开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

启用K8s istio的pod无法访问常规服务

是由于Istio的网络策略导致的。Istio是一个开源的服务网格平台，它提供了流量管理、安全性、可观察性等功能。当启用Istio后，它会默认开启严格的网络策略，只允许通过定义的服务入口（ServiceEntry）和虚拟服务（VirtualService）进行访问。

要解决这个问题，可以采取以下步骤：

检查Istio的网络策略：首先，确认是否正确配置了Istio的网络策略。可以通过查看相关的ServiceEntry和VirtualService配置，确保目标服务被正确定义和暴露。
检查Pod的Sidecar注入：Istio通过在每个Pod中注入一个Sidecar代理（Envoy）来实现流量管理和安全性。确保Pod的Sidecar注入已经成功完成，可以通过查看Pod的描述信息来确认。
检查Pod的标签和选择器：Istio使用标签和选择器来定义流量路由规则。确保Pod的标签和选择器与定义的VirtualService匹配，以便Istio可以正确地将流量路由到Pod。
检查网络策略规则：如果Istio的网络策略中定义了访问控制规则，确保这些规则允许Pod访问目标服务。可以通过修改网络策略规则或者添加新的规则来解决问题。
检查服务发现：确保目标服务已经正确注册到Kubernetes的服务发现机制中，以便Istio可以正确地将流量路由到该服务。

如果以上步骤都没有解决问题，可以尝试禁用Istio的网络策略，然后逐步排查问题。另外，建议参考腾讯云的Kubernetes产品文档和Istio相关文档，了解更多关于Istio的配置和使用方式。

腾讯云相关产品推荐：

腾讯云容器服务（Tencent Kubernetes Engine，TKE）：提供了托管的Kubernetes集群，可方便地部署和管理容器化应用。
腾讯云微服务平台（Tencent Cloud Microservice Platform，TCMP）：提供了基于Istio的服务网格解决方案，简化了微服务架构的开发和管理。

更多产品介绍和文档链接请参考腾讯云官方网站。

相关搜索:Istio无法访问MySQL的外部服务，该怎么办？k8s -使用带有cAdvisor的方法来监视微服务/Pod数据 k8s/istio -当特使不支持HTTP缓存时，服务之间的HTTP缓存的替代方案是什么？K8s没有杀死我的airflow pod服务器pod Kubernetes上的Istio : pod到服务的通信不起作用 openVPN访问K8S集群，访问服务器所在主机的POD，不能访问集群中其他主机的POD 从EKS集群中启用了Istio的pod连接到redis实例如何允许外部服务访问k8s jenkins插件提供的pod？如何避免对属于K8s服务的pod的并行请求？当我在Istio中启用mtls时，我如何通过暴露的NodePort访问我的服务？

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

重磅！K8S 1.18版本将内置支持SideCar容器。

Kubernetes的目标不仅是使分布式应用程序的部署和运维变得简单可靠，还旨在能轻松地创建“云原生”应用程序，即易于创建在云环境中运行的分布式应用程序和服务，于是从1.18版本开始K8S将原生支持生命周期类型为SideCar的容器。

01

重磅！K8S 1.18版本将内置支持SideCar容器。

Kubernetes的目标不仅是使分布式应用程序的部署和运维变得简单可靠，还旨在能轻松地创建“云原生”应用程序，即易于创建在云环境中运行的分布式应用程序和服务，于是从1.18版本开始K8S将原生支持生命周期类型为SideCar的容器。

03

使用 Istio CNI 支持强安全 TKE Stack 集群的服务网格流量捕获

陈计节，企业应用云原生架构师，在腾讯企业 IT 负责云原生应用治理产品的设计与研发工作，主要研究利用容器集群和服务网格等云原生实践模式降低微服务开发与治理门槛并提升运营效率。摘要给需要快速解决问题的集群管理员：在 TKE Stack 中正确安装 Istio CNI 有两种方式：如果你的 TKE Stack 集群所使用 Galaxy 版本可以支持 cniVersion 0.3.1，请以默认的方式安装 Istio CNI；否则请使用以“网卡插件”的方式安装 Istio CNI，并在创建 Pod 时指定使

