Istio | 易学教程

How do I properly HTTPS secure an application when using Istio?

阅读更多关于 How do I properly HTTPS secure an application when using Istio?

问题 I'm currently trying to wrap my head around how the typical application flow looks like for a kubernetes application in combination with Istio. So, for my app I have an asp.net application hosted within a Kubernetes cluster, and I added Istio on top. Here is my gateway & VirtualService: apiVersion: networking.istio.io/v1alpha3 kind: Gateway metadata: name: appgateway spec: selector: istio: ingressgateway servers: - port: number: 80 name: http protocol: HTTP hosts: - "*" tls: httpsRedirect:

How do I properly HTTPS secure an application when using Istio?

阅读更多关于 How do I properly HTTPS secure an application when using Istio?

《云原生语境下，如何重新解读微服务？》

阅读更多关于《云原生语境下，如何重新解读微服务？》

简介：由阿里云主办的首届“云原生微服务大会”将于 2020 年 8 月 18-19 日在线上召开。本次大会聚焦微服务架构前沿发展和业界最佳实践，重点探讨云原生语境下微服务的挑战和技术趋势，帮助企业技术决策者、架构师、开发者们迎接云原生时代的到来。最近，O’Reilly 公布了一份关于企业微服务市场现状的数据调研。报告显示，在访问了全球 1,502 名软件工程师、系统和技术架构师、工程师以及决策者后，有 77％的组织反馈采用了微服务，其中 92％的组织成功使用了微服务。如果以这份报告为依据，微服务在企业的普及率已接近八成。看起来，企业对微服务的兴趣可能已经接近顶峰。云原生的基础设施从设计上保证了它是微服务部署的最佳平台，但是也对现有的微服务框架带来了新的挑战，在云原生大行其道的今天：我们对微服务还应该继续投入精力关注吗？云原生和微服务之间的关系是什么？随着 Serviece Mesh 等技术的不断成熟，微服务的体系和思想会产生怎样的演化？ Spring Cloud、Dubbo 还会继续作为微服务开发框架的继续流行下去吗？容器、Kubernetes、ServiceMesh、Serverless 这些云原生时代的主角，会如何助力下一代微服务架构为业务发展赋能？这些问题值得每一位技术从业人员去思考，并发现由此带来的企业数字化转型升级新挑战、新机遇。也许有同学会说：

Kubernetes 1.15版本正式发布，kubeadm喜提新logo

阅读更多关于 Kubernetes 1.15版本正式发布，kubeadm喜提新logo

导读：美国时间 2019 年 6 月 19 日，Kubernetes发布了今年第二大版本 Kubernetes 1.15 ，此次版本共更新加强了 25 个相关功能，其中 2 个升级到 GA 版本， 13 个升级到 beta 版， 10 个 alpha 版。 1.15 版本的发布主题是：持续改进和可扩展性。持续改进：项目可持续性不仅仅与功能有关。许多SIG一直致力于提高测试覆盖率，确保基础功能持续可靠，核心功能持续稳定。可扩展性： Kubernetes 社区一直致力于支持可扩展性。 1.15 版本发布周期中包含更多关于CRD和 API Machinery 的工作。此次周期中的大多数增强功能来自SIG API Machinery及相关领域。更深入了解此次版本主要功能：围绕核心 Kubernetes API的可扩展性在 CRD 新开发的主题是围绕者数据一致性和原生性。用户考虑重点不会放在是CustomResource还是使用 Golang 原生资源。在下个版本或后续版本中，将会升级 CRD 和 admissio webhooks 到 GA 版本。在这个方向上，社区重新考虑了CRD中基于 OpenAPI 的验证模式，并且从 1.15 开始，我们根据称为“ structural schema ”的限制检查每个资源

