consul envoy upstream connect error or disconnect

于 2023-06-26 11:52:01 发布
阅读量876 收藏
点赞数
分类专栏: 错误解决 文章标签: consul envoy
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34884729/article/details/131394258
版权

upstream connect error or disconnect/reset before headers. retried and the latest reset reason: connection failure, transport failure reason: TLS error: 268435581:SSL routines:OPENSSL_internal:CERTIFICATE_VERIFY_FAILED

consul和envoy一起构建成的服务网格,上述的问题估计会经常发现,也头疼了我很久,还是总结列一下。

首先,应该从哪里开始检查?

1、看内容,就是tls的校验问题,根本不关你上游的服务什么事情。

2、要知道envoy之间,tls的控制来源是啥?consul!!!!!consul通过xds来动态配置envoy。所以,envoy出问题,很大程度是来源consul。不要单单看envoy的日志,其实感觉看envoy的日志,对于这种问题,感觉没啥卵用,直接去查一下,相关的envoy节点所关联的consul节点日志。

2023-06-26T11:25:35.211+0800 [ERROR] agent.client: RPC failed to server: method=ConnectCA.Sign server=10.70.51.58:47024 error="rpc error making call: rpc error making call: CA is uninitialized and unable to sign certificates yet: no root certificate"
2023-06-26T11:25:35.211+0800 [WARN]  agent.cache: handling error in Cache.Notify: cache-type=connect-ca-leaf error="rpc error making call: rpc error making call: CA is uninitialized and unable to sign certificates yet: no root certificate" index=0
2023-06-26T11:25:35.211+0800 [ERROR] agent.proxycfg: Failed to handle update from watch: kind=ingress-gateway proxy=ingress-service-eai service_id=ingress-service-eai id=leaf error="error filling agent cache: rpc error making call: rpc error making call: CA is uninitialized and unable to sign certificates yet: no root certificate"
2023-06-26T11:26:38.201+0800 [ERROR] agent.client: RPC failed to server: method=ConnectCA.Sign server=10.70.51.58:47004 error="rpc error making call: rpc error making call: CA is uninitialized and unable to sign certificates yet: no root certificate"
2023-06-26T11:26:38.201+0800 [WARN]  agent.cache: handling error in Cache.Notify: cache-type=connect-ca-leaf error="rpc error making call: rpc error making call: CA is uninitialized and unable to sign certificates yet: no root certificate" index=0
2023-06-26T11:26:38.201+0800 [ERROR] agent.proxycfg: Failed to handle update from watch: kind=ingress-gateway proxy=ingress-service-eai service_id=ingress-service-eai id=leaf error="error filling agent cache: rpc error making call: rpc error making call: CA is uninitialized and unable to sign certificates yet: no root certificate"

既然引期故障的日志找到了,就开始处理问题。

其实这个问题是因为consul connect 我采用的是vault,刚好昨天vault服务所在的服务器重启了,vault又没有配置自启,为啥又到了今天才报异常?因为刚好要更换leaf cert。consul感知到vault服务的异常,就所有的服务都gg了。

vault 这个蛋疼的服务,非必要,不要搞,老老实实用consul自带的cert。consul和envoy在国内的文档除了非常简单的,稍微深入一点的都没有,vault比它们更偏门,Google都不好使。

