Телеграмм чат группы istio

А зачем там вообще истио тогда?

17:39пожаловаться #1

Если манифестов других нет

17:39пожаловаться #2

если я хочу сделать rr балансировку трафика между подами с дефолтной для istio логикой повторов, без fault injection и тп, то казалось бы нет необходимости делать virtualservice и другие объекты

17:40пожаловаться #3

Ну логика какая-то то есть

17:43пожаловаться #4

Без истио сервисы работают?

17:44пожаловаться #5

да и с ним работают

17:45пожаловаться #6

Andrey Dedikov

в общем если в манифесте сервиса
ports:
- name: http-main
port: 8080
protocol: TCP
targetPort: 8080

то исходящий трафик из app1 попадает в outbound|8080||app2...

а если

ports:
- name: http-main
port: 80
protocol: TCP
targetPort: 8080

то в PassthroughCluster

😞

пока разрешен любой трафик и опционален mtls эта проблема влияет в основном на содержимое метрик
в kiali рисуется чепуха

17:46пожаловаться #7

https://istio.io/latest/blog/2019/monitoring-external-service-traffic/

Istio

Monitoring Blocked and Passthrough External Service Traffic

How can you use Istio to monitor blocked and passthrough external traffic.

17:47пожаловаться #8

Оно?

17:47пожаловаться #9

Dmitry Pevunov in Istio_ru

Коллеги, а на каком порту в истио 1.6 в енвоях висит ендпоинт /debug/syncz?

18:49пожаловаться #10

Dmitry Pevunov in Istio_ru

В 1.4 он был на 15003 например

18:50пожаловаться #11

Andrey Dedikov

блин, у меня лыжи не едут

есть два деплоймента, условно app1 app2 со своими сервисами, в спеке сервисов

  ports:
  - name: http-main
    port: 80
    protocol: TCP
    targetPort: 8080

делаю из пода app1 curl http://app2, вижу в аксес логах istio-proxy PassthroughCluster вместо outbound кластера

может кто-нибудь сталкивался и скажет, почему такое может быть?😭

обратил внимание, поняв, что не работает VirtualService

Так это дефолтное поведение истио для эгресс-трафика. Все PassthroughCluster. Подключи внешний сервис как Service Entry и дальше уже рули им в VS

19:26пожаловаться #12

он не внешний

19:26пожаловаться #13

похоже беда с тем, что в iptables цепочки от istio-cni трафик попадает уже после bpf правил от cilium

19:27пожаловаться #14

так если пода сама генрит трафик - то он эгресс

19:27пожаловаться #15

всмысле - эгресс

19:27пожаловаться #16

Dmitry Pevunov

Коллеги, а на каком порту в истио 1.6 в енвоях висит ендпоинт /debug/syncz?

Нинай. я пришел на 1.7.4

19:34пожаловаться #17

2020 December 03

Hardcore Cat in Istio_ru

Вечер в чатик :)
Кто сталкивался с XFF плясками и Istio IngressGateway на L4 LB?)
(в качестве L4 LB AWS NLB, так-как и gRPC и REST трафик летит в кластер)

17:10пожаловаться #18

Hardcore Cat in Istio_ru

Envoy так и не "выдресировали" на проставку XFF хедеров?

17:11пожаловаться #19

2020 December 05

Hardcore Cat

Envoy так и не "выдресировали" на проставку XFF хедеров?

А если самому сетить в конфиге?