ocmwx 2025-06-22 16:37 采纳率: 0%
浏览 10

istio非扁平网络多控制面场景下的故障转移配置问题

操作环境:

【南京集群】

k8s版本
Client Version: v1.32.3
Kustomize Version: v5.5.0
Server Version: v1.32.3
k8s各宿主机地址段:192.168.110.0/24
service地址段=10.96.0.0/12
Pod地址段=10.244.0.0/16

istio版本
client version: 1.25.2
control plane version: 1.25.2
data plane version: 1.25.2 (4 proxies)

南京helloworld pod标签

kubectl get pods -n sample -o wide --show-labels
NAME                             READY   STATUS    RESTARTS   AGE   IP              NODE                        NOMINATED NODE   READINESS GATES   LABELS
helloworld-v1-86f57ccb45-mjwnf   2/2     Running   0          53m   10.244.134.55   k8s-node-01.k8s.cluster     <none>           <none>            app=helloworld,pod-template-hash=86f57ccb45,security.istio.io/tlsMode=istio,service.istio.io/canonical-name=helloworld,service.istio.io/canonical-revision=v1,topology.istio.io/network=nj-k8s-cluster-network-01,topology.istio.io/subzone=qinhuai,topology.kubernetes.io/region=china-jiangsu,topology.kubernetes.io/zone=nanjing,version=v1
test-source-869888dfdc-9k6bt     2/2     Running   0          4d    10.244.220.54   k8s-master-01.k8s.cluster   <none>           <none>            app=test-source,pod-template-hash=869888dfdc,security.istio.io/tlsMode=istio,service.istio.io/canonical-name=test-source,service.istio.io/canonical-revision=latest,topology.istio.io/network=nj-k8s-cluster-network-01,topology.istio.io/subzone=qinhuai,topology.kubernetes.io/region=china-jiangsu,topology.kubernetes.io/zone=nanjing

南京helloworld service

kubectl get service -n sample
NAME         TYPE        CLUSTER-IP     EXTERNAL-IP   PORT(S)    AGE
curl         ClusterIP   10.96.18.117   <none>        80/TCP     36d
helloworld   ClusterIP   10.108.70.77   <none>        5000/TCP   2d20h

【北京集群相关配置】

k8s版本
Client Version: v1.32.3
Kustomize Version: v5.5.0
Server Version: v1.32.3
k8s各宿主机地址段:192.168.110.0/24
service地址段=10.112.0.0/12
Pod地址段=10.245.0.0/16

istio版本
client version: 1.25.2
control plane version: 1.25.2
data plane version: 1.25.2 (4 proxies)

配置一

【南京集群节点上的相关配置】

cat <<EOF | kubectl apply -f -
---
apiVersion: networking.istio.io/v1
kind: VirtualService
metadata:
  name: helloworld-vs
  namespace: sample
spec:
  gateways:
    - mesh
    - istio-system/cross-network-gateway
  hosts:
    - "helloworld.sample.svc.cluster.local"
  http:
    - match:
        - port: 5000
      route:
        - destination:
            host: helloworld.sample.svc.cluster.local
            subset: to-nanjing-local-subsets
          weight: 50
        - destination:
            host: eastwestgateway.remote.cluster.global
            subset: to-beijing-eastwestgateway-subsets
          weight: 50
EOF

cat <<EOF | kubectl apply -f -
---
apiVersion: networking.istio.io/v1
kind: DestinationRule
metadata:
  name: helloworld-dr
  namespace: sample
spec:
  host: "*"
  subsets:
    - name: to-nanjing-local-subsets
      labels:
        app: helloworld
        version: v1
        topology.istio.io/network: nj-k8s-cluster-network-01
      trafficPolicy:
        portLevelSettings:
          - port:
              number: 5000
            tls:
              mode: DISABLE
        loadBalancer:
          simple: ROUND_ROBIN  
          localityLbSetting:
            enabled: true
            distribute:
              - from: "*"
                to:
                  "china-beijing/beijing/eastwestgateway": 50
                  "china-jiangsu/nanjing/qinhuai": 50
    - name: to-beijing-eastwestgateway-subsets
      labels:
        region: china-beijing-beijing-eastwestgateway
        topology.istio.io/network: bj-k8s-cluster-network-01
      trafficPolicy:
        portLevelSettings:
          - port:
              number: 5000
            tls:
              mode: ISTIO_MUTUAL
              sni: helloworld.sample.svc.cluster.local
        loadBalancer:
          simple: ROUND_ROBIN  
          localityLbSetting:
            enabled: true
            distribute:
              - from: "*"
                to:
                  "china-beijing/beijing/eastwestgateway": 50
                  "china-jiangsu/nanjing/qinhuai": 50
  trafficPolicy:
    outlierDetection:
      consecutiveGatewayErrors: 3
      consecutive5xxErrors: 3
      interval: 10s
      baseEjectionTime: 240s
      maxEjectionPercent: 100
EOF

