时间戳

首页 > 解决方案 > Istio Ingress TLS 使用 ACM:上游连接错误或在标头之前断开/重置。重置原因:连接终止

kubernetes - Istio Ingress TLS 使用 ACM:上游连接错误或在标头之前断开/重置。重置原因:连接终止

问题描述

我尝试按照#6566中的说明使用 SSL 设置 aws 负载均衡器 (ELB)

证书附在 ELB 上。

但是,当我尝试在浏览器上访问我们的网络时,我遇到了“上游连接错误或在标头之前断开/重置。重置原因:连接终止”的问题。

我们之前没有使用 SSL 的设置。

我使用自定义 values.yaml 来安装 istio(helm 模板):

helm 模板 ./istio/install/kubernetes/helm/istio --name istio --namespace istio-system --values ./mesh/values.yaml | kubectl 应用 -f -

我在gateways标签下面插入了注释:

istio-ingressgateway:
    serviceAnnotations: 
      service.beta.kubernetes.io/aws-load-balancer-ssl-cert: "arn:aws:acm:ap-southeast-1:xxxxx:certificate/my-crt"
      service.beta.kubernetes.io/aws-load-balancer-backend-protocol: "http"
      service.beta.kubernetes.io/aws-load-balancer-ssl-ports: "https"

这是我的gateway.yaml

apiVersion: networking.istio.io/v1alpha3
kind: Gateway
metadata:
  name: istio-gateway
spec:
  selector:
    istio: ingressgateway #default istio ingressgateway
  servers:
  - port:
      number: 80
      name: http-istio-gateway
      protocol: HTTP
    hosts:
    - "*"
    tls:
      httpsRedirect: true
  - port:
      number: 443
      name: https-istio-gateway
      protocol: HTTP
    hosts:
    - "*"
---
apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: api-gateway
spec:
  gateways:
  - istio-gateway
  hosts:
  - "*"
  http:
  - match:
    - uri:
        prefix: /socket.io/
    route:
    - destination:
        host: api-gateway-ws.default.svc.cluster.local
        port:
          number: 5001
  - match:
    - uri:
        prefix: /
    route:
    - destination:
        host: api-gateway.default.svc.cluster.local
        port:
          number: 5000

标签: kubernetesistio

解决方案

我已经通过更新 VirtualService 清单解决了这个问题。

不确定添加多个“匹配”时为什么会发生错误。

...
---
apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: api-gateway
spec:
  gateways:
  - istio-gateway
  hosts:
  - "*"
  http:
  - match:
    - uri:
        prefix: "/socket.io"
    route:
    - destination:
        host: api-gateway-ws.default.svc.cluster.local
        port:
          number: 5001
    websocketUpgrade: true
  - route:
    - destination:
        host: api-gateway.default.svc.cluster.local
        port:
          number: 5000

推荐阅读