Menyelesaikan masalah proxy/webhook file bantuan di Cloud Service Mesh

Bagian ini menjelaskan masalah umum Cloud Service Mesh dan cara mengatasinya. Jika Anda memerlukan bantuan tambahan, lihat Mendapatkan dukungan.

Cloud Service Mesh berisi dua webhook:

  • Webhook yang memvalidasi memastikan konfigurasi Istio yang diterapkan valid.
  • Webhook yang bermutasi menetapkan injeksi file bantuan otomatis pada pod baru.

Masalah konfigurasi di salah satu webhook ini dapat menyebabkan pod baru gagal memulai, atau kubectl apply menghasilkan pesan error.

Masalah injeksi file bantuan

Injeksi file bantuan tidak berfungsi dengan benar jika Anda melihat salah satu dari hal berikut:

  • pod yang menjadwalkan tanpa file bantuan
  • pod yang seharusnya diinjeksikan file bantuan tidak pernah muncul saat menggunakan kubectl get pods, tetapi replika terkait yang ditetapkan dari kubectl get replicaset ada.

Gunakan langkah-langkah berikut untuk memecahkan masalah injeksi file bantuan.

  1. Pastikan namespace atau pod Anda memiliki label injeksi yang benar.

    Jika Anda menjalankan Istio revisi tunggal (default), verifikasi bahwa dengan spesifikasi pod atau namespace memiliki label istio-injection=enabled.

    Jika Anda menjalankan Istio beberapa revisi (untuk migrasi tanpa periode nonaktif, beberapa bidang kontrol, dll.), pastikan spesifikasi namespace atau pod memiliki label istio.io/rev=REVISION yang sesuai, dengan REVISION adalah nomor revisi Cloud Service Mesh pada istiod yang sesuai dengan versi Cloud Service Mesh yang Anda pilih. Untuk informasi selengkapnya tentang label revisi, lihat Memasukkan proxy file bantuan.

  2. Pastikan webhook injeksi istio sidecar Anda ada dan memiliki paket CA.

    Webhook injektor file bantuan (yang digunakan untuk injeksi file bantuan otomatis) membutuhkan paket CA untuk membuat koneksi aman dengan server API dan istiod. Paket CA ini di-patch ke dalam konfigurasi oleh istiod, tetapi dapat terkadang akan ditimpa (misalnya, jika Anda menerapkan kembali webhook ).

    Anda dapat memverifikasi keberadaan paket CA menggunakan perintah berikut. Tujuan menyertakan istio-sidecar-injector-asm-1233-2, yang merupakan khusus untuk versi Cloud Service Mesh ini. Pastikan Anda menggunakan jika berbeda.

    kubectl get mutatingwebhookconfigurations.admissionregistration.k8s.io istio-sidecar-injector-asm-1233-2 -o=jsonpath='{.webhooks[0].clientConfig.caBundle}'

    Jika output tidak kosong, paket CA akan dikonfigurasi. Jika paket CA tidak ada, mulai ulang istiod agar webhook perlu memindai ulang webhook menginstal ulang paket CA.

  3. Periksa kegagalan injeksi file bantuan.

    Jika Anda telah mengaktifkan injeksi, tetapi tidak melihat penjadwalan pod, periksa ke tingkat abstraksi yang lebih tinggi berikutnya. Misalnya, jika Anda menjalankan deployment tetapi tidak ada pod yang menjadwalkan, periksa status set replika yang sesuai menggunakan perintah berikut:

    kubectl -n my-namespace describe replicaset your-deployment-name

    Jika kumpulan replika ada, periksa log peristiwa di bagian bawah keterangan error. Jika error berkaitan dengan injeksi file bantuan, periksa istiod mencatat log untuk indikasi penyebab error.

  4. Jika masalah berlanjut, masalahnya mungkin adalah salah satu dari hal berikut:

    • Konfigurasi buruk diteruskan ke injektor
    • Masalah konfigurasi {i>firewall<i}
    • Masalah dalam kode Istio itu sendiri

    Lihat Memecahkan Masalah Istio untuk mengetahui langkah diagnostik tambahan.

Proxy Envoy tidak menerima konfigurasi dari istiod

Ada beberapa masalah yang dapat mencegah proxy menerima konfigurasi dari istiod.

