Risoluzione dei problemi di gestione del traffico in Anthos Service Mesh

Questa sezione illustra i problemi comuni di Anthos Service Mesh e come risolverli. Se hai bisogno di ulteriore aiuto, vedi Ricevere assistenza.

Errori di connessione al server API nei log Istiod

Istiod non può contattare apiserver se riscontri errori simili ai seguenti:

error k8s.io/client-go@v0.18.0/tools/cache/reflector.go:125: Failed to watch *crd.IstioSomeCustomResource`…dial tcp 10.43.240.1:443: connect: connection refused

Puoi utilizzare la stringa di espressione regolare /error.*cannot list resource/ per trovare questo errore nei log.

In genere questo errore è temporaneo e se hai raggiunto i log del proxy utilizzando kubectl, il problema potrebbe essere già stato risolto. Questo errore è generalmente causato da eventi che rendono il server API temporaneamente non disponibile, ad esempio quando un server API non incluso in una configurazione ad alta disponibilità viene riavviato per un upgrade o una modifica alla scalabilità automatica.

Il container istio-init si arresta in modo anomalo

Questo problema può verificarsi quando le regole iptables dei pod non vengono applicate allo spazio dei nomi di rete dei pod. Ciò può essere dovuto a:

  • Un criterio di sicurezza dei pod (PSP) eccessivamente restrittivo
  • Un'installazione istio-cni incompleta
  • Autorizzazioni pod del carico di lavoro insufficienti (autorizzazione CAP_NET_ADMIN mancante)

Se utilizzi un criterio di sicurezza dei pod che limita l'autorizzazione CAP_NET_ADMIN, passa all'utilizzo del plug-in CNI di Istio.

Se utilizzi il plug-in CNI di Istio, verifica di aver seguito completamente le istruzioni. Verifica che il container istio-cni-node sia pronto e controlla i log. Se il problema persiste, stabilisci una shell sicura (SSH) nel nodo host, cerca i comandi nsenter nei log dei nodi e controlla se sono presenti errori.

Se non utilizzi il plug-in CNI di Istio o un criterio di sicurezza dei pod, verifica che il pod del carico di lavoro disponga dell'autorizzazione CAP_NET_ADMIN, che viene impostata automaticamente dall'iniettore sidecar.