В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

Istio_ru

170 membersпожаловаться на группу
2021 January 25

ID

Igor Dubrovsky in Istio_ru
Раньше цитадель етим занималась теперь ето часть исиод
источник
14:24пожаловаться#1

4

4c74356b41 in Istio_ru
ну это если у вас мтлс
источник
14:24пожаловаться#2

4

4c74356b41 in Istio_ru
а если нет - то как бы
источник
14:24пожаловаться#3

DP

Dmitry Pevunov in Istio_ru
Igor Dubrovsky
Оно само. Исто сам создаёт и даёт менеджмент внутренним сертам. Нужно полиси определить для стрикт мтлс.
Поглядел докумиентацию самого енвоя и там нет настройки защищенного соединения для отправки трейсов, подозреваю что не поддерживается
источник
14:26пожаловаться#4

DP

Dmitry Pevunov in Istio_ru
https://www.envoyproxy.io/docs/envoy/latest/api-v3/config/trace/v3/zipkin.proto#envoy-v3-api-enum-config-trace-v3-zipkinconfig-collectorendpointversion

This extension is intended to be robust against untrusted downstream traffic. It assumes that the upstream is trusted.
источник
14:27пожаловаться#5
2021 January 27

4

4c74356b41 in Istio_ru
кто-то делал gzip через istio ingress?
источник
18:58пожаловаться#6
2021 February 01

AP

Andrey Polovov in Istio_ru
Всем привет! Простите за простыню...

Я пытаюсь подружить два кластера с истио 1.8.2 по этой инструкции:
https://istio.io/v1.6/docs/setup/install/multicluster/gateways/

Я настроил два кластера, поднял тестовые сервисы и сделал ServiceEntry "httpbin.bar.global" на первом кластере.
Но curl не проходит 🙁

/ # curl httpbin.bar.global:8000
upstream connect error or disconnect/reset before headers. reset reason: connection failure/ #


Логи ingressgateway на втором кластере:

20
21-02-01T10:21:39.250184Z debug envoy filter tls inspector: new connection accepted
2021-02-01T10:21:39.250256Z debug envoy filter tls:onServerName(), requestedServerName: outbound_.8000_._.httpbin.bar.global
2021-02-01T10:21:39.250324Z debug envoy filter [C19] new tcp proxy session
2021-02-01T10:21:39.250371Z debug envoy connection [C19] closing data_to_write=0 type=1
2021-02-01T10:21:39.250375Z debug envoy connection [C19] closing socket: 1
2021-02-01T10:21:39.254232Z debug envoy wasm wasm log: [extensions/stats/plugin.cc:633]::report() metricKey cache miss istio_tcp_connections_opened_total , stat=12, recurrent=1
2021-02-01T10:21:39.256882Z debug envoy wasm wasm log: [extensions/stats/plugin.cc:633]::report() metricKey cache miss istio_tcp_sent_bytes_total , stat=16, recurrent=1
2021-02-01T10:21:39.259586Z debug envoy wasm wasm log: [extensions/stats/plugin.cc:633]::report() metricKey cache miss istio_tcp_connections_closed_total , stat=20, recurrent=0
2021-02-01T10:21:39.262097Z debug envoy wasm wasm log: [extensions/stats/plugin.cc:633]::report() metricKey cache miss istio_tcp_received_bytes_total , stat=24, recurrent=1
2021-02-01T10:21:39.320654Z debug envoy filter tls inspector: new connection accepted
2021-02-01T10:21:39.320913Z debug envoy filter tls:onServerName(), requestedServerName: outbound_.8000_._.httpbin.bar.global
2021-02-01T10:21:39.320982Z debug envoy filter [C20] new tcp proxy session
2021-02-01T10:21:39.321022Z debug envoy connection [C20] closing data_to_write=0 type=1
2021-02-01T10:21:39.321026Z debug envoy connection [C20] closing socket: 1
2021-02-01T10:21:39.321142Z debug envoy wasm wasm log: [extensions/stats/plugin.cc:633]::report() metricKey cache miss istio_tcp_connections_opened_total , stat=12, recurrent=1
2021-02-01T10:21:39.321216Z debug envoy wasm wasm log: [extensions/stats/plugin.cc:633]::report() metricKey cache miss istio_tcp_sent_bytes_total , stat=16, recurrent=1
2021-02-01T10:21:39.321233Z debug envoy wasm wasm log: [extensions/stats/plugin.cc:633]::report() metricKey cache miss istio_tcp_connections_closed_total , stat=20, recurrent=0
2021-02-01T10:21:39.321248Z debug envoy wasm wasm log: [extensions/stats/plugin.cc:633]::report() metricKey cache miss istio_tcp_received_bytes_total , stat=24, recurrent=1

Выглядит, будто envoyfilter "istio-multicluster-ingressgateway" не работает.
Istio
Replicated control planes
Install an Istio mesh across multiple Kubernetes clusters with replicated control plane instances.
источник
15:04пожаловаться#7

AP

Andrey Polovov in Istio_ru
И ещё вопрос. Нет ли кого в чате, кто готов меня проконсультировать по истио? Возмездно.
источник
15:08пожаловаться#8

AP

Andrey Polovov in Istio_ru
Разобрался как включить правильный дебаг в inressgateway. envoyfilter работает как надо:

