Istio RequestAuthentication 阻止 envoy sidecar 的就绪状态

2024-03-05

您能帮我理解 RequestAuthentication 吗？当我应用简单的 RequestAuthentication 并重新启动 Pod 时，envoy sidecar 的就绪状态为 false，并且日志抛出warn Envoy proxy is NOT ready: config not received from Pilot (is Pilot running?): cds updates: 1 successful, 0 rejected; lds updates: 0 successful, 1 rejected一旦我删除 RequestAuthentication 并重新创建 pod - 工作正常
伊斯蒂奥 1.8.3

apiVersion: 'security.istio.io/v1beta1'
kind: RequestAuthentication
metadata:
  name: jwt-validator
spec:
  selector:
    matchLabels:
      role: api
  jwtRules:
  - issuer: "https://mykeycloak.com/auth/realms/myrealm"

当代理处于 LDS 陈旧状态时 istiod 中显示以下日志

2021-04-10T17:30:53.326877Z    warn    ads    ADS:LDS: ACK ERROR sidecar~10.238.2.69~PODNAME.NS~NS.svc.cluster.local-60 Internal:Error adding/updating listener(s) vi ││ rtualInbound: Issuer 'MY_JWT_ISSUER_URL' in jwt_authn config has invalid local jwks: Jwks RSA [n] or [e] field is missing or has a parse error

Resolved
这里的颁发者不仅仅是 JWT 中匹配的字符串，而是必须可以从 istiod 访问的真实 URL，并且具有有效的 SSL 证书

我放置这个答案是为了更好的可见性。

正如 @Yegor Lopatin 在编辑中提到的，该问题是通过修复发行人解决的：

这里的颁发者不仅仅是 JWT 中匹配的字符串，而是必须可以从 istiod 访问的真实 URL，并且具有有效的 SSL 证书

发行者必须是有效且可访问的链接。我以为这只是一个字符串，你在阅读 JWT 时与它进行比较

e.g.

jwtRules:
  - issuer: "[email protected] /cdn-cgi/l/email-protection"
    jwksUri: "https://raw.githubusercontent.com/istio/istio/release-1.5/security/tools/jwt/samples/jwks.json"

当您使用 istio 设置 JWT 时，您可以参考以下教程：

https://www.istiobyexample.dev/jwt https://www.istiobyexample.dev/jwt
https://istio.io/latest/docs/tasks/security/authorization/authz-jwt/ https://istio.io/latest/docs/tasks/security/authorization/authz-jwt/

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

istio

Istio RequestAuthentication 阻止 envoy sidecar 的就绪状态的相关文章

Istio Java SDK API - 资源访问-VirtualService/Gateway/DestinationRule/ServiceEntry

环境参考上一篇文章 Java如何连接Istio 参考上一篇文章访问Isito资源 VirtualService Gateway DestinationRule ServiceEntry 项目源码 package com you micr
带有通配符的 Istio 授权策略

授权策略不支持路径上的任何通配符模式吗我有以下端点 my service docs active GET my service docs
Istio - 使用 URI 正则表达式匹配进行 URI 重写

对 Istio 比较陌生有一个关于 Istio 的问题假设我想根据路径重写 URI 但在重写中使用原始 URI 的一部分这是我可以使用 Regex 做的事情吗我正在想象这样的事情 http match uri regex s can
kubernetes 的 nginx-ingress 中最多可以创建多少个 ingress 对象

我们有一个多租户应用程序并且为每个租户提供单独的容器映像同样我们为每个租户创建一个子域该子域将被重定向到其自己的容器可能存在一种场景其中可以存在数千个租户及其动态因此我们在选择之前有必要考虑 Kubernetes 入口控制器
特使过滤器拦截上游响应

我已经为 envoy 编写了 ext authz 过滤器并且对 envoy 过滤器的工作原理有基本的了解但现在我想过滤从上游返回的响应具体来说我想处理两件事在 Envoy 发送回下游之前拦截来自上游的 data jsonBody
在 Kubernetes cron 作业中运行的应用程序无法连接到同一 Kubernetes 集群中的数据库

我有一个 Kubernetes 集群运行 PostgreSQL 数据库 Grafana 仪表板和一个在 Kubernetes 内每小时运行的 Python 单运行应用程序构建为 Docker 映像 CronJob 见下面的清单此外这
如何为暴露多个端口的服务配置 Istio 的虚拟服务？

我有一个暴露多个端口的容器因此为部署配置的 kubernetes 服务如下所示 kind Service apiVersion v1 metadata name myapp labels app myapp spec selector
Istio 可以支持通过 uri 路径的动态部分路由到不同的服务吗

