4
прибивать гейтвей на ноды так себе решение, наверное
Size: a a a
2020 November 24
GT
Да мне kubeflow надо поднять, но он без istio не работает. Kubeflow поднял, но теперь доступ к его web ui, оказывается, так просто не получить. Не хочется сюда ещё и metallb тащить.
4
каким образом тут истио-то
4
это просто управление сетью
4
как без него может не пускать тунды?
SV
Есть подозрение что речь про егресс)
SV
Кто-то пытается правила нп пилить с кубером имхо
VS
Есть подозрение что речь про егресс)
Угу. А эгресс гейтвей можно прибить уже к конкретной ноде
4
а зачем? :Г
SV
Обычно хотят писать правила для файрвол используя старые методы
SV
Староверы и кубер
SV
Хотят простые правила , типа вот два айпи, отсюда сюда откроем, остальное закроем
VS
Ну а как жить то когда у тебя сесюрити?
SV
Sso, oauth, токены и шифрование всего трафика например
SV
И тебе будет пофигу на какую ноду пришел трафик
SV
Важно какой будет токен
4
токен ему еще, ишь какой. обколются своим блохчейном
SV
Лохчейном
SV
:))) обмажутся сваими живити
2020 November 27
PK
товарищи обьясните как правильно делается такое, хочу контролировать egress трафик, сделал как здесь описывают https://istio.io/latest/docs/tasks/traffic-management/egress/wildcard-egress-hosts/ “Configure traffic through egress gateway with SNI proxy”, в
ServiceEntry и Gateway прописал в hosts список доменов куда требуется разрешить, проблема возникает с VirtualService, если прописываю в hosts и sniHosts тот же список доменов, то всё рабоатет но в логах istiod появляется:"pilot_conflict_outbound_listener_tcp_over_current_tcp": {
"0.0.0.0:443": {
"proxy": "istio-demo-workload1-7f7647b547-5b9xm.staging",
"message": "Listener=0.0.0.0:443 AcceptedTCP=wikipedia.org RejectedTCP=example.com TCPServices=1"
}
}
}