立刻把vault删了,把ca的配置改成用consul的,重启consul,完事

nathan柠檬
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
consul-connect-kickstarter:一个简短的启动程序,用于试用和使用Consul的新功能“ Connect
05-09
领事Connect Kickstarter 这旨在成为了解和试用新功能“ ”的最初启动者,该功能是直接引入Consul的服务网格,并支持和外部代理连接器。 先决条件 码头工人(> = 18.03.0-ce) docker-compose(> = 1.20.1) bash...
演示堆栈:演示堆栈,了解Nomad&Consul Connect功能
02-06
本主题的焦点是“演示堆栈”,它着重于展示Nomad和Consul Connect的功能。这两个工具都是HashiCorp公司提供的强大产品,它们在DevOps领域有着广泛的应用。 首先,让我们深入了解一下Nomad。Nomad是一个灵活的工作...
upstream connect error or disconnect/reset before headers.reset reason:connection failure,transport
喝醉酒的小白
05-06 1万+
这个问题的原因是 SSL 证书验证失败,可能是证书过期、证书不受信任、证书链不完整等原因导致的。确认是否所有的证书都已正确设置,包括根证书、中间证书和服务器证书。如果还是无法解决问题,可以联系证书颁发机构或服务器管理员寻求帮助。命令查看详细的 TLS 握手过程,以确定具体的错误原因。如果以上步骤都没有解决问题,可以尝试使用。确认证书是否被信任,可以使用。确认证书链是否完整,可以使用。确认证书是否过期,可以使用。命令查看证书的过期日期。
upstream connect error or disconnect/reset before headers. reset reason: connection termination
热门推荐
本博客暂停使用
01-12 4万+
upstream connect error or disconnect/reset before headers. reset reason: connection termination错误 最后删除相关pod重启才成功
Istio: upstream connect error or disconnect/reset before header
zhangpin04的博客<img src="http://awfwef.com/a.png">
10-07 1万+
按照官方文档跑 bookinfo 例子,访问 productpage 的时候提示: upstream connect error or disconnect/reset before header 通过命令查看 productpage 的 istio proxy 的日志,日志都是 info 级别,通过调整 level 可以查看到更多 Envoy 的详细日志,打开方式可以通过 port-forwar...
[Istio]Web应用出现upstream connect error or disconnect/reset before headers
weixin_33711641的博客
10-15 7252
  在部署web应用之后,使用ingressway为入口,不能正常访问。服务返回 upstream connect error or disconnect/reset before headers   这种情况一般有几种解决方法: 1、如果是部署新服务,可以等待10分钟 2、如果第一种方式没有效果,可考虑重启ingress 和 pilot两个服务 kubectl delete pod...
开源项目-gojektech-consul-envoy-xds.zip
09-03
【开源项目-gojektech-consul-envoy-xds.zip】是一个源自Gojek Tech的开源项目,主要涉及了领事(Consul)、Envoy和XDS(X Experimental Discovery Service)等关键组件,这些组件在现代微服务架构中扮演着重要角色。...
.NET Core 3.0之创建基于Consul的Configuration扩展组件
01-20
相信大家对Consul已经比较了解了,很多项目都会使用Consul作为配置中心,此处也不做其他阐述了,主要是讲一下,创建Consul配置扩展的一些思路。使用Consul配置功能时,我们可以将信息转成JSON格式后再存储,那么我们...
consul-unauthorized:consul未授权访问
04-24
consul可以进入后台,威胁敏感信息,对网络设备进行操作
consul_1.0.2_windows
01-11
consul windows 客户端;consul 是一个服务管理软件。 支持多数据中心下,分布式高可用的,服务发现和配置共享。 consul支持健康检查,允许存储键值对。 一致性协议采用 Raft 算法,用来保证服务的高可用. 成员管理和消息广播 采用GOSSIP协议,支持ACL访问控制。
【Istio】1.5.4版本经过Istio sidecar的请求会有部分503 UC upstream connect error or disconnect/reset before headers
12Dong的博客
06-29 981
在使用Istio1.5.4进行服务编排的时候,发现了一系列问题,这一系列问题中有一个令人匪夷所思的问题。有一个请求比如说叫做 www.12dong.com/api/dong/getinfo?type=1&sort=1这个请求会因为Istio的原因报错这个错503 upstream connect error or disconnect/reset before headers,但是当我改变参数为www.12dong.com/api/dong/getinfo?type=2&sort=1的时候,
