Телеграмм чат группы istio

я про автомтлс

18:20пожаловаться #1

Named in Istio_ru

есть два mtls, одни когда истио сам генерит сертификаты, для связи внутри себя, и mtls для связи с внешним миром, когда ты сам должен сертификаты цеплять. Судя по вопросу интересует первый вариант. Не подксажу, не копался

18:20пожаловаться #2

да, я догнал уже)

18:20пожаловаться #3

так-то и внутри можно насильно прописывать дестенейшн рулами

18:21пожаловаться #4

но эт изврат

Снимок экрана 2021-11-25 в 7.22.26 PM.png

18:21пожаловаться #5

Lev Lunev in Istio_ru

(37.43 Кб)

Ребята! Я с тупыми вопросами

Что делать, если порты у кастомного сервиса не следуют нейминг-конвенции истио?) Видимо, из-за этого он не может определить протокол

Насколько адекватно делать fork репозитория и руками править helm-чарт?

18:22пожаловаться #6

Lev Lunev in Istio_ru

Слушайте, а почему вообще istio смотрит на appProtocol и name, а не просто protocol, если все всю жизнь protocol указывают?

Session affinity doesn't seem to apply to weighted subsets - Envoy support required · Issue #9764 · istio/istio

19:40пожаловаться #7

2021 November 26

Boriss Borisovich in Istio_ru

https://github.com/istio/istio/issues/9764 кто как имплементит stickiness в Истио? Единственный ли варик это ConsistentHash https://istio.io/latest/docs/reference/config/networking/destination-rule/#LoadBalancerSettings-ConsistentHashLB ?

GitHub

Describe the bug When attempting to apply session affinity to weighted subsets, the session affinity doesn't seem to apply and the subsets will randomly get served based on their weights as...

15:01пожаловаться #8

Artem in Istio_ru

Добрый вечер. Вопрос в разрезе Hashicorp Vault - OpenShift. Проблема: во все поды внедряется istio-sidecar-proxy через который идёт трафик от пода наружу. Этот истио зарезает трафик от init-container-vault. Мне помогло аннотация excludeoutboundport:443, но это плохой вариант. Как можно правильнее сделать?

17:25пожаловаться #9

Ребята, в сущностях gateway и virtualservice задается hosts, а обязательно ли задавать и там и там?

17:49пожаловаться #10

Просто не понятна пока логика. я подумал сначала, что hosts должны задаваться в gw, это же как бы входящая точка

17:50пожаловаться #11

ᴅ

ᴅⁱᵐⁱᴅʳ0ˡ in Istio_ru

Салют всем, а как все 404 ответы редиректить на заглушку?

19:47пожаловаться #12

2021 November 30

Boriss Borisovich in Istio_ru

https://github.com/paarijaat/stickyapp_rust нашел такой пример… кто-нибудь мог бы подсабить зачем вот это https://github.com/paarijaat/stickyapp_rust/blob/main/k8s/stickyapp-rust-envoyfilter-hybrid.yaml ?

00:20пожаловаться #13

Georgy in Istio_ru

Я сам не знаю. Это Envoy конфигурации. Возможно ответ есть вот в этих доках
https://www.envoyproxy.io/docs/envoy/latest/api-v3/config/cluster/v3/cluster.proto#envoy-v3-api-field-config-cluster-v3-cluster-original-dst-lb-config
https://www.envoyproxy.io/docs/envoy/latest/api-v3/config/cluster/v3/cluster.proto#envoy-v3-api-msg-config-cluster-v3-cluster-originaldstlbconfig

13:27пожаловаться #14

Ребят, а где бы почитать что означают в логах CDS LDS EDS RDS ?

https://www.envoyproxy.io/docs/envoy/latest/intro/arch_overview/operations/dynamic_configuration

20:38пожаловаться #15

Michail Sheldyakov in Istio_ru

20:39пожаловаться #16

Премного благодарен!

20:40пожаловаться #17

2021 December 01

Yerlan A in Istio_ru

добрый день. Подскажите пжлста, как можно ограничить доступ к рабочей нагрузке по диапазону айпи? Сделал:

kubectl patch svc istio-ingressgateway -n istio-system -p '{"spec":{"externalTrafficPolicy":"Local"}}'

Создал такую политику:

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: health-core-denied
  namespace: dev
spec:
  selector:
    matchLabels:
      app: health-core-dev
  action: ALLOW
  rules:
  - from:
    - source:
        ipBlocks: ["<IP-ADDR>"]

но политика не работает. Запросы не блокируются

12:42пожаловаться #18

можа денай нужен тоже?

12:44пожаловаться #19

Yerlan A in Istio_ru

так же..