【Istio】Virtualservice 因为 galley 证书过期无法部署

最新推荐文章于 2023-12-21 14:00:14 发布
最新推荐文章于 2023-12-21 14:00:14 发布
阅读量986 收藏
点赞数
分类专栏: Istio
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yr12Dong/article/details/105980972
版权

因为在部署virtualservice到线上Istio集群的时候,出现了一个问题

Internal error occurred: failed calling webhook "pilot.validation.istio.io": Post https://istio-galley.istio-system.svc:443/admitpilot?timeout=30s: x509: certificate has expired or is not yet valid

在这里插入图片描述
从"pilot.validation.istio.io": Post https://istio-galley.istio-system.svc:443/admitpilot?timeout=30s 这条报错上,大概率Istio-galley所谓的检查virtualservice等Istio自己的CRD也是通过Kubernetes Admission Webhook来实现的。

既然如此,那因为证书出错的问题,就集中在了两处:

  1. Validating Webhook Configuration里的CaBundle证书过期
  2. Validating Webhook Server里配置的证书过期了

依次检查

根据之前的经验,轻车熟路地找到对应的 validatingwebhookconfiguration配置项CaBundle
在这里插入图片描述
在这里插入图片描述
Base64解码之后,使用 工具 查看过期时间,发现果然过期了(当然这里是修改之后的),使用之前提到的命令重新获取,并修改

kubectl config view --raw --minify --flatten -o jsonpath='{.clusters[].cluster.certificate-authority-data}'

第二个是可能在Istio-Galley中挂载的证书过期了
在这里插入图片描述
从截图上判断,证书实际信息是在istio-system中对应的secret里,顺着名字摸过去
发现有三项信息cert-chain.pem、key.pem、root-cert.pem ,还是通过上面的操作方式base64解码时候,放到工具里查询过期时间,发现 cert-chain.pem 没过期,但是 root-cert.pem过期了。思考什么情况,一般来说 cert-chain.pem是通过向root-cert.pem签署的,也就是说root-cert.pem -> cert-chain.pem。根据istio 文档中有提到过 istio-citadel 会尝试自动更新证书,不过在Istio老版本需要手动重启istio-citadel ,所以尝试了一下重启。

果然,不行,截图忘记截了。。。大概的意思是说 istio-ca-secret 这里的证书过期了
那尝试修改一下里面的证书,按照文档里的做法
需要注意的是
在这里插入图片描述
文档当中要求使用在使用证书替代时要小心,所以我让istio集群暂时不对外服务
再利用openssl工具和private-key重新生成一份证书,填进去之后,重启istio-citadel 即可。

