istio 常见的 10 个异常

最新推荐文章于 2024-01-27 11:01:02 发布
VIP文章 最新推荐文章于 2024-01-27 11:01:02 发布
阅读量3.7k 收藏 6
点赞数 1
文章标签: 云计算 容器 docker kubernetes 云服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yunxiao6/article/details/108659159
版权

总结使用 istio 常见的10个异常:

  1. Service 端口命名约束

  2. 流控规则下发顺序问题

  3. 请求中断分析

  4. sidecar 和 user container 启动顺序

  5. Ingress Gateway 和 Service 端口联动

  6. VirtualService 作用域

  7. VirtualService 不支持 host fragment

  8. 全链路跟踪并非完全透明接入

  9. mTLS 导致连接中断

  10. 用户服务监听地址限制

1. Service 端口命名约束

istio 支持多平台,不过 Istio 和 k8s 的兼容性是最优的,不管是设计理念,核心团队还是社区, 都有一脉相承的意思。但 istio 和 k8s 的适配并非完全没有冲突, 一个典型问题就是 istio 需要 k8s service 按照协议进行端口命名(port naming)。

端口命名不满足约束而导致的流量异常,是使用 mesh 过程中最常见的问题,其现象是协议相关的流控规则不生效,这通常可以通过检查该 port LDS 中 filter 的类型来定位。

原因

k8s 的网络对应用层是无感知的,k8s 的主要流量转发逻辑发生在 node 上,由 iptables/ipvs 来实现,这些规则并不关心应用层里是什么协议。

istio 的核心能力是对 7层流量进行管控,但前提条件是 istio 必须知道每个受管控的服务是什么协议,istio 会根据端口协议的不同,下发不同的流控功能(envoy filter),而 k8s 资源定义里并不包括七层协议信息,所以 istio 需要用户显式提供。

istio 的解决方案:Protocol sniffing

协议嗅探概要:

  • 检测 TLS CLIENT_HELLO 提取 SNI、ALPN、NPN 等信息
  • 基于常见协议的已知典型结构,尝试检测应用层 plaintext 内容 a. 基于HTTP2 spec: Connection Preface,,判断是否为 HTTP/2 b. 基于 HTTP header 结构,判断是否是 HTTP/1.x
  • 过程中会设置超时控制和检测包大小限制, 默认按照协议 TCP 处理

最佳实践

Protocol sniffing 减少了新手使用 istio 所需的配置,但是可能会带来不确定的行为。不确定的行为在生产环境中是应该尽量避免的。

一些嗅探失效的例子:

  • 客户端和服务端使用着某类非标准的七层协议,客户端和服务端都可以正确解析,但是不能确保 istio 自动嗅探逻辑认可这类非标准协议。比如对于 http 协议,标准的换行分隔是用 CRLF (0x0d 0x0a), 但是大部分 http 类库会使用并认可 LF (0x0a)作为分隔。
  • 某些自定义私有协议,数据流的起始格式和 http 报文格式类似,但是后续数据流是自定义格式:未开启嗅探时:数据流按照 L4 TCP 进行路由,符合用户期望 如果开启嗅探:数据流最开始会被认定为 L7 http 协议,但是后续数据不符合 http 格式,流量将被中断

建议生产环境不使用协议嗅探, 接入 mesh 的 service 应该按照约定使用协议前缀进行命名。

2. 流控规则下发顺序问题

异常描述

在批量更新流量规则的过程中,偶尔会出现流量异常(503),envoy 日志中 RESPONSE_FLAGS 包含「NR」标志(No route configured),持续时间不长,会自动恢复。

原因分析

当用户使用 kubectl apply -f multiple-virtualservice-destinationrule.yaml时,这些对象的传播和生效先后顺序是不保证的,所谓最终一致性,比如 VirtualService 中引用了某一