Adding custom response headers using Istio's (1.6.0) envoy lua filter

阅读更多关于 Adding custom response headers using Istio's (1.6.0) envoy lua filter

问题 I am running Istio 1.6.0. I wanted to add some custom headers to all the outbound responses originating from my service. So I was trying to use lua envoyfilter to achieve that. However, I don't see my proxy getting properly configured. The envoy filter config that I'm trying to use is kind: EnvoyFilter metadata: name: lua-filter namespace: istio-system spec: workloadSelector: labels: istio: ingressgateway configPatches: - applyTo: HTTP_FILTER match: context: GATEWAY listener: filterChain:

Adding custom response headers using Istio's (1.6.0) envoy lua filter

阅读更多关于 Adding custom response headers using Istio's (1.6.0) envoy lua filter

Kubernetes Pod 生命周期

阅读更多关于 Kubernetes Pod 生命周期

Pod 生命周期 Pod 的 status 定义在 PodStatus 对象中，其中有一个 phase 字段。它简单描述了 Pod 在其生命周期的阶段。熟悉Pod的各种状态对我们理解如何设置Pod的调度策略、重启策略是很有必要的。下面是 phase 可能的值：阶段描述 Pending Pod 已被 Kubernetes 系统接受，但有一个或者多个容器镜像尚未创建。等待时间包括调度 Pod 的时间和通过网络下载镜像的时间，这可能需要花点时间。 Running 该 Pod 已经绑定到了一个节点上，Pod 中所有的容器都已被创建。至少有一个容器正在运行，或者正处于启动或重启状态。 Succeeded Pod 中的所有容器都被成功终止，并且不会再重启。 Failed Pod 中的所有容器都已终止了，并且至少有一个容器是因为失败终止。也就是说，容器以非0状态退出或者被系统终止。 Unknown 因为某些原因无法取得 Pod 的状态，通常是因为与 Pod 所在主机通信失败。 Pod 状态 Pod 有一个 PodStatus 对象，其中包含一个 PodCondition 数组，代表 Condition 是否通过。 PodCondition 属性描述：字段描述 lastProbeTime 最后一次探测 Pod Condition 的时间戳。 lastTransitionTime 上次

什么是Service Mesh？

阅读更多关于什么是Service Mesh？

<div id="cnblogs_post_body" class="blogpost-body"> 转至大佬宋净明的博客：https://jimmysong.io/posts/what-is-a-service-mesh/ Service mesh 又译作 “服务网格”，作为服务间通信的基础设施层。Buoyant 公司的 CEO Willian Morgan 在他的这篇文章 <a href="https://buoyant.io/2017/04/25/whats-a-service-mesh-and-why-do-i-need-one/">WHAT’S A SERVICE MESH? AND WHY DO I NEED ONE?</a> 中解释了什么是 Service Mesh，为什么云原生应用需要 Service Mesh。 如 <a href="https://twitter.com/wm">Willian Morgan</a> 所言：A service mesh is a dedicated infrastructure

Kubernetes(Istio) Mongodb enterprise cluster: HostUnreachable: Connection reset by peer

阅读更多关于 Kubernetes(Istio) Mongodb enterprise cluster: HostUnreachable: Connection reset by peer

问题 I have Istio1.6 running in my k8 cluster. In the cluster I have also deployed sharded mongodb cluster with istio-injection disabled . And I have a different namespace for my app with istio-injection enabled . And from the pod if I try to connect to the mongo I get this connection reset by peer error : root@mongo:/# mongo "mongodb://mongo-sharded-cluster-mongos-0.mongo-service.mongodb.svc.cluster.local:27017,mongo-sharded-cluster-mongos-1.mongo-service.mongodb.svc.cluster.local:27017/?ssl

I want istio envoy proxy to translate http traffic to https

阅读更多关于 I want istio envoy proxy to translate http traffic to https

问题 I'm using k8s with istio. And, I have external api with https endpoint (mutual tls) And I don't want every api request from k8s pod to implement mutual tls call, so it would be great if istio envoy proxy can process mutual tls. Then pod can call api with http, and request would be converted to https mtls request by envoy. +---------------------------------+ | (pod) ---http--> (envoy proxy) -|-https(mtls)--> external api +---------------------------------+ I managed to find a solution of

订阅 Istio