如何在 Istio 上禁用 mtls？

2024-05-27

我在使用 Istio 连接 Kubernetes 上的两个服务时遇到问题。我的服务向 elasticsearch 发出 POST 请求。

2020-11-18T21:51:53.758079131Z org.elasticsearch.client.ResponseException: method [POST], host [http://elasticsearch:9200], URI [/_bulk?timeout=1m], status line [HTTP/1.1 503 Service Unavailable]
2020-11-18T21:51:53.758087238Z upstream connect error or disconnect/reset before headers. reset reason: connection failure

我读了一些关于此问题的问题/GitHub 问题，可能的原因之一可能是mtls，那么我该如何禁用它呢？

我正在尝试这样做：

apiVersion: "security.istio.io/v1beta1"
kind: "PeerAuthentication"
metadata:
  name: "default"
  namespace: "istio-system"
spec:
  mtls:
    mode: DISABLE

但有了这个PeerAuthentication，我什至无法到达我的服务。你有什么建议吗？

禁用 mtl

此 PeerAuthentication 是禁用 mtls 的正确方法。

apiVersion: "security.istio.io/v1beta1"
kind: "PeerAuthentication"
metadata:
  name: "default"
  namespace: "istio-system"
spec:
  mtls:
    mode: DISABLE

有 istio文档 https://istio.io/latest/docs/tasks/security/authentication/authn-policy/#关于那个。

弹性搜索问题

根据 istio 文档：

要使用 Istio 运行 Elasticsearch，需要适当设置两个 Elasticsearch 配置参数：网络.bind_host and 网络.publish_host。默认情况下，这些参数设置为 network.host 参数。如果network.host设置为0.0.0.0，Elasticsearch很可能会选择pod IP作为发布地址，并且不需要进一步配置。

如果默认配置不起作用，您可以将network.bind_host设置为0.0.0.0或localhost（127.0.0.1），将network.publish_host设置为pod IP。例如：

...
containers:
- name: elasticsearch
  image: docker.elastic.co/elasticsearch/elasticsearch:7.2.0
  env:
    - name: network.bind_host
      value: 127.0.0.1
    - name: network.publish_host
      valueFrom:
        fieldRef:
          fieldPath: status.podIP
   ...

参考Elasticsearch 的网络设置 https://www.elastic.co/guide/en/elasticsearch/reference/current/modules-network.html#modules-network了解更多信息。

如果这不起作用，则存在两个 github 问题：

https://github.com/istio/istio/issues/14662#issuecomment-723669123 https://github.com/istio/istio/issues/14662#issuecomment-723669123
https://github.com/elastic/cloud-on-k8s/issues/2770 https://github.com/elastic/cloud-on-k8s/issues/2770

建议使用

annotations:
  traffic.sidecar.istio.io/excludeOutboundPorts: "" 
  traffic.sidecar.istio.io/excludeInboundPorts: ""

有弹性搜索文档 https://www.elastic.co/guide/en/cloud-on-k8s/current/k8s-service-mesh-istio.html关于那个。

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

Kubernetes

istio

如何在 Istio 上禁用 mtls？的相关文章

Openshift pod 运行时用户 ID 与 Dockerfile 中的用户不匹配

我们在 Dockerfile 和入口点 shell 脚本中有默认用户需要在运行时执行当我们将其部署到 Openshift 集群 4 6 中时 pod 具有不同的用户并且由于此入口点 shell 脚本失败因此应用程序无法启动请求
Kubectl 推出重启以实现有状态集

根据kubectl 文档 https kubernetes io docs reference generated kubectl kubectl commands rollout kubectl rollout restart适用于部署
如何使用 LoadBalancer 服务从 Azure Kubernetes 内部获取客户端 IP 地址

我正在获取节点 IP 地址而不是客户端 IP 地址是否可以使用 type 的服务获取客户端 IPLoadBalancer 或者我需要使用入口控制器吗 apiVersion v1 kind Service metadata name app
使用 JWT 的 Istio Origin 身份验证不起作用

我一直在使用 JWT 将身份验证策略应用于我的测试服务我已关注本指南 https istio io docs tasks security authn policy end user authentication它确实按预期工作了但是
如何使用fabric8 java客户端获取kubernetes服务帐户访问令牌？

我已经在本地计算机中配置了 minikube 并将在外部使用 kubernetes 我已经在 kubernetes 中创建了一个服务帐户并使用它的秘密我可以使用以下命令获取访问令牌 kubectl get secret
更新 DaemonSet，无需像部署那样停机

我想在任何节点上运行应用程序每个节点应始终至少有一个实例但允许更多实例主要是在更新期间防止该 pod 和节点停机 Kubernetes 部署更新通常通过启动一个新的 Pod 来进行一旦可用旧的 Pod 就会被终止这很完美但就
检查 Kubernetes 资源 CronJob 的日志