02

爬虫系统化课程kubernetes插件开发的六大方向(上)

kubernetes 已经成为云原生的行业标准，现在几乎所有行业所有公司的所有业务都在基于云进行部署，拓展。但是很多咨询学员其实对于云原生并不太感冒，觉得挺没技术含量的，yml 文件或者 yaml 文件相较于市面上存在的其它语言，它属于声明式的，不需要太多逻辑，就是一个通过不断使用就可以熟练的过程，纯记忆的东西，毫无艺术可言，掌握这些东西，并不会对自己的开发思维和编码能力带来影响。

01

初探 Istio Ambient 模式

Ambient 是 Istio 刚刚宣布支持的一种新的数据面模式，在本篇文章中，我们将尝试安装 Istio 的 ambient 模式，并采用 bookinfo demo 来体验 ambient 提供的 L4 和 L7 能力。

02

K8S Container解析

今天，我们聊一下Kubernetes Container相关话题，什么是Container？

03

腾讯云-Istio案例分析: 业务pod连接数据库超时

进入到容器中通过命令去测试是可以直接连上, 通过entrypoint 挂载命令连接失败,用户是用了istio作为服务治理

02

走进云原生的安全防线

在云原生的世界中，安全不是一个待选项，而是必需品。随着越来越多敏感应用的转移到云端，确保这些应用的安全变得至关重要。如何构建起一道坚不可摧的安全防线，保护你的应用不受攻击？我们一起一探究竟。

01

从0到1搭建k8s(三)——访问这个服务

如果读者按照前面的流程建好了服务，那么应该会有一个问题困扰，如何访问这个nginx服务呢？

04

istio 常见异常分析

istio 支持多平台，不过 Istio 和 k8s 的兼容性是最优的，不管是设计理念，核心团队还是社区，都有一脉相承的意思。但 istio 和 k8s 的适配并非完全没有冲突, 一个典型问题就是 istio 需要 k8s service 按照协议进行端口命名(port naming)。

06

精彩分享 | 欢乐游戏 Istio 云原生服务网格三年实践思考

吴连火，腾讯游戏专家开发工程师，负责欢乐游戏大规模分布式服务器架构。有十余年微服务架构经验，擅长分布式系统领域，有丰富的高性能高可用实践经验，目前正带领团队完成云原生技术栈的全面转型。导语欢乐游戏这边对 Istio 服务网格的引进，自 2019 开始，从调研到规模化落地，至今也已近三年。本文对实践过程做了一些思考总结，期望能给对网格感兴趣的同学们以参考。在正文开始之前，先明确一下本文所说的服务网格（service mesh）概念 —— 基于 sidecar 通信代理，网状拓扑的后端架构级解决方案。目前

03

在 istio 中使用 namespace 进行资源/租户隔离

PaaS 场景中，需要在集群中给客户提供容器部署他们自己开发的代码，如果使用命名空间来表示租户，则需要有效隔离租户，让隔壁的租户无法访问本租户的资源。下面的一些策略可以用来实现这种能力。

06

Service Mesh - Istio安装与部署

在当前版本Istio的安装与部署已经变得非常简单了，只需要几个简单的步骤就能将Istio环境搭建起来。首先要做的是下载Istio（在文档中核对Istio支持的k8s版本）：

02

Dubbo 在 K8s 下的思考

Dubbo 在 2011 开源之后，一直是国内最受欢迎的 RPC 框架，之后 Spring Boot 和 Spring Cloud 的面世，助推了微服务的火热程度。计算机的世界变化很快，自从容器和 K8s 登上舞台之后，给原有的 RPC 领域带来了很大的挑战。这个文章主要讲述 RPC 领域遇到的问题，以及 RPC 怎么去拥抱 K8s 怀抱的一些思考。

05

Istio 学习笔记：Istio CNI 插件

当前实现将用户 pod 流量转发到 proxy 的默认方式是使用 privileged 权限的 istio-init 这个 init container 来做的（运行脚本写入 iptables），Istio CNI 插件的主要设计目标是消除这个 privileged 权限的 init container，换成利用 k8s CNI 机制来实现相同功能的替代方案

06

打造企业级自动化运维平台系列（十六）：服务网格 Istio 详解

官方解释：An open platform to connect, secure, control and observe services.

