019 March 13
A
а как можно понять куда ломится сервис чтобы создать соответсвующий serviceentry? в какие логи смотреть
A
разобрался, недокументированый косяк - если serviceentry создавать которые в https-порт смотрят то первый serviceentry работает а остальные будут отдавать всякое непотребство
лечится добавлением virtualservice к каждой serviceentry: https://github.com/istio/istio/issues/7603
лечится добавлением virtualservice к каждой serviceentry: https://github.com/istio/istio/issues/7603
2019 March 14
A
api.twilio.com
taskrouter.twilio.com
preview.twilio.com
autopilot.twilio.com
trunking.twilio.com
chat.twilio.com
notify.twilio.com
wireless.twilio.com
video.twilio.com
authy.twilio.com
sync.twilio.com
monitor.twilio.com
video.twilio.com
messaging.twilio.com
verify.twilio.com
voice.twilio.com
proxy.twilio.com
fax.twilio.com
accounts.twilio.com
pricing.twilio.com
taskrouter.twilio.com
preview.twilio.com
autopilot.twilio.com
trunking.twilio.com
chat.twilio.com
notify.twilio.com
wireless.twilio.com
video.twilio.com
authy.twilio.com
sync.twilio.com
monitor.twilio.com
video.twilio.com
messaging.twilio.com
verify.twilio.com
voice.twilio.com
proxy.twilio.com
fax.twilio.com
accounts.twilio.com
pricing.twilio.com
A
вот это надо разрешить из сервисмеша чтобы сервис мог с их api работать
A
для каждого надо прописывать каждому хосту явно virtualservice
A
есть ли способ избежать такой мандалы (кроме "разрешить все исходящие подключения")?
2019 March 19
A
запрос доходит до сайдкара istio-proxy, он 503 возвращает. Само приложение работает нормально, если сайдкар выкинуть. Причём 503 возникают редко, несколько раз в сутки
попробуйте добавить логов, https://bani.com.br/2018/08/istio-mtls-debugging-a-503-error/
2019 March 21
A
че-то походу я один тут разговариваю сам с собой, но на вский случай спрошу: никто не роутил трафик через gateway на обычные сервисы кубера (не введенные в меш)?
A
есть идея избавиться от ingress но документации как обычно чуть меньше чем нихрена
A
допер как создать кастомный gateway controller, смог с него направить трафик в сервисмеш, а наружу... затых, может надо serviceentry создать, может не надо... хз короче )