准备工作:

openshift 默认不允许UID为0的容器运行,要先授权scc以便安装istio

# oc adm policy add-scc-to-user anyuid -z istio-ingress-service-account -n istio-system

# oc adm policy add-scc-to-user anyuid -z default -n istio-system

# oc adm policy add-scc-to-user anyuid -z prometheus -n istio-system

# oc adm policy add-scc-to-user anyuid -z istio-egressgateway-service-account -n istio-system

# oc adm policy add-scc-to-user anyuid -z istio-citadel-service-account -n istio-system

# oc adm policy add-scc-to-user anyuid -z istio-ingressgateway-service-account -n istio-system

# oc adm policy add-scc-to-user anyuid -z istio-cleanup-old-ca-service-account -n istio-system

# oc adm policy add-scc-to-user anyuid -z istio-mixer-post-install-account -n istio-system

# oc adm policy add-scc-to-user anyuid -z istio-mixer-service-account -n istio-system

# oc adm policy add-scc-to-user anyuid -z istio-pilot-service-account -n istio-system

# oc adm policy add-scc-to-user anyuid -z istio-sidecar-injector-service-account -n istio-system

# oc adm policy add-scc-to-user anyuid -z istio-galley-service-account -n istio-system

# oc adm policy add-scc-to-user anyuid -z istio-security-post-install-account -n istio-system

下载istio包

# curl -L https://git.io/getLatestIstio | ISTIO_VERSION=1.1.6 sh -

下载Helm工具

# wget https://storage.googleapis.com/kubernetes-helm/helm-v2.13.1-linux-amd64.tar.gz

# tar -zvxf helm-v2.13.1-linux-amd64.tar.gz

# cp linux-amd64/* /usr/bin/

安装istio:

初始化,向Kubernetes api-server提交CDR

# kubectl create namespace istio-system

# helm template install/kubernetes/helm/istio-init --name istio-init --namespace istio-system | kubectl apply -f -  

验证CDR是否提交成功,数量为53

# kubectl get crds | grep 'istio.io\|certmanager.k8s.io' | wc -l

安装核心组件

# helm template install/kubernetes/helm/istio --name istio --namespace istio-system | kubectl apply -f -

尝试注入:

istio组件需要privileged权限,否则无法创建Pod

# oc adm policy add-scc-to-user privileged -z default -n dev

openshift注入设置,配置Webhook和证书签名

# vim /etc/origin/master/master-config.patch

admissionConfig:

  pluginConfig:

    MutatingAdmissionWebhook:

      configuration:

        apiVersion: apiserver.config.k8s.io/v1alpha1

        kubeConfigFile: /dev/null

        kind: WebhookAdmission

    ValidatingAdmissionWebhook:

      configuration:

        apiVersion: apiserver.config.k8s.io/v1alpha1

        kubeConfigFile: /dev/null

        kind: WebhookAdmission

# cd /etc/origin/master/

# cp -p master-config.yaml master-config.yaml.prepatch

# oc ex config patch master-config.yaml.prepatch -p "$(cat master-config.patch)" > master-config.yaml

# master-restart api

# master-restart controllers

自动注入(默认配置):

给namespace绑定注入标签,即使是手动注入也要绑定标签

# oc label  namespace dev istio-injection=enabled

# oc get namespace -L istio-injection

NAME                                STATUS    AGE       ISTIO-INJECTION

app-storage                         Active    21h

default                             Active    21h

dev                                 Active    5h        enabled

关闭特殊Pod的自动注入,比如OpenShift Builds完全没必要注入istio

修改istio-system下的ConfigMap istio-sidecar-injector,加入以下内容

apiVersion: v1

kind: ConfigMap

metadata:

  name: istio-sidecar-injector

data:

  config: |-

    policy: enabled

    neverInjectSelector:

      - matchExpressions:

        - {key: openshift.io/build.name, operator: Exists}

      - matchExpressions:

        - {key: openshift.io/deployer-pod-for.name, operator: Exists}

    template: |-

      initContainers:

...

手动注入:

修改istio-system下的ConfigMap istio-sidecar-injector,关闭自动注入

policy: disabled

修改需要注入的Deployment配置

apiVersion: extensions/v1beta1

kind: Deployment

metadata:

  name: ignored

spec:

  template:

    metadata:

      annotations:

        sidecar.istio.io/inject: "true"

    spec:

      containers:

      - name: ignored

        image: tutum/curl

        command: ["/bin/sleep","infinity"]

如果sidecar.istio.io/inject=false  即使policy: enabled 也不会注入

排错:

  • Pod无法创建

检查scc privileged 是否给当前空间的default用户授权

  • 无法创建openshift Deployment 或者 Builds

Error creating deployer pod: pods "nginx-20-deploy" is forbidden: unable to validate against any pod security policy: [spec.initContainers[0].securityContext.securityContext.runAsUser: Invalid value: 0: must be in the ranges: [1000080000, 1000089999] spec.initContainers[0].securityContext.privileged: Invalid value: true: Privileged containers are not allowed capabilities.add: Invalid value: "NET_ADMIN": capability may not be added spec.containers[1].securityContext.securityContext.runAsUser: Invalid value: 1337: must be in the ranges: [1000080000, 1000089999]]

直接排除这些系统Pod或者授权scc

# oc adm policy add-scc-to-user privileged -z deployer -n dev

# oc adm policy add-scc-to-user privileged -z builder -n dev
  • Pod能成功创建但是istio-init容器一直是CrashLoopBackOff

这是因为istio-init容器需要特权模式,需要修改容器模板 istio-system/configmap/istio-sidecar-injector

- name: istio-init

   securityContext:

      privileged: true
  • istio注入后容器不能访问外部网络

这是因为istio默认劫持所有流量,需要把外部网络地址排除掉,最简单的方式就是只包含k8s内部网络

修改istio-system/configmap/istio-sidecar-injector

    - "-i"

    - "[[ annotation .ObjectMeta `traffic.sidecar.istio.io/includeOutboundIPRanges`  "172.30.0.0/,10.128.0.0/"  ]]"

    - "-x"

    - "[[ annotation .ObjectMeta `traffic.sidecar.istio.io/excludeOutboundIPRanges`  ""  ]]"

k8s(openshift) 部署istio1.1的更多相关文章

  1. 在k8s上部署日志系统elfk

    日志系统elfk 前言 经过上周的技术预研,在本周一通过开会研究,根据公司的现有业务流量和技术栈,决定选择的日志系统方案为:elasticsearch(es)+logstash(lo)+filebea ...