01

从服务混乱到服务网格

嘉宾文章作者：Rob Richardson（@rob_rich），技术布道者，MemSQL；KavyaPearlman（@KavyaPearlman），全球网络安全策略师，Wallarm

01

如何为服务网格选择入口网关？

在启用了Istio服务网格的Kubernetes集群中，缺省情况下只能在集群内部访问网格中的服务，要如何才能从外部网络访问这些服务呢？ Kubernetes和Istio提供了NodePort，LoadBalancer，Kubernetes Ingress，Istio Gateway等多种外部流量入口的方式，面对这么多种方式，我们在产品部署中应该如何选择？

03

istio kiali jaeger 关联

jaeger 是 Uber 开源的分布式跟踪系统，用于微服务的监控和全链路跟踪，其设计思想来自于 Dapper 和 zipkin。jaeger 特征包括：

02

TKE上服务暴露的几种方式

预备知识 1. K8S 上 Service 类型平台相关基础知识 2. TKE 上四层网络流量暴露方式 3. TKE 上七层网络流量暴露方式 4. TKE 上的 VPC-CNI 5. TKE 上 CLB 直通 Pod 6. TKE 使用已有负载均衡器 7. TKE 使用内网负载均衡器 8. TKE 部署 Nginx Ingress 实际业务场景中最佳实践 1. 对集群内暴露流量 1.1 四层协议 1.2 七层协议 2. 对集群外暴露流量 2.1 七层协议 2.2 四层协议 2.3 端口段规则 2.4 使用Istio

Service Mesh实践之Istio初体验

2014年，Martin Fowler撰写的《Microservices》[1]使得许多国内的先行者接触到微服务这个概念并将其引入国内，2015年越来越多的人通过各种渠道了解到微服务的概念并有人开始在生产环境中落地，2016-2017年，微服务的概念被越来越多的人认可，带动了一大批公司以微服务和容器为核心开始技术架构的全面革新。

02

Service Mesh在接入层流量管理的应用

[1] https://k8s.io/docs/concepts/services-networking/ingress

04

从一到万的运维之路,说一说VM/Docker/Kubernetes/ServiceMesh

文章的名字起的有点纠结，实际上这是一篇真正从基础开始讲解，并试图串联起来现有一些流行技术的入门文章。目前的企业级运营市场，很有点早几年前端工程师所面临的那样的窘境。一方面大量令人兴奋的新技术新方案层出不穷；另外一方面运维人员也往往陷入了选择困局，艰于决策也疲惫于跟踪技术的发展。目前的网络上已经有很多新技术的介绍文章和培训资料——绝大多数讲的比我要好得多。因为工作原因，我有比较多的用户服务经验。所以我要说的是，写这篇文章的原因，不是因为现有资料不够好。而是这些资料大多都是从技术本身出发，不断的说“我可以提供A、我可以提供B、还有我的特征C也不错”。而忘记了问，用户想要的是什么，用户想解决的问题是什么。所以不同于通常的技术文章使用技术本身串起来所有的内容，本文试图通过需求和技术的互动发展来串起来运维技术的发展历程。在整体系统中，开发和运维都是很重要的，所以现在DevOps的理念早已深入人心。但本文并不讲解开发部分的内容，这里只集注在运维架构的演进方面。即便如此，运维也是非常大的一个话题，所以我的目标再缩小一些，只限定在基础系统软件的领域。

06

有赞服务注册与发现架构演进

近几年，随着有赞业务的快速发展，应用数目与实例规模在快速地增加。有赞的服务注册与发现架构近几年也一直在快速平稳地演进，以支撑业务的发展。本文主要介绍有赞近几年服务注册与发现架构的演进过程。

03

istio(1) - 安装测试

1. istio 版本选择 - 最新版 istio,参考 istio官网; - 历史版 istio,参考 istio 历史版本归档档案; - kubernetes 与 istio版本适配最新版 (1.4.3), 由下图可知, 其支持kubernetes 1.13, 1.14, 1.15 三个版本. 5eb1edfc1dd642c095920a79a4184126-0338d77a7b9a4b9faa3ea8d09d47e089.png 历史版 (1.1.9), 由下图可知, 其支持kubernetes