我知道 istio 支持通过静态规则路由到不同的服务如下所示 apiVersion networking istio io v1alpha3 kind VirtualService metadata name my virtualserv
istio AuthorizationPolicy拒绝规则问题

我定义了以下第一个策略来拒绝命名空间 foo 中对工作负载 1 的所有请求除非它们来自工作负载 2 或工作负载 3 尝试从工作负载 2 访问工作负载 1 时我收到 RBAC 访问被拒绝但是当使用如下所示的 ALLOW 策略重写它们时
Azure kubernetes - 具有内部负载均衡器的 Istio 控制器

我有一个带有 Istio 服务网格的 Azure kubernetes 集群目前 Istio 控制器与公共负载均衡器 IP 关联我想使用内部负载均衡器配置 Istio 我将使用公共 IP 到内部 LB 的防火墙映射如何配置 Istio
使用 istio 作为外部 TLS 服务的反向代理

Istio 允许您在 a 中路由 http 请求VirtualService到外部主机提供ServiceEntry存在例如 apiVersion networking istio io v1alpha3 kind ServiceEntry
使用 istio 公开公开 grafana

我们正在使用 Prometheus 运算符我们需要使用 istio 公开外部公开 Grafana https github com helm charts tree master stable prometheus operator
使用网关 + VirtualService + http01 + SDS

In the document https istio io docs examples advanced gateways ingress certmgr 有一个关于的例子使用 Cert Manager 保护 Kubernetes Ing
istio：VirtualService 重写为根 url

我有一个 Istio 1 4 6 VirtualService 其匹配项和 url 重写定义如下 match authority prefix example com uri prefix foo bar rewrite uri route
如何使用Istio的Prometheus配置kubernetes hpa？

我们有一个 Istio 集群我们正在尝试为 Kubernetes 配置水平 pod 自动缩放我们希望使用请求计数作为 hpa 的自定义指标我们如何利用 Istio 的 Prometheus 来达到同样的目的这个问题比我想象的要复杂得
两个 kubernetes 集群之间的 mTLS

我正在尝试在两个 kubernetes 集群中的两个应用程序之间获取 mTLS 而无需使用 Istio 的方式通过其入口网关我想知道以下内容是否可行对于 Istio Likerd Consul 假设我们有一个 k8s 集群 A 和一个
无法使用 ISTIO 网关和虚拟服务连接到 HTTPS 服务

由于我和我的所有团队成员都是 Istio 的新手如果我们能在这里获得一些帮助我们将不胜感激 Problem我已按照以下文档使用应用程序证书和密钥在 k8s 中创建证书并创建机密 https istio io docs tasks tra
为什么 initContainer `istio-init` 中的 iptables 规则设置在应用程序容器中有效？

我正在阅读的文档istio https istio io latest blog 2019 data plane setup 它说 istio init 这个 init 容器用于设置 iptables 规则以便入站出站流量将通过 sid
在 istio 中为 envoy 启用 http 标头日志记录

我希望能够捕获日志至少部分 envoy我的 HTTP 标头istio服务网格我已经经历过envoy s docs https www envoyproxy io docs envoy latest start quick start
Istio 直接 Pod 到 Pod 通信

我在使用 Istio 部署的 Pod 与 Pod 进行通信时遇到问题我实际上需要它与 Istio 合作进行 Hazelcast 发现 https github com hazelcast hazelcast kubernetes issu

随机推荐

无法在 Azure Function v2 中加载文件或程序集“System.Private.ServiceModel”

我使用了 v2 azure 函数持久函数和调用服务的自定义 dll net core 2 2 但出现以下异常无法加载文件或程序集 System Private ServiceModel 版本 4 1 2 4 文化中性 PublicK
android中imageView的单击和双击的区别

我尝试过以下代码来区分单击和双击单击一下就可以了当我双击图像视图时单击和双击部分内的代码都会执行 private static final long DOUBLE PRESS INTERVAL 250 in millis privat
数据进入错误的工作簿

我有一个编码为从中收集信息并将数据传输到摘要工作簿的工作簿该代码在收集数据时有效但它将数据打印到从中收集数据的工作簿而不是摘要工作簿这很奇怪因为它打开摘要工作簿甚至计算行数因此数据将转到第一个空行有人可以告诉我我做错了什么吗
Netbeans 中 try-catch Logger 的自定义代码片段

每次我使用灯泡提示在 Netbeans 中添加 try catch 块时它都会自动添加以下行 import java util logging Level import java util logging Logger catch Log
gradle build Javadoc 任务因“未知标签：attr”而失败