  2. 持续集成之应用k8s自动部署

    持续集成之应用k8s自动部署 Intro 上次我们提到了docker容器化及自动化部署,这仅仅适合个人项目或者开发环境部署,如果要部署到生产环境,必然就需要考虑很多因素,比如访问量大了如何调整部署,如 ...

  3. Openshift 部署第一个应用hello-openshift

    Openshift 部署第一个应用hello-openshift: cd /opt/ wget https://github.com/openshift/origin/releases/downloa ...

  4. k8s二进制部署

    k8s二进制部署 1.环境准备 主机名 ip地址 角色 k8s-master01 10.0.0.10 master k8s-master02 10.0.0.11 master k8s-node01 1 ...

  5. Prometheus K8S中部署Alertmanager

    Prometheus K8S中部署Alertmanager 设置告警和通知的主要步骤如下:一.部署Alertmanager二.配置Prometheus与Alertmanager通信三.配置告警 1. ...

  6. K8S CoreDNS部署失败,发现的一个问题

    K8S CoreDNS部署失败,查看错误日志,提示如下 root >> kubectl get all --all-namespaces -o wide root >> kub ...

  7. Kubernetes之在k8s中部署Java应用

    部署好了k8s以后 部署参考https://www.cnblogs.com/minseo/p/12055731.html 怎么在k8s部署应用 项目迁移到k8s平台是怎样的流程 1,制作镜像 2,控制 ...

  8. kubernetes之三 使用kubectl在k8s上部署应用

    在上一篇中,我们学习了使用minikube来搭建k8s集群.k8s集群启动后,就可以在上面部署应用了.本篇,我们就来学习如何使用kubectl在k8s上部署应用. 学习之前,可以先从下面这篇博客上了解 ...

  9. Openshift部署流程介绍

    背景 Openshift是一个开源容器云平台,是一个基于主流的容器技术Docker和Kubernetes构建的云平台.Openshift底层以Docker作为容器引擎驱动,以Kubernetes 作为 ...

  10. Docker & k8s 系列三:在k8s中部署单个服务实例

    本章将会讲解: pod的概念,以及如何向k8s中部署一个单体应用实例. 在上面的篇幅中,我们了解了docker,并制作.运行了docker镜像,然后将镜像发布至中央仓库了.然后又搭建了本机的k8s环境 ...

随机推荐

  1. POJ - 2774~POJ - 3415 后缀数组求解公共字串问题

    POJ - 2774: 题意: 求解A,B串的最长公共字串 (摘自罗穗骞的国家集训队论文): 算法分析: 字符串的任何一个子串都是这个字符串的某个后缀的前缀. 求 A 和 B 的最长 公共子串等价于求 ...

  2. java_迭代器

    java的迭代器(Iterator): 一个可迭代的对象调用iterator可以得到一个迭代器对象 HasNext:判断是否还有下一个元素 next:返回迭代的元素 步骤: public static ...

  3. Spark中使用Java编程的常用方法

    原文引自:http://blog.sina.com.cn/s/blog_628cc2b70102w9up.html 一.初始化SparkContext System.setProperty(" ...

  4. OA系统和ERP系统的区别

    一.OA和ERP的区别 1.含义不同: OA指Office Automation,中文简称自动办公系统,帮助企业内部管理沟通的工具,比如新闻公告.内部沟通.考勤.办公.员工请假.审批流程等. ERP指 ...

  5. 【数位DP】[LOJ10168] 恨7不成妻

    还是数位DP... 状态:$f[x][val][sum]$表示当前第x位,当前数字为val,当前各位数字和为sum 观察到$val$,$sum$过大,很套路地模7即可... 每个状态存储三个要用到的值 ...

  6. Python全栈开发:生成随机数

    #!/usr/bin/env python # -*- coding;utf-8 -*- import random def foo(args): """ :param ...

  7. NPM 的基本使用

    最近闲来无事,将之前的零散笔记整理到博客园,如有错误欢迎指教. 1,常用npm命令 npm list // 查看本地已安装模块清单 npm view vux versions 现在的vux包在npm服 ...

  8. 关于underline

    1, 有些系统可能看不到下划线的效果,这是不妨按着Alt键看看: 2, underline=#, 数字表示在哪个字母下显示下划线,从0开始

  9. 关于新手必须要理解的几个名词,cookie、session和token

    以下要说的,虽然不是开发过程中必须会遇到的,但却是进阶之路上必须要掌握的,一些涉及到状态管理与安全的应用当中尤为重要. 我之前虽略有学习,但也是东拼西凑临时看的一点皮毛,所以在这个假期利用一点时间,整 ...

  10. JavaScript中数组的集合和映射

    集合 集合(set)是在ES6中引入的一种数据结构,用于表示唯一值的集合,所以它不能包含重复值.接 下来这一小节,就让我们具体来看一下这种新的数据结构. Set集合是一种无重复元素的列表,这是这种数据 ...