我创建了一个CronJob https kubernetes io docs concepts workloads controllers cron jobs Kubernetes 中的资源我想检查日志以验证我的 cron 是否正在运行
如何在 Helm 图表中配置 docker 入口点

我有以下内容docker compose文件我不明白如何设置working dir and entrypoint在掌舵deployment yaml 有人有关于如何执行此操作的示例吗 docker compose version 3 5
如何从 minikube 中删除现有下载的 docker 镜像

我正在将多个服务部署到本地集群 minikube using 开发空间工具 https devspace sh 一旦有人对其中一项服务进行更改并将图像推送到我们的私人存储库我就需要这些更改在我的本地可用我现在所做的就是完全删除minik
如何在Prometheus中查询容器内存限制

我正在使用 Prometheus 工具来监控我的 Kubernetes 集群我在部署中设置了资源限制内存限制并且需要配置一个面板来显示可用的总内存请让我知道在 Prometheus 中运行以获得可用于我的部署的总内存限制所需的查询
使用 Prometheus 获取总磁盘空间和可用磁盘空间

我尝试获取 Kubernetes VM 上的总磁盘空间和可用磁盘空间以便可以显示其已占用空间的百分比我尝试了名称中包含文件系统的各种指标但没有一个显示正确的总磁盘大小应该使用哪一个来做到这一点这是我尝试过的指标列表 node
Kubernetes NetworkPolicy 限制服务的出口流量

是否可以仅允许特定服务的出口流量这是我天真的尝试 kind NetworkPolicy metadata name default deny all egress namespace default spec podSelector eg
带有 Helm Charts 的蓝绿部署

我们可以使用 Helm Charts 来部署应用程序 helm install name the release helm the service helm namespace myns 而我们冷滚动升级部署使用 helm upgrad
kubernetes 上的 gitlab-ci 缓存与 minio-service 不再工作

我正在运行 gitlab 10 4 3 和 gitlab runner 10 4 0 作为 kubernetes 部署带有 kubernetes runner 和一个用于缓存的 minio server 我是按照安装的gitlab 文档
Kubernetes，无法访问其他节点服务

我正在 3 个带有 CentOS 7 的 VirtualBox 虚拟机 1 个 master 和 2 个 minions 中使用 Kubernetes 不幸的是安装手册说的是这样的every service will be accessib
如何在 GKE 上为 Kubernetes Ingress 强制使用 SSL

有没有办法强制对入口负载均衡器上的传入连接进行 SSL 升级或者如果这是不可能的我可以禁用端口 80吗我还没有找到一个好的文档页面来概述 YAML 文件中的此类选项预先非常感谢 https github com kubernete
如何从 Pod 中的容器内部获知 Pod 自己的 IP 地址？

Kubernetes为每个容器分配一个IP地址那么如何从Pod中的容器获取IP地址呢我无法从文档中找到方法编辑我将在 Kubernetes 中运行 Aerospike 集群并且配置文件需要有自己的IP地址我正在尝试使用 conf
如何使用 kubeadm 升级来更改 kubeadm-config 中的某些功能

我想在现有的 kubernetes 集群 v1 10 上安装 kube prometheus 在此之前文档说我需要将控制器调度器的IP地址从127 0 0 1 to 0 0 0 0 并且还推荐使用kubeadm 配置升级 https k
Kubernetes 滚动更新不停机？

根据https kubernetes io docs tutorials stateful application basic stateful set scaling a statefulset https kubernetes io d
如何使用 kubectl cp 通过列表过滤器自动将文件从本地系统复制到 kubernetes Pod

我的 kubernetes 系统中有许多 pod 随机名称为 wordpress xxx xx 这里列出了pods https i stack imgur com k7Jxw png 我想使用一个命令kubectl cp另一种是将文件从一个

随机推荐

是否有像 python 的 issubclass 这样的东西，如果第一个参数不是类，它将返回 False？

我想要issubclass 1 str 返回 false 1不是的子类str 因为它根本不是一个类所以我收到了 TypeError 有没有一个好的方法来测试这个而不诉诸try except try if issubclass value
如何在列表的解析参数中解析列表（字符串）而不是列表（字符）？

我在flask中使用flask restful 我的代码如下 from flask restful import Resource reqparse apilink parser reqparse RequestParser apilink
kCVPixelFormatType_420YpCbCr8BiPlanarFullRange 帧到 UIImage 转换

我有一个应用程序可以捕获 kCVPixelFormatType 420YpCbCr8BiPlanarFullRange 格式的实时视频来处理 Y 通道根据苹果的文档 kCVPixelFormatType 420YpCbCr8BiPlana
为什么默认情况下不启用 arp 忽略/通告 [关闭]

