时间戳

首页 > 解决方案 > Istio:sidecar EnvoyFilter 工作负载选择器没有过滤

kubernetes - Istio:sidecar EnvoyFilter 工作负载选择器没有过滤

问题描述

我遇到了一个问题,即两个具有不同工作负载选择器的 EnvoyFilter 应该应用于不同的 Pod 工作负载,而不是同时应用于两个工作负载。

更具体地说,我使用的是 Istio 1.4.9,我在两个不同的命名空间中有两个相同部署工作负载的实例,每个工作负载都有一个 sidecar。每个部署都应用了不同的标签。

kubectl get po --show-labels --all-namespaces -l app=myapp,namespace
NAMESPACE   NAME                    ...truncated...  LABELS
first       myapp-58489c8fcd-kch9f  ...truncated...  app=myapp,namespace=first ...truncated...
second      myapp-6f58dd65dd-tdjm7  ...truncated...  app=myapp,namespace=second ...truncated...

我想将 Lua EnvoyFilter 的不同实例附加到每个命名空间中的每个工作负载,因此每个都有自己的过滤器。因此,例如,第一个命名空间的过滤器如下所示。第二个类似但具有不同的工作负载选择器

apiVersion: networking.istio.io/v1alpha3
kind: EnvoyFilter
metadata:
  name:  first-myapp-filter
  ...truncated...
spec:
  workloadSelector:
    labels:
      app: myapp
      namespace: first

但是,我看到给定的工作负载正在处理 BOTH 特使过滤器,而不是仅处理选择器匹配的过滤器。当我使用 istioctl 查看第一个命名空间中 pod 上的侦听器时,它附加了两个过滤器。

"httpFilters": [
  {"name": "envoy.lua", "config": {"inlineCode": "function ...truncated... end\n" }},
  {"name": "envoy.lua", "config": {"inlineCode": "function ...truncated... end\n" }}

选择器似乎没有按我预期的方式工作。关于如何调试的任何想法?

标签: kubernetesluakubernetes-ingressistioenvoyproxy

解决方案

我唯一能想到的是你EnvoyFilter配置根命名空间中定义了你的,它忽略了workloadSelector.

如果您看到文档

注意 3:*_要将 EnvoyFilter 资源应用于系统中的所有工作负载(边车和网关),请在配置根命名空间中定义资源,而不使用工作负载选择器。

尝试创建 2 个 EnvoyFilter,每个命名空间中的每个都存在您的工作负载并删除原始 EnvoyFilter。所以像这样:

apiVersion: networking.istio.io/v1alpha3
kind: EnvoyFilter
metadata:
  name:  first-myapp-filter
  namespace: first
spec:
  workloadSelector:
    labels:
      app: myapp
      namespace: first
...


apiVersion: networking.istio.io/v1alpha3
kind: EnvoyFilter
metadata:
  name:  second-myapp-filter
  namespace: second
spec:
  workloadSelector:
    labels:
      app: myapp
      namespace: second
...

注意:您可能还想尝试不同的标签。例如,app: myapp1app: myapp2

推荐阅读