最低0.47元/天 解锁文章
「已注销」
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
istio-1.5.0-win10.zip
04-24
国外的网站下载太慢了。希望在win操作系统下爱学习微服务架构(dockerDescktop+k8s+istio)的同学下载使用。本人实际试用过的,请大家放心下载。
istio更新ca证书的脚本
05-23
istio更新ca证书的脚本
程序运行成功,前端调用失败“no healthy upstream”’
最新发布
weixin_46654345的博客
01-27 386
程序运行成功,前端调用失败“no healthy upstream”’根据控制台日志提示得出是连接数据库字符串配置有问题,修改连接串,成功。
no healthy upstream
喝醉酒的小白
05-05 5361
这些服务网格提供了强大的熔断机制,可以自动检测应用程序的健康状态,并在应用程序出现故障时自动停止向其发送请求,从而保护其他服务免受故障的影响。总的来说,排查 Istio 熔断问题需要综合考虑多个方面,包括 Istio 的日志、Dashboard、故障注入功能、服务本身的日志和监控数据,以及服务之间的网络连接和通信情况。总的来说,DestinationRule 是 Kubernetes 中一种非常重要的资源对象,用于控制服务之间的流量路由和策略,可以帮助管理员更好地管理和调整服务之间的流量。
Istio 常见10异常分析
Docker的专栏
05-21 1137
文章来源:腾讯云容器团队,点击查看原文。本文总结了使用 Istio 常见10异常。1. Service 端口命名约束Istio 支持多平台,不过 Istio 和 Kubernet...
vCenter Server出现no healthy upstream的解决方法
Cisco_hw_zte的博客
04-06 4729
vCenter Server设置的DNS服务器出现错误或者vCenter Server本地hosts文件配置错误,等等,经过排查都不是该故障的根本原因,应为前一段时间访问正常,所以服务均正常,也不存在dns和hosts文件的问题,另外也检查了vCenter服务器的磁盘使用情况,保存log的磁盘空间还有剩余。那么究竟是什么问题呢?最后发现是ntp服务器同步的时间发生了错误,导致vCenter时间不正常出现no healthy upstream,调整为正确的时间,vCenter访问正常了!
VCSA7.0访问提示no healthy upstream故障解决方案
maguangwei的博客
05-24 3726
打开vCenter网页显示no healthy upstream报错,报错如图。2、输入如下命令,检查证书有效期,发现__MACHINE_CERT证书到期。4、参考步骤2重新检查证书有效期,最后重启VSCA即可。1、使用SSH访问VSCA主机。3、执行如下命令重新生成证书。
vsphere登录提示500 获取身份提供程序时出错/no healthy upstream报错问题解决
weixin_48213396的博客
05-06 6341
500 获取身份提供程序时出错/no heathy upstream报错问题大概率和证书过期有关,如果是从低版本的vcsa升级到7.0 或者7.0 u2版本会出现继承SSL证书不被信任的问题也会出现这样的报错。5、重新登录https://vcsa_ip:5480 查看vc相关服务是否正常运行,服务运行正常的话,则登录https://vcsa_ip来查看问题是否还会复现。一:ntp不同步导致的话,则修改ntp配置使其时间同步正确看看能够解决,如果不可以的话则见解决办法三;三、VC证书如果过期了。
Vcenter7.0.3.01000 no healthy upstream 解决过程
tltl918的博客
07-21 1817
vcenter 不能正常访问的解决过程
vCenterserver web访问报错:no healthy upstream
u012417092的博客
11-17 5563
当源用历史后缀报:[400] 向 vCenter Single Sign-On 服务器发送身份验证请求时出错 - 在 vCenter Single Sign-On 设置过程中处理元数据时出错 - Failed to connect to VMware Lookup Service https://ip:443/lookupservice/sdk - SSL certificate verification failed.。重装 (哈哈,别折腾了,反正也什么数据丢失)问题如下:当直接输入IP地址访问时。
Istio服务网格技术与实践
03-29
Istio服务网格技术与实践,包含Istio架构,与K8S集成和Istio的技术实践
istio1.15.tar
09-15
istio版本使用的1.5.5
istio-1.7.3
10-26
解决国内网络无法下载,解压后可正常使用,无需执行官网的下载链接 下载 Istio,下载内容将包含:安装文件、示例和 istioctl 命令行工具。
启动vcenter后浏览器访问vcenter 报错:no healthy upstream
热门推荐
weixin_45076841的博客
01-15 1万+
启动vcenter后浏览器访问vcenter 报错:no healthy upstream 第一步:等待 第二步:继续等待 第三步:再等待 最后就好了 原因:vcenter系统起来了,但是服务还没完全加载成功,等就是了,可以通过ESXI主机查看vcenter的内存使用率,达到了vcenter的设置内存后就差不多了 点赞是对我最大的支持,关注是我最大的认可 邮箱:[email protected] QQ:905049079 转载请注明文章来源 ...
问题:打开VCSA7.0登录页面提示“no healthy upstream
weixin_40343238的博客
08-23 1204
扩容后但是还是无法打开,vcneter网站,登录https://172.22.1.250:5480设备管理后台,发现许多的服务还是无法启动。一、登录https://172.22.1.250:5480设备管理后台,发现整体运行状况有警示,按照提示先解决log盘空间问题,二、登录https://172.22.1.250:5480设备管理后台,发现许多的服务还是无法启动,虽然现在运行状态都显示正常。2、通过ssh连接到vcenter服务器,输入shell。5、更新完成,启动所有的服务。4、更新证书,选择4。
【原创】修复vCenter的Web界面无法启动的问题
赵庆明老师
10-25 2318
因此重新启动vCenter,打开Web,先是报“no healthy upstream”,等了二十分钟后错误依旧。登录vCenter Server后台管理界后,发现有一些服务没启动起来。再次重启vCenter,打开Web,还是报同样的错误。登录ESXi后,发现vCenter的CPU使用率极低。在使用过程中,发现vCenter无法登录,报错。使用命令行登录vCenter,执行如下指令。
vCenter Server no healthy upstream
hao839422的专栏
07-27 346
通过5480 登陆到管理页面看到如下提示,这是犹由于og空间消耗完了,清除旧的log文件即可。
istio部分问题定位及问题记录
qq_42747099的博客
02-20 2485
istio问题定位分析 服务调用异常 一、定位到异常服务 多服务调用链的问题定位。单服务的调用出现问题可直接查看网关或服务的日志确定具体问题。 获取链路ID或traceId 通过ID查询到发生异常调用的服务 二、分析响应状态或日志 1、查看服务状态(运行状态、可读探针、存活探针) 2. 查看该请求的response_code(状态码)和response_flags(响应标识) 1. response_flags为"-":常表现为TCP请求或程序异常 2. response_flags为特定标识:可对
istio sourcelabels
01-11
以下是一个示例,展示了如何在Istio的VirtualService中使用sourcelabels来配置流量路由: ```yaml apiVersion: networking.istio.io/v1alpha3 kind: VirtualService metadata: name: my-virtualservice spec: ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值