01

【K8S】一种基于Istio+Okteto下的快乐开发模式

自从服务上云引入K8S后，我们开发模式也发生了改变。我们最能想到的一种开发流程就是：

01

Istio 0.8 的 Helm Chart 解析

儿童节期间，拖拉了一个多月的 Istio 0.8 正式发布了，这可能是 Istio 1.0 之前的最后一个 LTS 版本，意义重大。

01

干货巨献：Openshift3.9的网络管理大全.加长篇---Openshift3.9学习系列第二篇

OpenShift的OVS网络组件有三种模式：ovs-subnet、ovs-multitenant、ovs-networkpolicy。

05

从一个例子入手Istio

封面图是Klegs的作品，颜色有一种深邃感，我很喜欢。这篇文章是Istio系列文章的开篇，主要从一个例子入手讲一下Istio，并讲解一些基础概念，后面会基于这个例子来展开讲解istio里面的实现原理。

02

[译] 在Kubernetes生产环境中运行Istio

本文翻译自 https://www.tigera.io/blog/running-istio-on-kubernetes-in-production-part-i/，作者 Alexander Lukyanchenko，发表于2019年5月。

02

Istio 的高级边缘流量控制（一）

在上一篇文章 Istio 出口流量的 TLS 中，我演示了如何在网格内部直接通过 HTTP 协议访问外部加密服务，并揭示了其背后 Envoy 的配置逻辑。

02

ASP.NET Core on K8S学习初探（2）K8S基本概念快速一览

在上一篇《单节点环境搭建》中，通过Docker for Windows在Windows开发机中搭建了一个单节点的K8S环境，接下来就是动人心弦的部署ASP.NET Core API到K8S了。但是，在部署之前，我还是把基本的一些概念快速地简单地不求甚解地过一下。

03

Istio 1.5部署，回归单体

Istio 架构又换了，从 1.5 开始，把控制平面的所有组件组合并成一个单体结构叫 istiod，对于运维部署来说省去很大麻烦。Mixer 组件被移除，新版本的 HTTP 遥测默认基于 in-proxy Stats filter，同时可使用 WebAssembly 开发 in-proxy 扩展。

02

istio在vm上的流量治理

第一台作为k8s 部署istio,第二台作为vm，系统为centos8,centos 7要升级glibc 麻烦的很，第二台通过静态路由访问 k8s内部的pod,

03

knative serving 组件分析

knative 部署完成后可以在 knative-serving namespace 下看到创建出的组件：

01

KubeEdge | 边缘计算基本功--云原生

Cloud native technologies empower organizations to build and run scalable applications in modern, dynamic environments such as public, private, and hybrid clouds. Containers, service meshes, microservices, immutable infrastructure, and declarative APIs exemplify this approach. 云原生技术使组织能够在现代动态环境（如公有云、私有云和混合云）中构建和运行可扩展的应用程序。容器、服务网格、微服务、不可变基础结构和声明性 API 就是这种方法的例证。

容器编排引擎Kubernetes 08——Service介绍及使用

通过之前学习的部分，我们已经通过 Deployment 来创建一组 Pod 来提供具有高可用性的服务。虽然每一个 pod 都会分配一个单独的 Pod IP，但是存在以下问题：

01

5分钟安装Kubernetes+带你轻松安装istio服务网格指南

上次我跟大家简单介绍了一下Kubernetes的各个组件及其含义，本期本来计划带领大家一起学习一些常用命令，但我认为这种方式可能无法达到学习的效果。有可能你们会直接忘记，甚至可能没有兴趣去学。我也理解，心想这跟我有什么关系，我本地又搭建不起来K8s。

02

为什么我们喜欢使用 Cilium

感谢 CNI（容器网络接口），Kubernetes 提供了许多选项来满足你的网络需求。在多年依赖简单的解决方案后，我们面临着由客户需求支持的高级功能的日益增长的需求。Cilium 将我们的 K8s 平台的网络提升到了新的水平。

03

istio 常见问题: Sidecar 启动顺序问题

一些服务在往 istio 上迁移过渡的过程中，有时可能会遇到 Pod 启动失败，然后一直重启，排查原因是业务启动时需要调用其它服务(比如从配置中心拉取配置)，如果失败就退出，没有重试逻辑。调用失败的原因是 envoy 还没就绪(envoy也需要从控制面拉取配置，需要一点时间)，导致业务发出的流量无法被处理，从而调用失败(参考 k8s issue #65502 )。

