随笔分类 - Istio
摘要:[root@master certificates]# openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -subj '/O=Yang Inc./CN=yang.com' -keyout yang.com.key -out yan
阅读全文
摘要:全局配置 部署网格时,通过IstioOperator配置中的MeshConfig段进行全局配置 部署网格后,通过IstioOperator配置中的MeshConfig段进行全局配置 meshConfig: enableTracing: true #启用tracing机制 defaultConfig:
阅读全文
摘要:在IstioOperator中,通过MeshConfig启用 accessLogFile 访问日志的日志文件路径,例如/dev/stdout,空值表示禁用该日志; accessLogFormat 访问日志的日志格式,空值表示使用默认的日志格式; accessLogEncoding 访问日志编码格式,
阅读全文
摘要:获取命令 kubectl exec sleep-78ff5975c6-75q5z -c istio-proxy -- pilot-agent request GET /stats # stats格式 kubectl exec sleep-78ff5975c6-75q5z -c istio-proxy
阅读全文
摘要:部署client [root@master ServiceEntry-and-WorkloadEntry]# kubectl apply -f 00-Deploy-Client/ deployment.apps/client created service/client created [root@
阅读全文
摘要:出向侦听器未配置前 [root@master ~]# istioctl pc listeners sleep-78ff5975c6-75q5z ADDRESS PORT MATCH DESTINATION 10.96.0.10 53 ALL Cluster: outbound|53||kube-dn
阅读全文
摘要:入向流量的相关过滤器匹配条件及流量处理机制 [root@master ~]# istioctl pc listeners sleep-78ff5975c6-75q5z --port 15006 ADDRESS PORT MATCH DESTINATION 0.0.0.0 15006 Addr: *:
阅读全文
摘要:istio-proxy即所谓的sidecar容器,它运行两个进程 pilot-agent 基于k8s api server为envoy初始化出可用的boostrap配置文件并启动envoy; 监控并管理envoy的运行状态,包括envoy出错时重启envoy,以及envoy配置变更后将其重载等; e
阅读全文
摘要:[root@master Traffic-Management-Basics]# kubectl apply -f tracing/ destinationrule.networking.istio.io/tracing-dr created gateway.networking.istio.io/
阅读全文
摘要:[root@master Traffic-Management-Basics]# kubectl apply -f prometheus/ destinationrule.networking.istio.io/prometheus created gateway.networking.istio.
阅读全文
摘要:各类服务网格的实现在特性上重叠性颇高,他们几乎都具有下列功能 流量治理 对哪些流量进行治理 动态路由:条件式路由,基于权重的流量分发,流量镜像 韧性:超时 重试 断路器 策略:访问控制 测试:故障注入 安全 加密:mTLS,证书管理,CA 严格的身份标识机制 认证和授权 可观测性 指标监控 分布式链
阅读全文
摘要:部署keycloak,前面的文章有 添加域 名字叫istio 访问keycloak添加客户端 配置客户端 获取客户端的凭据,后面要用 创建mappers 部署oauth2-proxy [root@k8s-master 05-JWT-and-Keycloak]# kubectl apply -f 01
阅读全文
摘要:部署keycloak [root@k8s-master 04-RequestAuthn-and-AuthzPolicy]# kubectl apply -f 01-deploy-keycloak.yaml [root@k8s-master 04-RequestAuthn-and-AuthzPolic
阅读全文
摘要:将模式改为STRICT,用外部客户端(没有加密认证)直接访问demoapp是可以访问成功的,网格是内部是加密的。 client >proxy >demoapp 非加密可以访问 加密可以访问 后面的时间是把client到proxy之间也加密 [root@master 01-PeerAuthentica
阅读全文
摘要:准备基础环境 01-demoapp-v10 [root@k8s-master ms-demo]# cat 01-demoapp-v10/deploy-demoapp.yaml apiVersion: apps/v1 kind: Deployment metadata: labels: app: de
阅读全文
摘要:测试在网格内部访问网格外部服务 我是开了三台云主机每台都安装下docker和docker-compose 第一台 [root@VM-0-12-centos ~]# cat Deploy-Nginx/docker-compose.yml version: '3.3' services: nginx20
阅读全文
摘要:[root@master ~]# kubectl get pods sleep-78ff5975c6-75q5z -o yaml 初始化容器配置 -p 15001 出向端口 -z 15006 入向端口 -u 1337 UID -m REDIRECT 流量拦截模式 -i * 拦截目标CIDR地址列表
阅读全文
摘要:部署 [root@k8s-master samples]# kubectl apply -f istio/samples/bookinfo/platform/kube/bookinfo.yaml [root@k8s-master samples]# kubectl apply -f istio/sa
阅读全文
摘要:[root@k8s-master 13-outlier-detection]# kubectl apply -f destinationrule-demoapp.yaml destinationrule.networking.istio.io/demoapp configured [root@k8s
阅读全文
摘要:[root@k8s-master 12-connection-pool]# cat destinationrule-demoapp.yaml apiVersion: networking.istio.io/v1beta1 kind: DestinationRule metadata: name: d
阅读全文
浙公网安备 33010602011771号