准备工作:

openshift 默认不允许UID为0的容器运行,要先授权scc以便安装istio

# oc adm policy add-scc-to-user anyuid -z istio-ingress-service-account -n istio-system

# oc adm policy add-scc-to-user anyuid -z default -n istio-system

# oc adm policy add-scc-to-user anyuid -z prometheus -n istio-system

# oc adm policy add-scc-to-user anyuid -z istio-egressgateway-service-account -n istio-system

# oc adm policy add-scc-to-user anyuid -z istio-citadel-service-account -n istio-system

# oc adm policy add-scc-to-user anyuid -z istio-ingressgateway-service-account -n istio-system

# oc adm policy add-scc-to-user anyuid -z istio-cleanup-old-ca-service-account -n istio-system

# oc adm policy add-scc-to-user anyuid -z istio-mixer-post-install-account -n istio-system

# oc adm policy add-scc-to-user anyuid -z istio-mixer-service-account -n istio-system

# oc adm policy add-scc-to-user anyuid -z istio-pilot-service-account -n istio-system

# oc adm policy add-scc-to-user anyuid -z istio-sidecar-injector-service-account -n istio-system

# oc adm policy add-scc-to-user anyuid -z istio-galley-service-account -n istio-system

# oc adm policy add-scc-to-user anyuid -z istio-security-post-install-account -n istio-system

下载istio包

# curl -L https://git.io/getLatestIstio | ISTIO_VERSION=1.1.6 sh -

下载Helm工具

# wget https://storage.googleapis.com/kubernetes-helm/helm-v2.13.1-linux-amd64.tar.gz

# tar -zvxf helm-v2.13.1-linux-amd64.tar.gz

# cp linux-amd64/* /usr/bin/

安装istio:

初始化,向Kubernetes api-server提交CDR

# kubectl create namespace istio-system

# helm template install/kubernetes/helm/istio-init --name istio-init --namespace istio-system | kubectl apply -f -  

验证CDR是否提交成功,数量为53

# kubectl get crds | grep 'istio.io\|certmanager.k8s.io' | wc -l

安装核心组件

# helm template install/kubernetes/helm/istio --name istio --namespace istio-system | kubectl apply -f -

尝试注入:

istio组件需要privileged权限,否则无法创建Pod

# oc adm policy add-scc-to-user privileged -z default -n dev

openshift注入设置,配置Webhook和证书签名

# vim /etc/origin/master/master-config.patch

admissionConfig:

  pluginConfig:

    MutatingAdmissionWebhook:

      configuration:

        apiVersion: apiserver.config.k8s.io/v1alpha1

        kubeConfigFile: /dev/null

        kind: WebhookAdmission

    ValidatingAdmissionWebhook:

      configuration:

        apiVersion: apiserver.config.k8s.io/v1alpha1

        kubeConfigFile: /dev/null

        kind: WebhookAdmission

# cd /etc/origin/master/

# cp -p master-config.yaml master-config.yaml.prepatch

# oc ex config patch master-config.yaml.prepatch -p "$(cat master-config.patch)" > master-config.yaml

# master-restart api

# master-restart controllers

自动注入(默认配置):

给namespace绑定注入标签,即使是手动注入也要绑定标签

# oc label  namespace dev istio-injection=enabled

# oc get namespace -L istio-injection

NAME                                STATUS    AGE       ISTIO-INJECTION

app-storage                         Active    21h

default                             Active    21h

dev                                 Active    5h        enabled

关闭特殊Pod的自动注入,比如OpenShift Builds完全没必要注入istio

修改istio-system下的ConfigMap istio-sidecar-injector,加入以下内容

apiVersion: v1

kind: ConfigMap

metadata:

  name: istio-sidecar-injector

data:

  config: |-

    policy: enabled

    neverInjectSelector:

      - matchExpressions:

        - {key: openshift.io/build.name, operator: Exists}

      - matchExpressions:

        - {key: openshift.io/deployer-pod-for.name, operator: Exists}

    template: |-

      initContainers:

...

手动注入:

修改istio-system下的ConfigMap istio-sidecar-injector,关闭自动注入

policy: disabled

修改需要注入的Deployment配置

apiVersion: extensions/v1beta1

kind: Deployment

metadata:

  name: ignored

spec:

  template:

    metadata:

      annotations:

        sidecar.istio.io/inject: "true"

    spec:

      containers:

      - name: ignored

        image: tutum/curl

        command: ["/bin/sleep","infinity"]

如果sidecar.istio.io/inject=false  即使policy: enabled 也不会注入

排错:

  • Pod无法创建

检查scc privileged 是否给当前空间的default用户授权

  • 无法创建openshift Deployment 或者 Builds

Error creating deployer pod: pods "nginx-20-deploy" is forbidden: unable to validate against any pod security policy: [spec.initContainers[0].securityContext.securityContext.runAsUser: Invalid value: 0: must be in the ranges: [1000080000, 1000089999] spec.initContainers[0].securityContext.privileged: Invalid value: true: Privileged containers are not allowed capabilities.add: Invalid value: "NET_ADMIN": capability may not be added spec.containers[1].securityContext.securityContext.runAsUser: Invalid value: 1337: must be in the ranges: [1000080000, 1000089999]]

