Входной шлюз Istio не может подключиться более чем к одной реплике службы.

Question

Входной шлюз Istio не может подключиться более чем к одной реплике службы.

Я настраиваю Istio в новом кластере AWS EKS и создаю базовое развертывание nginx для тестирования. Когда в развертывании есть только одна реплика, оно работает отлично, отвечая менее чем за 100 мс. Когда я добавляю одну реплику, время отклика нового модуля увеличивается как сумасшедшее, составляя в среднем около 10 секунд.

Основываясь на предложениях из других источников, я обновил конфигурацию сетки , чтобы отключить автоматические повторы:

      meshConfig:
   defaultHttpRetryPolicy: {}

После того, как это произошло, я обнаружил, что запросы ко второму поду всегда терпят неудачу:

      "GET / HTTP/1.1" 503 UF upstream_reset_before_response_started{connection_failure} - "-" 0 91 10003 - "108.249.9.111,10.1.0.117" "curl/7.68.0" "6fa51be8-1441-4454-8d 1b-a03c93b257dc" "example.com" "10.1.52.62:80" outbound|80||nginx.my-namespace.svc.cluster.local - 10.1.108.189:8080 10.1.0.117:21410 - -

Моя установка следующая:

      # AWS ALB Ingress -> istio-ingressgateway (ClusterIP) -> gateway -> virtualservice -> service -> nginx

apiVersion: networking.istio.io/v1beta1
kind: Gateway
metadata:
  name: default
spec:
  selector:
    istio: ingressgateway
  servers:
  - port:
      number: 80
      name: http
      protocol: HTTP
    hosts:
    - "*"

---

apiVersion: networking.istio.io/v1beta1
kind: VirtualService
metadata:
  name: nginx
spec:
  hosts:
  - "example.com"
  gateways:
  - default
  http:
  - route:
    - destination:
        host: nginx

---

apiVersion: v1
kind: Service
metadata:
  name: nginx
  labels:
    app: nginx
spec:
  selector:
    app: nginx
  ports:
    - port: 80
      name: http

---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: nginx
  labels:
    app: nginx
    version: v1
spec:
  replicas: 2
  revisionHistoryLimit: 1
  selector:
    matchLabels:
      app: nginx
      version: v1
  template:
    metadata:
      labels:
        app: nginx
        version: v1
    spec:
      containers:
        - name: nginx
          image: nginx:latest
          ports:
            - containerPort: 80
          resources:
            requests:
              memory: 100Mi
              cpu: 100m
            limits:
              memory: 1500Mi
              cpu: 1000m

Версии:

      $ istioctl version
client version: 1.13.2
control plane version: 1.13.2
data plane version: 1.13.2 (1 proxies)


$ kubectl version --short
Client Version: v1.21.11
Server Version: v1.21.5-eks-bc4871b

0

kubernetes istio aws-eks

Источник

kenske 31 мар '22 в 18:05

1 ответ

Другие вопросы по тегам kubernetes istio aws-eks

kenske 31 мар '22 в 21:22 2022-03-31 21:22 · Answer 1 · 2022-03-31 21:22

Я понял, что моя проблема связана с неправильно настроенными правилами группы безопасности для узлов. Я не разрешал трафик между узлами, не позволяя входному шлюзу istio взаимодействовать с модулями на других узлах.

Используя модуль AWS EKS Terraform, я добавил следующее:

      
  node_security_group_additional_rules = {

    ingress_self_all = {
      description = "Node to node all ports/protocols"
      protocol    = "-1"
      from_port   = 0
      to_port     = 0
      type        = "ingress"
      self        = true
    }
    egress_all = {
      description = "Node all egress"
      protocol    = "-1"
      from_port   = 0
      to_port     = 0
      type        = "egress"
      cidr_blocks = ["0.0.0.0/0"]
    }
  }