Не использую сертификаты, profit

ну и троли :)

вероятно истио обновил и сертификаты слетели?

Нет, используем наши собственные серты в istio, обновили, заинжектили, все ок. Чтобы новые серты применились, надо все поды ingress-gateway порестартить, но, ввиду человеческого фактора, один не порестартился.
В итоге часть запросов валилась с 500 rc - проблема ясна - серт к этому поду.

authentication handshake failed: x509: certificate signed by unknown authority\

Вот хочется узнать у коммунити, как подобные проблемы кто решает, ибо не хочется еще раз наткнуться на эту же проблему.

По крайней мере, у istio/envoy готовых метрик на это нет.

P.S. что более удивило, readinessProbe у этого не порестарченного пода в порядке, проходит

никак не решаем

тупо роллить все поды - какие еще варианты

насчет метрик удивлен - должна быть метрика именно на не успешно установленное соединение

я в этом уверен 99.9%

Ну вот пока не нашел

> P.S. что более удивило, readinessProbe у этого не порестарченного пода в порядке, проходит

а с чего она должна факапнуться?

Ну по факту под не в состоянии обрабатывать входящие соединения

ну бывает

как ты думаешь - authentication handshake failed: x509: certificate signed by unknown authority\ - это на исходящее соединение из него или на входящее?

вот ответь на вопрос

Эта ошибка вообще не на вход/исход соединение возникает - xdsproxy постоянно об этом алертит в логах с error level info.
При входящем на такой под будет 500

У тебя в стандартном дашборде в меше 500 отслеживаются

По алертам тоже самое

Там везде отношения используются

Кароче, нацепи алерт на такие записи в логах, раз это такая проблема
Ох уж эти проблемы с истио

На логи алерты, хе

Это да