我正在尝试建立android autofittextview https github com grantland android autofittextview使用 gradle 从命令行进行项目然而每次都失败并出现以下错误 User
列表列表中是否存在某个元素？

我想查找给定元素是否存在于列表列表中只有当该元素存在于列表的第一个列表中的某处时我才得到正确的结果有什么建议吗 memberlist X X T1 T2 memberlist X H T1 T2 memberlist X T1 T2
Backbone.js html 选择/单选更改事件未触发，但单击事件是

我正在学习骨干但我一直坚持为 html 选项元素绑定 onchange 事件我尝试使用 change 或 change id 进行绑定但这些都没有触发但是 click 和 click id 事件都有效 div div
如何将命名空间感知设置为 false？

我正在尝试使用 EclipseLink MOXy 解析一些 XML 但它失败了xsi属性如果我删除它它解析得很好然而我有 100GiB 的 XML 需要费力地浏览并且无法更改源文件有人建议如果我可以设置XmlParser set
将基于标签栏的 iPhone 项目迁移到 iPad

像许多其他开发人员一样我创建了使用UITabBarController作为根控制器选项卡视图使用UINavigationController从列表深入到详细视图和许多其他开发人员一样我需要将这些应用程序迁移到 iPad 以便它们利用
OCaml 是否复制了自定义块？

想象一下我有一个名为 libcat 的 C 库用于与我的毛茸茸的猫进行交互因此我正在为 OCaml 编写绑定来简化与 fluffy 的交互 module type CAT sig type cat val find gt cat v
Ansible 模板中的 For 循环

我有问题我在模板文件中使用 for for vhost in item server vhost endfor 与项目一起使用文件 yml ansible 中的 with items 但出出是 server d server o serv
aspnet 表 - 指定 TableCell 宽度？

我有一个 asp net 表我试图将我的列格式化为所有相同的宽度或者说 4 列分别为 20 30 20 和 30 但是以下代码不起作用
android：在imageview中拉伸图像以适合屏幕

我有一个imageview其高度和宽度设置为fill parent with a linearlayout具有相同的值集所以我想这应该设置我的图像以适合屏幕但它只适合 80 横向模式下的顶部和底部边距我尝试了以下代码但没有成功 Dis
将 textPath 方向从逆时针翻转为顺时针？

默认情况下 SVG 以逆时针方式将文本环绕路径文本的天花板粘住了路径如何将方向更改为顺时针以使文本的地板粘在圆周上而不是天花板上 textspace letter spacing 5px font family fantasy fon
在 android 和 windows 中使用 sha1prng 给出不同的序列

我在我的android程序和java程序中都使用了sha1prng作为伪随机数生成器算法我给它们都设置了相同的值但是android中生成的序列和java中生成的序列不一样为什么会发生这种情况解决这个问题的方法是什么我认为这是因为
如何使用 ActionCable 作为 API

我使用 Rails 5 beta 1 和 ActionCable 构建了一个非常简单的应用程序用于显示用户何时上线并让他们互相发送消息现在我基本上想采用 ActionCable 的客户端部分在另一个应用程序的上下文中实现它这确实n
将身份添加到现有项目

我有一个 MVC 项目我想向其中添加 Identity 但我似乎找不到任何关于如何执行此操作的好文章有没有一种简单的方法可以将身份添加到现有项目中我已经有一个数据库里面有东西好吧在一方面您只需添加 Nuget 包并开始用它编写
在 JScrollPane 中使用绝对布局

我需要使用具有绝对布局的 JScrollPane 我知道根本不推荐使用 setLayout null 我一直在读到如果您想在 JScrollPane 中使用绝对布局则必须设置内部元素的首选大小属性以便 JScrollPane 可以计算
如何使用 WIX 打包 VSTO Word 插件以进行部署（到 Office 32 位）？

我开发了一个VSTO Word add in在 VS 2017 Pro 中工作正常准备部署但是我找不到包装我的工作程序VSTO Word add in用于我的开发机器以外的机器对于任何特定的机器我需要部署一次并使其可供任何可能使
Istio RequestAuthentication 阻止 envoy sidecar 的就绪状态

您能帮我理解 RequestAuthentication 吗当我应用简单的 RequestAuthentication 并重新启动 Pod 时 envoy sidecar 的就绪状态为 false 并且日志抛出warn Envoy pro

Istio RequestAuthentication 阻止 envoy sidecar 的就绪状态

Istio RequestAuthentication 阻止 envoy sidecar 的就绪状态 的相关文章

随机推荐

热门标签

Istio RequestAuthentication 阻止 envoy sidecar 的就绪状态的相关文章