問題タブ [istio-sidecar]

egress ゲートウェイを使用せずに、サイドカー プロキシ コンテナーから外部サービスへの mTLS 接続を直接開始しようとしています。
私の現在の設定は以下のようになります。ご覧のとおり、外部サービスにアクセスする前に、クライアント証明書を使用して http 要求を https にアップグレードしようとしています。
私が持っている設定が正しいかどうかはわかりません。

コンテナーから、http を使用してサービスに到達しようとしていますが、503 を取得しています。サイドカー プロキシ ログをさらに確認すると、OpenSSL 内部エラーが表示されますが、理由はありません。ここで何が間違っているのか、見逃しているのか疑問に思っています。

どんな指針も本当に役に立ちます。

ありがとう

ので、私は持っていますminikube 0.16.0 installed

またistio 1.7.3

したがって、コマンドに従って、展開ごとにエンボイサイドカーを実行しますkubectl label namespace default istio-injection=enabled

さて、質問に来て、私はcurlポッド内からは何もできませsleep-diagん.http

たとえば、インストール中に、私はこれに反対jenkinsしようとしましたが、成功しませんでした:curlurl

しかし、私が言ってみましょう：

私は自分のローカル クラスターの外部にいることができpodますが、これに関するアイデアはありますか?

たとえば、次jenkinsのようにインストールしてみましたhelm：

同じ問題があるhttpsことを指定しても、ローカルクラスターからアクセスできないため、明らかに失敗します。NodePort

何か案は？

オンプレミスの k8s v1.19 と Istio を 1.8.0 で使用しています。マイクロサービスが実行されているhub-dev場所に istio メッシュを挿入すると、それらを適切に一緒に実行するのに行き詰まりました。Vault はdev名前空間を実行しています。

私が抱えていた最初の問題は、Vault と Istio サイドカーが何らかの理由で正しく実行されておらず、アプリケーションが以下のように初期化できないことです。以下の注釈を使用して最初のボールトを初期化しようとしましたが、以下の問題は解決しませんでした。

• vault.hashicorp.com/agent-init-first: 真
• vault.hashicorp.com/agent-inject: 真

ポッドのステータスと説明の出力は次のとおりです

以下のアノテーションを試したところ、上記の問題は修正されましたが、今回はポッドの実行を開始するとパスを見つけることができませんが、その後、プロキシとアプリケーションのログを確認し、フォルダがポッド内に存在する/vault/secretsことを確認すると、パスを読み取ることができます/vault/secrets.

フォルダが存在する場合でも、アプリのログはここにあります

ここでは、Vault 自体に関連する可能性のある PUT エラーがいくつかありますが、Vault がシークレットを挿入する方法について混乱しています。

最後に istio-proxy ログを確認すると、GET または PUT リクエストが 200 を返していることがわかります。