Istio 报错503,upstream connect error or disconnect/reset before headers. reset reason: connect
程序圆圆圆
04-20 2万+
错误描述: 每一次在升级微服务时(更新微服务版本),会有一段时间访问报 503 。并在 istio-proxy 日志中有记录:”upstream connect error or disconnect/reset before headers. reset reason: connection failure“ 原因: Kubernetes 检测 Pod 准备好(Running 状态)是 Pod ...
Consul vs. Envoy and Other Proxies
泷泷养的乔小胖
12-26 888
Consul vs. Envoy and Other Proxies 现代服务代理为微服务和云环境提供高级服务路由,身份验证,遥测等。Envoy是一个受欢迎且功能丰富的代理。 代理需要丰富的配置才能运行,因为必须配置后端地址,前端侦听器,路由,过滤器,遥测传输等。此外,现代基础设施包含许多代理,通常每个服务一个代理,因为代理部署在服务旁边的“边车”模型中。因此,代理的主要挑战是配置蔓延和编排。...
consul connect envoy 启动acls和tls后,grpc连接异常
qq_34884729的博客
10-12 839
但我情况有点怪,系统环境感觉不生效,直接输出的都正常,就是grpc有问题。看到别人说的一个例子,试了一下,居然正常了。consul的文档变得有点快,但看起来越来越清晰,之前看1.13.1的文档,配置啥的东一块西一块,陷阱都有说,但不是在一起!首先,consul的配置很重要,一开始我也是这样想的,后面把研究反向对到envoy身上,为啥envoy集群起不来。少了这个,因为envoy是要用到grpc的,而且consul的grpc专门就是给envoy 的xdc 用的。就这样就可以跑起来的话,就没下面的什么事情了。
k8s istio 虚拟机重启后出现upstream connect error or disconnect
qq_28625667的博客
09-22 5220
错误(虚拟机重启后常见问题): upstream connect error or disconnect/reset before headers. reset reason: connection failure, transport failure reason: TLS error: 268436501:SSL routines:OPENSSL_internal:SSLV3_ALERT_CERTIFICATE_EXPIRED 解决办法: istio-system 下的pod出问题了,需要kubectl
Docker 使用PXC搭建MySQL集群(MySQL:5.7.24)
种一棵树最好的时间是十年前,其次是现在。
11-15 2489
关于MySQL集群,常用的有两种模式:Replication集群架构(主从复制) 和 PXC集群架构 PXC集群方案所有节点都是可读可写的,Replication从节点不能写入,因为主从同步是单向的,无法从slave节点向master点同步。 PXC同步机制是同步进行的,这也是它能保证数据强一致性的根本原因,Replication同步机制是异步进行的,它如果从节点停止同步,依然可以向主节点插入数据,正确返回,造成数据主从数据的不一致性。 PXC是用牺牲性能保证数据的一致性,Replication在性能上.
upstream访问第三方服务
冰冻三尺非一日之寒
01-14 628
upstream访问第三方服务   upstream与subrequest机制 upstream说明       upstream被定义为访问上游服务器。它把Nginx定义为代理服务器,⾸要功能是透传,其次才是以TCP获取第三⽅服务器的内容。 subrequest说明       subrequest将会为客户请求创建⼦请求。因为异步⽆阻塞程序的开发过于复杂,所以HTTP框架提供了这种
consul error retreving members: connect: connect refused
最新发布
01-12
"consul error retreving members: connect: connect refused" 这个错误是由于consul无法连接到所需的节点而导致的。这可能是因为网络连接问题或者节点本身出现了问题。 首先,我们需要检查网络连接是否正常。可以尝试通过ping命令或者telnet命令来验证目标节点是否可以正常访问。如果网络连接存在问题,我们需要及时修复网络故障,保证节点之间的正常通信。 其次,我们需要检查目标节点的状态。可能是因为节点自身出现了故障或者服务无法正常启动,导致consul无法获取到节点信息。在这种情况下,我们需要先解决节点自身的问题,确保节点可以正常提供consul所需的信息。 另外,也需要考虑consul的配置是否正确。要确保consul的配置文件中包含了正确的节点信息和端口信息。有时候可能是因为配置错误导致了连接被拒绝的问题。 综上所述,当出现"consul error retreving members: connect: connect refused"的错误时,我们需要从网络连接、节点状态和配置信息等方面进行排查,找到问题的根源并及时解决。只有当这些问题得到解决,consul才能正常获取到节点信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值