  1. istiod tidak akan mengirim konfigurasi ke proxy envoy jika mengalami masalah, seperti masalah RBAC yang mencegahnya membaca resource konfigurasinya.

  2. Alamat Discovery salah (error 'tidak ada upstream yang responsif')

  3. Alamat penemuan yang diberikan ke injektor sespan salah. Jika Anda melihat log yang menyebutkan gRPC config stream closed, no healthy upstream, memeriksa apakah alamat penemuan di mesh ProxyConfig sudah benar dan mengarah ke layanan istiod Anda.

  4. Konfigurasi yang tidak valid dikirim ke proxy. Dalam hal ini, konfigurasi berhasil didorong ke proxy, namun konfigurasinya tidak valid. Anda akan melihat pesan berulang yang mirip dengan berikut ini:

    Envoy proxy is NOT ready: config not received from Pilot (is Pilot running?): cds updates: 1 successful, 0 rejected; lds updates: 0 successful, 1 rejected

    Dalam contoh ini, cds adalah Layanan Penemuan Cluster (yang melaporkan 1 update dikirim dari istiod), dan lds adalah Layanan Penemuan Pemroses (yang melaporkan 1 pembaruan yang ditolak dari istiod). Sering kali Anda akan melihat pesan error yang menjelaskan alasan penolakan, yang biasanya dimulai dengan peringatan tentang konfigurasi envoy atau yang serupa.

    Untuk memperbaiki masalah ini, selidiki penyebab konfigurasi ditolak. paket Premium AI penyebab umumnya adalah resource EnvoyFilter yang buruk. Jika tidak ada alasan yang jelas, kirimkan laporan {i>bug<i} dengan {i> dump konfigurasi<i} dari {i>proxy<i}.

Pembuatan pod gagal

Jika Anda mengamati bahwa pod tidak berhasil dibuat, cari error pesan yang mungkin memberikan petunjuk tentang akar permasalahan, menggunakan perintah berikut:

kubectl describe replicaset YOUR_REPLICA_SET

Pesan error webhook umum

Pesan error yang dihasilkan oleh perintah kubectl apply dapat memberikan petunjuk tentang akar masalahnya. Lihat tabel berikut untuk pesan error umum dan penyebab dan resolusi potensial.

Pesan error Penyebab Resolusi
net/http: request canceled while waiting for connection (Client.Timeout exceeded while awaiting headers) Mungkin ini adalah masalah konektivitas jaringan. Pastikan aturan firewall Anda menyediakan konektivitas ke `istiod` pada port 15017.
no endpoints available for service 'istiod' Hal ini dapat terjadi jika pod `istiod` tidak tersedia atau tidak siap. Periksa pod `istiod` untuk memastikan pod berjalan dan siap.
Service "istiod" not found Hal ini dapat terjadi jika layanan `istiod` tidak ada. Pastikan penginstalan Istio berhasil dan benar.
x509: certificate signed by unknown authority Mungkin ini adalah masalah sertifikat webhook. Pastikan caBundle disetel dengan benar di webhook.
Failed to update validatingwebhookconfiguration istio-validator-asm-[version-n]-istio-system (failurePolicy=Fail, resourceVersion=[version]): Operation cannot be fulfilled on validatingwebhookconfigurations.admissionregistration.k8s.io "istio-validator-asm-[version-n]-istio-system": the object has been modified; please apply your changes to the latest version and try again. Webhook yang memvalidasi dari Istio versi lama atau Cloud Service Mesh yang telah di-uninstal mungkin mengganggu melakukan {i>upgrade <i}atau menginstalnya. Pastikan semua webhook masih berada di cluster dan hapus webhook apa pun. versi referensi yang tidak lagi diinstal.
Error from server (InternalError): Internal error occurred: failed calling webhook "rev.namespace.sidecar-injector.istio.io": Post "https://istiod-asm-1122-0.istio-system.svc:443/inject?timeout=10s": context deadline exceeded Untuk cluster pribadi, port 15017 harus terbuka. Pesan error ini menunjukkan bahwa porta 15017 mungkin tidak terbuka. Memastikan aturan firewall Anda menyediakan konektivitas ke Istiod pada port 15017. Untuk informasi selengkapnya, lihat Membuka port di cluster pribadi.