重新部署virtualservice ,成功
在这里插入图片描述

12Dong
关注
专栏目录
Istio实战(十二)-Istio 延长自签发证书的有效期
专注基础架构领域
10-30 422
因为历史原因,Istio 的自签发证书只有一年的有效期。如果你选择使用 Istio 的自签发证书,就需要在它们过期之前订好计划进行根证书的更迭。根证书过期可能会导致集群范围内的意外中断。我们认为每年更换根证书和密钥是一个安全方面的最佳实践,我们会在后续内容中介绍如何完成根证书和密钥的轮换过程。为了了解根证书的剩余有效期,请参考下面。我们提供了下面的过程,用于完成根证书更新工作。Envoy 进程不需要进行重启来载入新的根证书,也就不会影响长链接了。
istio证书异常
是我的温柔啊
06-02 618
istio有时会出现证书异常的问题,例如证书校验失败,证书过期等,此时需要我们手动处理istio证书问题。
创建自定义ingress报错:Internal error occurred: failed calling webhook “validate.nginx.ingress.kubernetes.io
热门推荐
惜鸟的博客
04-01 1万+
问题描述: 当我使用ingress-demo.yaml文件创建自定义的ingress时 使用命令创建:kubectl apply -f ingress-demo.yaml 报如下错误: Internal error occurred: failed calling webhook "validate.nginx.ingress.kubernetes.io": Post https://ingress-nginx-controller-admission.kube-system.svc:443/networ
Istio 自动注入 sidecar 失败导致无法访问webhook服务
专注基础架构领域
10-25 892
注意:如果是用kubeadm安装的修改内容如果错误,可能会导致k8s集群中的kube-apiserver全部挂掉,导致无法访问集群,这时就需要从官网下载kube-apiserver二进制文件,重新拉起一个进程,再执行删除pod的操作。最近工作中在部署Istio环境的过程中发现官方示例启动的pod不能访问不到Istiowebhook,这个问题也是困扰了我一天,我把他归类到sidecar注入失败的情况下,特此记录,便于日后查阅。安装 Istio 时,设置 autoInject: disabled。
rancher 添加集群 添加节点 Internal error occurred: failed calling webhook “rancherauth.cattle.io“ 错误
天津托的博客
07-12 3237
Internal error occurred: failed calling webhook"rancherauth.cattle.io":Post https://rancher-webhook.cattle-system.svc:443/v1/webhook/validation?timeout=10s: x509: certificate has expired or is not yet valid
创建pod时报错
chunmiao3032的专栏
04-03 941
[root@k8s-master ephemeral]# kubectl apply -f pod-tomcat.yaml Error from server (InternalError): error when creating "pod-tomcat.yaml": Internal error occurred: failed calling webhook "namespace.sidecar-injector.istio.io": Post "https://istiod.istio-syst..
云原生技术系列:Service Mesh 的实现—— Istio
u012730075的专栏
07-27 1148
IstioServiceMesh实现中最成熟也最受欢迎的项目,由Google、IBM和Lyft开源。Istio是一个用于服务治理的开放平台。Istio是一个ServiceMesh形态的用于服务治理的开放平台。Istio是一个与Kubernetes紧密结合的适用于云原生场景的ServiceMesh形态的用于服务治理的开放平台。......
微服务service mesh解决方案Istio从入门到精通-学习必备
最新发布
02-17
### 微服务Service Mesh解决方案Istio从入门到精通-学习必备 #### 一、Istio概述 Istio 是一个由 Google、IBM 和 Lyft 共同开发的服务网格(Service Mesh)开源项目,旨在为现代微服务架构提供一套统一的服务治理...
Introducing Istio Service Mesh for Microservices
05-20
综上所述,《Introducing Istio Service Mesh for Microservices》这本书不仅是一本介绍Istio服务网格的指南,更是一部深入探讨如何利用Istio构建和部署弹性、容错的云原生应用的专业手册。无论是对于初学者还是有...
istio-1.7.3
10-26
4. **Citadel**:这是Istio的安全组件,负责管理服务之间的身份和证书,实现服务到服务的身份验证和端到端的TLS加密。Istio的强安全特性使其在多租户环境和云环境中非常有用。 5. **Galley**:负责处理和服务网格的...
load 镜像及 疑难杂症(一)
fengyang182的博客
11-17 861
load 镜像及疑难杂症(一)
Istio安装与部署
hxt的博客
10-08 3912
本次环境搭建使用的Kubernetes版本为1.18.0,Istio版本为1.11.2。
kubernetes创建secret报错
weixin_38367535的博客
03-23 2439
执行创建secret时报错 # kubectl create secret generic thanos-objectstorage --from-file=objstore.yaml -n monitoring 报错: Error from server (InternalError): Internal error occurred: failed calling webhook "rancher.cattle.io": Post https://rancher-webhook.cattle-s
Error from server (InternalError): Internal error occurred: failed calling webhook \“users.iam.kubes
weixin_42324368的博客
12-21 582
【代码】Error from server (InternalError): Internal error occurred: failed calling webhook \“users.iam.kubes。
Istio实战(八)- Istio 动态准入 Webhook 配置
专注基础架构领域
10-25 240
准入 Webhook 是 HTTP 方式的回调,接收准入请求并对其进行相关操作。可定义两种类型的准入 Webhook,Validating 准入 Webhook 和 Mutating 准入 Webhook。使用 Validating Webhook,可以通过自定义的准入策略来拒绝请求;使用 Mutating Webhook,可以通过自定义默认值来修改请求。Istio 使用验证 Istio 配置,使用自动将 Sidecar 代理注入至用户 Pod。
istioca证书过期,更新ca证书
weixin_41069650的博客
05-23 1232
istioca证书过期,更新ca证书
【k8s admission学习】项目说明
叮当猫的喵i
10-07 476
这两个资源会在 pod 、 deployment、service 创建时校验,若不删除,会影响这些资源的创建。通过 WHITELIST_REGISTRIES 指定镜像白名单的配置。校验镜像的来源是否是白名单内,不在白名单内就阻断 pod 创建。目前在 webhook 中实现的逻辑是。
istio 配置验证 Webhook
誓言
06-06 1738
配置验证 Webhook Istio 使用 ValidatingAdmissionWebhooks 验证 Istio 配置, 使用 MutatingAdmissionWebhooks 自动将 Sidecar 代理注入至用户 Pod ### 验证 kubectl 是否是最新版本(>= 1.10),并且 Kubernetes 服务器版本 >= 1.9。 kubectl versio...
kubernetes-一些常见的异常
kozazyh的专栏
06-25 1万+
1. Getting a bunch of 404 when Initializers option is activated# systemctl status kube-apiserverDec 19 12:43:30 rmxk8sctl01 kube-apiserver[7012]: I1219 12:43:30.665129 7012 wrap.go:42] GET /apis/admis...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值