kubernetes 当注入Istio sidecar容器时,Pod无法访问配置Map

hyrbngr7  于 2022-12-03  发布在  Kubernetes
关注(0)|答案(1)|浏览(141)

获取配置Map应用程序配置时出错获取“配置Map应用程序配置”:拨号TCP xxx.xx.x.x:443:连接:连接被拒绝”
但当istio侧斗未注入时,不会出现错误

lbsnaicq

lbsnaicq1#

试试这个:

oc patch deploy <deployment-name> -p '{"spec":{"template":{"metadata":{"annotations":{"traffic.sidecar.istio.io/excludeOutboundIPRanges": "'$(oc get svc kubernetes -n default -o jsonpath='{.spec.clusterIP}')/32'"}}}}}'

不确定这是否是一个bug,但很明显,当数据平面处于严格的mtls模式时,istio sidecar代理不允许应用程序容器与kubernetes API服务器通信。
上述修补程序引入了kubernetes API服务器所在的IP范围,并允许与这些地址的连接在sidecar代理之外进行,从而避免了它所实施的网络规则。

相关问题