2021-02-01T12:43:15.676276Z debug envoy filter tls inspector: new connection accepted
2021-02-01T12:43:15.676313Z trace envoy filter tls inspector: recv: 212
2021-02-01T12:43:15.676337Z trace envoy filter tls:onALPN(), ALPN: istio-http/1.1,istio,http/1.1
2021-02-01T12:43:15.676349Z debug envoy filter tls:onServerName(), requestedServerName: outbound_.8000_._.httpbin.bar.global
2021-02-01T12:43:15.676419Z debug envoy filter [C22] new tcp proxy session
2021-02-01T12:43:15.676424Z trace envoy connection [C22] readDisable: disable=true disable_count=0 state=0 buffer_length=0
2021-02-01T12:43:15.676433Z trace envoy filter [C22] sni_cluster: new connection with server name outbound_.8000_._.httpbin.bar.global
2021-02-01T12:43:15.676440Z trace envoy filter [C22] tcp_cluster_rewrite: new connection with server name outbound_.8000_._.httpbin.bar.global
2021-02-01T12:43:15.676453Z trace envoy filter [C22] tcp_cluster_rewrite: final tcp proxy cluster name outbound_.8000_._.httpbin.bar.svc.cluster.local
2021-02-01T12:43:15.676471Z debug envoy connection [C22] closing data_to_write=0 type=1
2021-02-01T12:43:15.676475Z debug envoy connection [C22] closing socket: 1


То есть, вместо запрошенного outbound_.8000_._.httpbin.bar.global я получаю outbound_.8000_._.httpbin.bar.svc.cluster.local.
Но он опять молча закрывает сокет. Почему, блин?
источник
15:46пожаловаться#9
2021 February 02

AP

Andrey Polovov in Istio_ru
Я решил свои проблемы с .global (я на него забил, если не модифицировать SNI, то всё работает как надо).

Созрела ещё одна серьёзная проблема.
У меня два кластера с разными clusterDomain и trustDomain (`a.local` и `b.local`). У обоих есть ingressgateway-и для обработки запросов из соседних кластеров.
Если я объявлю сервис httpbin.bar.svc.b.local в кластере a.local через простой ServiceEntry, то всё работает как положено. Даже авторизация работает по source.principals "a.local/*".
Но я хочу опубликовать все сервисы из соседнего кластера wildard-ом. Если создать ServiceEntry *.b.local, то при запросе httpbin.bar.svc.b.local тот будет перенаправлен в соседний кластер, но его SNI будет заменён на outbound_.8000_._.*.b.local, после чего запрос становится обречён.

Как мне зарулить все запросы на *.b.local на статичный IP:port без модификации SNI? Нет ли у кого идей?
источник
05:08пожаловаться#10

4

4c74356b41 in Istio_ru
да вроде можно вайлдкарды использовать: https://istio.io/latest/docs/tasks/traffic-management/egress/wildcard-egress-hosts/
Istio
Egress using Wildcard Hosts
Describes how to enable egress traffic for a set of hosts in a common domain, instead of configuring each and every host separately.
источник
07:13пожаловаться#11

ᴅⁱᵐⁱᴅʳ0ˡ in Istio_ru
Andrey Polovov
Я решил свои проблемы с .global (я на него забил, если не модифицировать SNI, то всё работает как надо).

Созрела ещё одна серьёзная проблема.
У меня два кластера с разными clusterDomain и trustDomain (`a.local` и `b.local`). У обоих есть ingressgateway-и для обработки запросов из соседних кластеров.
Если я объявлю сервис httpbin.bar.svc.b.local в кластере a.local через простой ServiceEntry, то всё работает как положено. Даже авторизация работает по source.principals "a.local/*".
Но я хочу опубликовать все сервисы из соседнего кластера wildard-ом. Если создать ServiceEntry *.b.local, то при запросе httpbin.bar.svc.b.local тот будет перенаправлен в соседний кластер, но его SNI будет заменён на outbound_.8000_._.*.b.local, после чего запрос становится обречён.

Как мне зарулить все запросы на *.b.local на статичный IP:port без модификации SNI? Нет ли у кого идей?
Serviceentry не поддерживает вайдкар
источник
09:40пожаловаться#12

4

4c74356b41 in Istio_ru
ᴅⁱᵐⁱᴅʳ0ˡ
Serviceentry не поддерживает вайдкар
в смысле
источник
09:56пожаловаться#13

4

4c74356b41 in Istio_ru
источник
09:56пожаловаться#14

AP

Andrey Polovov in Istio_ru
источник
10:01пожаловаться#15

AP

Andrey Polovov in Istio_ru
Но есть нюанс. Он меняет SNI на шаблон.
источник
10:02пожаловаться#16

4

4c74356b41 in Istio_ru
Andrey Polovov
Но есть нюанс. Он меняет SNI на шаблон.
вот эт очень странно
источник
10:03пожаловаться#17

AP

Andrey Polovov in Istio_ru
4c74356b41
да вроде можно вайлдкарды использовать: https://istio.io/latest/docs/tasks/traffic-management/egress/wildcard-egress-hosts/
Istio
Egress using Wildcard Hosts
Describes how to enable egress traffic for a set of hosts in a common domain, instead of configuring each and every host separately.
Можно, но тут трафик заворачивается на егресс. А мне бы обойтись без него. Я на свежую голову сегодня почитаю ещё разок.
источник
10:04пожаловаться#18

4

4c74356b41 in Istio_ru
ну, я вам честно скажу, я в вашей ситуации не был, потому лучше совета чем этот линк дать не могу)
источник
10:04пожаловаться#19

AP

Andrey Polovov in Istio_ru
Понимаю :), всё равно спасибо
источник
10:05пожаловаться#20