cat <<EOF | kubectl apply -f -
---
apiVersion: networking.istio.io/v1
kind: ServiceEntry
metadata:
  name: to-bj-eastwest-gateway-se
  namespace: sample
spec:
  hosts:
    - "eastwestgateway.remote.cluster.global"
  ports:
    - number: 5000
      name: https-5000
      protocol: HTTPS
  resolution: STATIC
  location: MESH_EXTERNAL
  endpoints:
    - address: 192.168.110.230
      ports:
        https-5000: 35443
      locality: "china-beijing/beijing/eastwestgateway"
      labels:
        region: china-beijing-beijing-eastwestgateway
        topology.istio.io/network: bj-k8s-cluster-network-01
EOF

【北京集群节点上的相关配置】

cat <<EOF | kubectl apply -f -
---
apiVersion: networking.istio.io/v1
kind: Gateway
metadata:
  name: cross-network-gateway
  namespace: istio-system
spec:
  selector:
    app: istio-eastwestgateway
    topology.istio.io/network: bj-k8s-cluster-network-01
  servers:
    - port:
        number: 15443
        name: https-15443
        protocol: HTTPS
      tls:
        mode: MUTUAL
        credentialName: istio-eastwestgateway-certs
        minProtocolVersion: TLSV1_2
      hosts:
        - "helloworld.sample.svc.cluster.local"
        - "192.168.110.210"
EOF

cat <<EOF | kubectl apply -f -
---
apiVersion: networking.istio.io/v1
kind: VirtualService
metadata:
  name: helloworld-vs
  namespace: istio-system
spec:
  hosts:
    - "helloworld.sample.svc.cluster.local"
    - "192.168.110.210"
  gateways:
    - istio-system/cross-network-gateway
  http:
    - route:
        - destination:
            host: helloworld.sample.svc.cluster.local
            port:
                number: 5000
EOF

在上述配置基础上,我在南京集群上的test-source-869888dfdc-9k6bt测试Pod发起测试请求http://helloworld.sample.svc.cluster.local:5000/hello,如下

while true; do
  kubectl exec "$(kubectl get pods -n sample -l app=test-source -o jsonpath='{.items[0].metadata.name}')" -n sample -c test-source -- curl -s http://helloworld.sample.svc.cluster.local:5000/hello
  sleep 1
done

结果返回

Hello version: v2, instance: helloworld-v2-6746879bdd-hpftf
Hello version: v1, instance: helloworld-v1-86f57ccb45-mjwnf
Hello version: v2, instance: helloworld-v2-6746879bdd-hpftf
Hello version: v2, instance: helloworld-v2-6746879bdd-hpftf
Hello version: v1, instance: helloworld-v1-86f57ccb45-mjwnf
Hello version: v2, instance: helloworld-v2-6746879bdd-hpftf
Hello version: v1, instance: helloworld-v1-86f57ccb45-mjwnf
Hello version: v2, instance: helloworld-v2-6746879bdd-hpftf

结果是按名称为helloworld-vs的virtualservice一样,按权重50%分配请求的。

问题一:假如模拟南京集群中的helloworld故障,我该如何实现排除故障节点的调度?

kubectl scale deployment helloworld-v1 -n sample --replicas=0

此时测试结果返回如下:
no healthy upstream
Hello version: v2, instance: helloworld-v2-6746879bdd-hpftf
no healthy upstream
Hello version: v2, instance: helloworld-v2-6746879bdd-hpftf
no healthy upstream
Hello version: v2, instance: helloworld-v2-6746879bdd-hpftf
no healthy upstream
no healthy upstream
no healthy upstream
no healthy upstream
Hello version: v2, instance: helloworld-v2-6746879bdd-hpftf

就是说当南京集群中的helloworld故障,下次就不用调度到此节点,全部流量都调度到北京

- destination:
            host: eastwestgateway.remote.cluster.global
            subset: to-beijing-eastwestgateway-subsets
          weight: 50
  • 写回答

4条回答 默认 最新

  • 阿里嘎多学长 2025-06-22 16:38
    关注

    阿里嘎多学长整理AIGC生成,因移动端显示问题导致当前答案未能完全显示,请使用PC端查看更加详细的解答过程

    istio非扁平网络多控制面场景下的故障转移配置问题

    你遇到了在非扁平网络多控制面场景下的istio故障转移配置问题。下面是可能的解决方案:

