跟这个 issue 基本一致 github.com/istio/istio/ 直接原因: 这种情况应该通常是清理了已退出的 istio-init 容器,导致 k8s 检测到 pod 关联的容器不在了,然后会重新拉起被删除的容器,而 istio-init 的执行不可重入,因为之前已创建了 iptables 规则,导致后拉起的 istio-init 执行 iptables 失败而 crash。 根因...
INBOUND_PORTS_INCLUDE=* INBOUND_PORTS_EXCLUDE=15090,15021,15020 OUTBOUND_OWNER_GROUPS_INCLUDE=* OUTBOUND_OWNER_GROUPS_EXCLUDE= OUTBOUND_IP_RANGES_INCLUDE=* OUTBOUND_IP_RANGES_EXCLUDE= OUTBOUND_PORTS_INCLUDE= OUTBOUND_PORTS_EXCLUDE= KUBE_VIRT_INTERFACES= ENABLE_INBOUND_IPV6=false DNS_CAPTURE=false ...
excludeInterfacesKey:用于配置禁止Pod使用的网络接口列表。 sidecarInterceptModeKey:用于配置Istio sidecar代理的拦截模式,控制流量的转发。 sidecarPortListKey:用于配置Istio sidecar代理监听的端口列表。 kubevirtInterfacesKey:用于配置Kubernetes虚拟网络接口列表。 annotationRegistry:用于注册具有特定处理逻辑的注释的映射。
15020 OUTBOUND_IP_RANGES_INCLUDE=* OUTBOUND_IP_RANGES_EXCLUDE= OUTBOUND_PORTS_INCLUDE= OUTBOUND_PORTS_EXCLUDE= KUBE_VIRT_INTERFACES= ENABLE_INBOUND_IPV6=false DNS_CAPTURE=false CAPTURE_ALL_DNS=false DNS_SERVERS=[],[] OUTPUT_PATH= NETWORK_NAMESPACE= CNI_MODE=false EXCLUDE_INTERFACES= 2022-03-...
KUBE_VIRT_INTERFACES= ENABLE_INBOUND_IPV6=true DUAL_STACK=false DNS_CAPTURE=true DROP_INVALID=false CAPTURE_ALL_DNS=false DNS_SERVERS=[],[fd00:7793:ad07::a] NETWORK_NAMESPACE= CNI_MODE=false EXCLUDE_INTERFACES= 2024-09-16T18:06:38.014267Z info Running iptables-restore with the following ...
traffic.sidecar.istio.io/excludeOutboundPorts<port1>,<port2>,...逗号分隔的出站端口列表,列表中的端口流量不会重定向到 Envoy 中。 traffic.sidecar.istio.io/kubevirtInterfaces<ethX>,<ethY>,...逗号分隔的虚拟接口列表,列表中的虚拟接口的入站流量(来自 VM)将被当作出站流量。
apiVersion: install.istio.io/v1alpha1 kind: IstioOperator spec: components: cni: enabled: true values: cni: excludeNamespaces: - istio-system - kube-system logLevel: info istioctl install -f istio-cni.yaml 此时查看启用自动注入的pod会发现init container的名称(istio-validation)有别于不启用istio-...
initContainers:-args:-istio-iptables--p-"15001"--z-"15006"--u-"1337"--m-REDIRECT--i-'*'--x-""--b-'*'--d-15090,15021,15020---log_output_level=default:infoimage: docker.io/istio/proxyv2:1.17.8name: istio-init ... ... ...
设置traffic./excludeOutboundIPRanges注解来禁止重定向流量到任何与初始化容器有通信的 CIDRs。 设置traffic./excludeOutboundPorts注解来禁止重定向流量到初始化容器所用到的出站端口。 和其它 CNI 插件的兼容性: Istio CNI 插件维护着和当前的NET_ADMINistio-init容器同样的兼容性。
"*" excludeIPRanges: "" excludeOutboundPorts: "" # pod internal interfaces kubevirtInterfaces: "" # istio ingress capture whitelist # examples: # Redirect no inbound traffic to Envoy: --includeInboundPorts="" # Redirect all inbound traffic to Envoy: --includeInboundPorts="*" # Redirect ...