Closed 这个问题是无关 help closed questions 目前不接受答案我有一个需要经验才能回答的具体问题为什么 arp ignore arp announce 在 Linux 安装例如 debian 上默认不启用有
如何在没有“N more”和“...”的情况下查看完全扩展的 TypeScript 类型？

在 VSCode 中 TypeScript 显示了我定义的类型的非常有用的扩展但 TS 在 IntelliSense 中显示的内容是有限的如果类型太长那么我会看到如下输出请注意末尾处的 11 more 有时为了解决困难的类型定义问
JavaScript 按属性删除对象数组中的元素

我有一个以下形式的对象数组 prop1 value1 banks id value property2 value2 所以我想要做的是通过搜索 id 值来删除 banks 属性中的元素然后从banks数组中删除找到的元素 id 属性具有唯
如何在 VS 2013 的立即窗口中执行 LINQ 和/或 foreach？

在调试过程中探测当前状态时立即窗口是非常有用的工具我了解到通过使用问号人们可以在那里做更多的事情如图所示在这篇文章中 https stackoverflow com questions 32934635 execute metho
GhostScript PDF 合并（丢失可编辑字段）

我正在使用 GhostScript 将 PDF 合并为一个 PDF 其中一份 PDF 具有我在 Adob e Acrobat Pro 9 中创建的文本框字段可编辑字段当我使用 GhostScript 合并这两个 PDF 时我丢失了文本
在 Android 上获取一个滚动到 GridView 底部视图的按钮

我正在尝试将现有的 iPhone 应用程序移植到 Android 我希望有一个按钮滚动到 GridView 底部的视图中以使用户能够从服务器加载更多数据目前我的解决方案只是修复屏幕底部的一个按钮而不是让它滚动到视图中这是我的布局代
酷还是傻？ Catch(异常[NamingException, CreateException] e)

我正在编写一些代码我注意到异常处理中的一种模式让我思考 try do stuff throws JMS Create and NamingException catch NamingException e log1 e rollback
检查文件是真实文件还是符号链接

有没有办法使用 C 来判断文件是真实文件还是符号链接我已经挖过了MSDN W32 文档 https learn microsoft com en us windows win32 fileio file management functi
Rust 编译器不会将结构视为 Sized

我试图将一个特质定义如下 pub struct Parameter
Java Swing JEditorPane：操作样式文档

我的模型是与枚举类型关联的字符串队列我试图在 JEditorPane 中显示该模型队列中的每个元素作为一个单独的 HTML 段落其属性基于关联的枚举类型但是我的更新方法并没有达到我想要的效果我尝试将 HTML 字符串直接写入文档
preg_match_all JS 等效吗？

Javascript 中是否有与 PHP 的 preg match all 等效的函数如果没有将正则表达式的所有匹配项放入数组的最佳方法是什么我愿意使用任何 JS 库来让它变得更容易您可以使用match使用全局修饰符 gt gt g
如何对结构切片而不是切片结构进行范围调整

稍微玩了一下 Go HTML 模板后我发现的所有循环模板中对象的示例都是将切片结构传递给模板有点像这个示例 type UserList struct Id int Name string var templates template M
如何加密捆绑的文本/json 文件？

我的 iOS 应用程序捆绑了几个文件现在如果有人下载该应用程序并访问 ipa 文件他就可以轻松阅读它们我想让事情变得更难您知道有关该主题的任何资源吗我想我需要一个加密库以及编码文件的构建脚本中的一些脚本当然我知道有人可能会
如何从 nuget 包中排除子目录和内容

所以我有一个网站正在尝试打包用于 Octopus Deploy 我有以下文件夹结构 Web Views WantThis Dontwantthis WantThis1 WantThis2 lots more Scripts 我试图排除 Do
获取外部存储的权限（file_provider 插件）

我在使用 flutter 获取 Android 设备上的外部存储权限时遇到一些问题当我尝试在外部存储中创建目录时出现此错误我只是为此示例更改了目录在我自己的项目中目录名称不同 I flutter 12727 EXCEPTION C
继承属性，从 readonly 继承的属性中读写时不会合成 setter

我在使用属性时发现了一个奇怪的行为该属性被继承为只读然后在继承的类中重新声明为读写 In A h interface A NSObject property nonatomic strong readonly NSObject some
如何在 Istio 上禁用 mtls？

我在使用 Istio 连接 Kubernetes 上的两个服务时遇到问题我的服务向 elasticsearch 发出 POST 请求 2020 11 18T21 51 53 758079131Z org elasticsearch cli

热门标签