04

控制pod内container执行顺序的几种姿势

在使用k8s的过程中在特定场景可能需要控制pod的执行顺序，接下来我们将学习各个开源组件的实现方式

05

ASP.NET Core on K8S学习初探（2）

在上一篇《单节点环境搭建》中，通过Docker for Windows在Windows开发机中搭建了一个单节点的K8S环境，接下来就是动人心弦的部署ASP.NET Core API到K8S了。但是，在部署之前，我还是把基本的一些概念快速地简单地不求甚解地过一下。

02

k8s 常见面试题

前段时间在这个视频中分享了 https://github.com/bregman-arie/devops-exercises 这个知识仓库。

02

深度理解：Openshift端口方式全解析

一、几种网络端口模式 Openshift/Docker中，我们会遇到（听到）的几种网络端口模式有： Hostport Nodeport Hostnetwork router 它们有什么区别,适用于什么场景？我们先看看它们的作用。二、什么是hostport？ hostport它指的是：在一个宿主机上运行的一个容器，为了外部能够访问这个容器，将容器的端口与宿主机进行端口映射。而为了避免宿主机上的端口占用，在容器和宿主机做端口映射的时候，通常映射一个比较大的端口号（小端口被系统服务占用）。我们看一个实验：

干货|如何步入Service Mesh微服务架构时代

大家好！我是"无敌码农"，今天要和大家分享的是关于新一代微服务架构——Service Mesh的具体玩法！在微服务架构盛行的今天，作为一名互联网技术从业人员，对于微服务的概念相信大家都已经耳熟能详了！而至于像Spring Cloud这样的微服务框架，因为大部分互联网公司都在此基础上构建过第一代微服务体系，所以对于做Java 的同学来说，Spring Cloud微服务体系应该是非常熟悉了！几年前我也写过一篇介绍我当时所在公司——摩拜单车基于Spring Cloud框架构建微服务体系的文章，感兴趣的可以戳下看看<<基于SpringCloud的微服务架构演变史？>>。

03

（译）Egress gateway 性能测试

为了从网格中访问外部服务（本例中使用的是 MongoDB），需要加入 Egress gateway，本次测试的主要目的就是调查这一行为对性能和资源使用造成的影响。在博客使用外部 MongoDB 服务中介绍了为外部 MongoDB 配置 Egress gateway 的具体步骤。

04

K8S 生态周报| Cilium 和 Istio 的新版本带来众多新特性

Cilium 最近两年真的是很火了。我在 2019 年折腾 Cilium 的时候，那时候它还处于不温不火的状态。比如我当时发布了一篇 K8S 生态周报| cilium 1.6 发布 100% kube-proxy 的替代品 | MoeLove ，很多人还在好奇 cilium 到底是什么。

02

ASP.NET Core on K8S学习初探（2）K8S基本概念快速一览

在上一篇《单节点环境搭建》中，通过Docker for Windows在Windows开发机中搭建了一个单节点的K8S环境，接下来就是动人心弦的部署ASP.NET Core API到K8S了。但是，在部署之前，我还是把基本的一些概念快速地简单地不求甚解地过一下。

06

istio kiali 内部介绍

kiali pod 内只有一个容器，名称为 kiali。该容器在启动的过程中会运行容器内 kiali 进程，该进程会加载 /kiali-configuration/config.yaml 配置文件，该 config.yaml 文件定义了 kiali 进程运行时行为。pod 部分详情如下：

03

服务网格istio落地之旅

框架解耦的流量管理能力作为ServiceMesh的看家本事，一直是大多数团队选择ServiceMesh的主要原因。传统的流量管理大多需要在框架层面集成一种中心化的服务发现中心，通过服务发现中心去做流量控制分发。这对服务发现中心的的稳定性要求很高，同时限制了框架选择和扩展性。而ServiceMesh基于 sidecar 形式通信代理，将服务和流量控制解耦，服务不关心流量从哪里来，去往哪个具体ip，sidecar通过流量劫持的形式，对进出服务的流量进行修改，达到控制流量的目的，类似中间人攻击。

02

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