Istio开启mtls请求503技术问题分析
6页1、 Istio开启mtls请求503问题分析 作者:康学志来源:博云研究院(公众号:bocloudresearch) 背景为测试Istio流量管理,将两个服务sleep、flaskapp的两个版本v1、v2(部署文件见参考链接)部署到Istio环境中,通过sleep-v1向flaskapp发起调用http:/flaskapp/env/version,正常结果会交替打印出结果v1和v2,然而在调用过程中报错503 reset reason: connection failure,故将问题的步骤、现象、分析、验证整理于此。步骤部署sleep、flaskapp应用,同时Istio平台开启mTls,命名空间kangxzh开启自动注入,部署如下图所示:现象在sleep应用中发起http请求,调用flaskapp,curl http:/flaskapp/env/version,如下所示:背景1.检测flaskapp tls 配置,如下:STATUS OK 证明flaskapp tls配置正确。进入sleep istio-proxy向flaskapp发起http请求:2.发现通过istio-proxy
2、可以得到相应,因为开启了mtls,通过istio-proxy直接请求是需要添加istio相关证书的,此时没有加入证书也可请求,所以想到检查flaskapp iptables配置,如下所示: 证明envoy没有劫持到flaskapp 80的流量,也就是说上述第2步是sleep-istio-proxy直接请求flaskapp,没有经过flaskapp-istio-proxy 转发。3.此时才检查flaskapp deployment,如下所示: 官网说明https:/istio.io/docs/setup/kubernetes/additional-setup/requirements/中: 同时describe flaskapp pod 如下所示: 在deployment中增加containerPort: 80后,如下所示: 注意:在Istio1.2版本以后也可通过设置Pod annotation 中 traffic.sidecar.istio.io/includeInboundPorts来达到同样的目的,缺省值为Pod的containerPorts列表,逗号分隔的监听端口列表,这些流量会被重定向到 Sidecar,* 会重定向所有端口,具体详情参见官网1.2新特性(见参考链接) 验证sleep 发起请求:sleep-istio-proxy 未携带证书,发起请求: 参考链接 https:/istio.io/docs/setup/kubernetes/additional-setup/requirements/ https:/preliminary.istio.io/about/notes/1.2/ 本文由博云研究院原创发表,转载请注明出处。 -全文完-
《Istio开启mtls请求503技术问题分析》由会员Baige****0346分享,可在线阅读,更多相关《Istio开启mtls请求503技术问题分析》请在金锄头文库上搜索。
员工积极主动行为的组态效应:基于过程的视角
汪晖齐物平等与跨体系社会的天下想象
函数性质中的数学抽象在问题解决与设计中的应用
日本东京大学入学考试理科数学试题解析
二次电池研究进展
实践研究与论理逻辑
光学视觉传感器技术研究进展
龙泉青瓷的传承困境与发展
齐齐哈尔地区抗根肿病大白菜品种的抗性鉴定与评价
基于系统动力学模型的胶州湾海域承载力预测
基于弯液面电化学连接碳纤维实验初探
龟甲胶研究发展探析
鼻腔黏膜免疫佐剂鞭毛蛋白的研究进展
鼻内镜辅助上颌骨部分切除术治疗鼻腔鼻窦腺样囊性癌的临床分析
黑豆不同发芽期多酚、黄酮及抗氧化活性分析
齐鲁青未了:山东当代文学审美流变论
黄登水电站机电设备安装工程施工技术质量管理
黄河文化传承视角下音乐剧创作探究
黄亦琦从风论治咳嗽变异性哮喘经验※
鲸豚动物吸附式声学行为记录器综述
2022-03-24 12页
2022-03-24 11页
2022-03-24 10页
2022-03-24 25页
2022-03-24 13页
2022-03-24 18页
2022-03-24 10页
2022-03-24 32页
2022-03-24 8页
2022-03-24 9页