    1. 检查控制面配置:确保每个控制面都配置了正确的 peer 信息,使用 istioctl manifest generate 命令生成 manifest 文件,然后检查每个控制面配置的 peer 信息是否正确。
    2. 检查网络配置:确保每个控制面之间的网络连接是否正确,使用 kubectl get pod -n istio-system 命令检查每个控制面 pod 的网络状态。
    3. 使用 istioctl manifest apply:使用 istioctl manifest apply 命令将 manifest 文件应用于每个控制面,以确保每个控制面都配置了正确的 peer 信息。
    4. 检查 istio.VERSION:确保每个控制面都使用相同的 istio 版本,使用 istioctl version 命令检查每个控制面 istio 版本。
    5. 使用 istioctl debug:使用 istioctl debug 命令检查每个控制面日志,以了解故障转移过程中的错误信息。

    如果以上解决方案不能解决问题,可以提供更多的日志信息和配置文件,以便更好地 debug 和解决问题。

    评论

报告相同问题?

  • Istio:云原生时代的服务网格领航者
    2025-06-01 21:24
    大雨淅淅的博客 在未来,随着技术的不断发展和应用场景的持续拓展,Istio 有望实现更多的创新和突破,为云原生架构的发展注入新的活力。然而,我们也应清醒地认识到,Istio 在发展过程中仍临着一些挑战,如性能优化、兼容性和集成...
  • 网络与SASE架构:构建下一代企业安全网络
    2025-04-24 08:34
    软考和人工智能学堂的博客 随着企业数字化转型加速,云网络技术正在经历前所未有的创新周期。拥抱基础设施即代码:掌握Terraform、Ansible等工具深入理解云原生网络...未来的网络工程师将更多扮演"网络数据科学家"的角色,您准备好了吗?思考题。
  • 云计算】公有云及企业上云方案
    2025-06-26 18:04
    flyair_China的博客 一、公有云建设 1.1、公有云定义与核心特征 ​公有云是由第三方服务商通过互联网向公众提供计算资源(服务器、存储、网络等)的云服务模式,采用多租户架构,用户按需付费使用资源。核心特征包括: ​资源池化​:...
  • 你如何看待微服务架构?它的优缺点是什么?
    2026-01-01 21:10
    光子AI的博客 微服务架构深度解析:从理论到实践的全探索 章节核心内容要素: 核心概念:微服务架构的定义、原则与特征 问题背景:从单体架构到微服务的演进历程 问题描述:传统架构临的挑战与微服务的解决方案 问题解决:...
  • 网络安全】病毒木马等用的常用函数和理论
    2025-12-10 15:51
    flyair_China的博客 总而言之,数学为网络安全提供了从基础理论到前沿创新的全方位支撑。正是这些抽象的数学理论,构筑了我们数字世界安全的坚固防线。随着网络安全挑战的不断演变(如人工智能安全、后量子密码学),更深奥和前沿的数学...
  • 解读多云跨云下的容器治理与实践
    2021-07-09 11:34
    华为云开发者联盟的博客 摘要:云原生技术和云市场不断成熟,多云、多集群部署已经成为常态,未来将是编程式多云管理服务的时代。
  • 【K8S】kubernetes基础原理
    2022-10-31 00:44
    奇奇怪怪^的博客 自我修复 控制控制pod,保证pod可以维持我们所期望的副本数量3 在节点故障时“重新启动”失败的容器,替换和重新部署,保证预期的副本数量;杀死健康检查失败的容器,并且在未准备好之前不会处理客户端请求,确保...
  • 一文带你理解云原生
    2021-06-17 00:09
    腾讯技术工程的博客 很多场景下业务方希望容器、物理机和虚拟机可以在同一个扁平中直接通过 IP 进行通信,通过 Floating-IP 网络实现。 Floating-IP 模式将宿主机网络同一网段的 IP 直接配置到容器中。 这种模式为了保证容器与宿主机...
  • 一文带你理解云原生|云原生全景指南
    2021-06-19 01:02
    极客重生的博客 hi, 大家好,如今几乎所有大厂都将容器和K8s列入未来的战略重心,K8s可能将成为下一代分布式操作系统,今天分享一篇很经典云原生文章(万字雄文),希望可以帮大家彻底了解到底什么是云原生。...
  • 云原生体系下的技海浮沉与理论探索
    2020-12-07 10:00
    云布道师的博客 一般情况下,我们不提倡应用之间的依赖过于复杂,尤其在专有云场景下,复杂的依赖带来的环境问题相当多,拔萝卜带泥几乎要把整个公有云搬到专有云,无论对我们还是对客户,都是比较大的心智负担。 有状态到无状态 ...
  • 没有解决我的问题, 去提问

问题事件

  • 修改了问题 6月22日
  • 修改了问题 6月22日
  • 修改了问题 6月22日
  • 创建了问题 6月22日