直接排除这些系统Pod或者授权scc

# oc adm policy add-scc-to-user privileged -z deployer -n dev

# oc adm policy add-scc-to-user privileged -z builder -n dev
  • Pod能成功创建但是istio-init容器一直是CrashLoopBackOff

这是因为istio-init容器需要特权模式,需要修改容器模板 istio-system/configmap/istio-sidecar-injector

- name: istio-init

   securityContext:

      privileged: true
  • istio注入后容器不能访问外部网络

这是因为istio默认劫持所有流量,需要把外部网络地址排除掉,最简单的方式就是只包含k8s内部网络

修改istio-system/configmap/istio-sidecar-injector

    - "-i"

    - "[[ annotation .ObjectMeta `traffic.sidecar.istio.io/includeOutboundIPRanges`  "172.30.0.0/,10.128.0.0/"  ]]"

    - "-x"

    - "[[ annotation .ObjectMeta `traffic.sidecar.istio.io/excludeOutboundIPRanges`  ""  ]]"

k8s(openshift) 部署istio1.1的更多相关文章

  1. 在k8s上部署日志系统elfk

    日志系统elfk 前言 经过上周的技术预研,在本周一通过开会研究,根据公司的现有业务流量和技术栈,决定选择的日志系统方案为:elasticsearch(es)+logstash(lo)+filebea ...

  2. 持续集成之应用k8s自动部署

    持续集成之应用k8s自动部署 Intro 上次我们提到了docker容器化及自动化部署,这仅仅适合个人项目或者开发环境部署,如果要部署到生产环境,必然就需要考虑很多因素,比如访问量大了如何调整部署,如 ...

  3. Openshift 部署第一个应用hello-openshift

    Openshift 部署第一个应用hello-openshift: cd /opt/ wget https://github.com/openshift/origin/releases/downloa ...

  4. k8s二进制部署

    k8s二进制部署 1.环境准备 主机名 ip地址 角色 k8s-master01 10.0.0.10 master k8s-master02 10.0.0.11 master k8s-node01 1 ...

  5. Prometheus K8S中部署Alertmanager

    Prometheus K8S中部署Alertmanager 设置告警和通知的主要步骤如下:一.部署Alertmanager二.配置Prometheus与Alertmanager通信三.配置告警 1. ...

  6. K8S CoreDNS部署失败,发现的一个问题

    K8S CoreDNS部署失败,查看错误日志,提示如下 root >> kubectl get all --all-namespaces -o wide root >> kub ...

  7. Kubernetes之在k8s中部署Java应用

    部署好了k8s以后 部署参考https://www.cnblogs.com/minseo/p/12055731.html 怎么在k8s部署应用 项目迁移到k8s平台是怎样的流程 1,制作镜像 2,控制 ...

  8. kubernetes之三 使用kubectl在k8s上部署应用

    在上一篇中,我们学习了使用minikube来搭建k8s集群.k8s集群启动后,就可以在上面部署应用了.本篇,我们就来学习如何使用kubectl在k8s上部署应用. 学习之前,可以先从下面这篇博客上了解 ...

  9. Openshift部署流程介绍

    背景 Openshift是一个开源容器云平台,是一个基于主流的容器技术Docker和Kubernetes构建的云平台.Openshift底层以Docker作为容器引擎驱动,以Kubernetes 作为 ...

  10. Docker & k8s 系列三:在k8s中部署单个服务实例

    本章将会讲解: pod的概念,以及如何向k8s中部署一个单体应用实例. 在上面的篇幅中,我们了解了docker,并制作.运行了docker镜像,然后将镜像发布至中央仓库了.然后又搭建了本机的k8s环境 ...

随机推荐

  1. JS规则 自加一,自减一 ( ++和- -) 【mynum = mynum + 1;//等同于mynum++;】

    自加一,自减一 ( ++和- -) 算术操作符除了(+.-.*./)外,还有两个非常常用的操作符,自加一"++":自减一"--".首先来看一个例子: mynum ...

  2. oi知识表

  3. HDU3480 Division——四边形不等式或斜率优化

    题目大意 将N个数分成M部分,使每部分的最大值与最小值平方差的和最小. 思路 首先肯定要将数列排序,每部分一定是取连续的一段,于是就有了方程 $\Large f(i,j)=min(f(i-1,k-1) ...

  4. Entity Framework Code First 模式-建立一对一联系

    使用的例子为教室(ClassRoom),教室里的多媒体设备(Device),一个教室里有一套多媒体设备,一套多媒体设备只放在一个教室里. 1.Data Annotations方式 需要在任意一方的主键 ...

  5. Codeforces Round #599 (Div. 2)的简单题题解

    难题不会啊…… 我感觉写这个的原因就是因为……无聊要给大家翻译题面 A. Maximum Square 简单题意: 有$n$条长为$a_i$,宽为1的木板,现在你可以随便抽几个拼在一起,然后你要从这一 ...

  6. PHP如何打造一个高可用高性能的网站呢?

    https://blog.csdn.net/jwq101666/article/details/80162245 1. 说到高可用的话要提一下redis,用过的都知道redis是一个具备数据库特征的n ...

  7. 使用Native API 创建进程

    使用 Native API 创建进程 最近几个星期一直在研究这个题目.因为关于方面的资料比较多(可以看下面的参考文章),所以开始时以为很快就结束了.谁知道真正动起手来才发现有很多要考虑的地方,不过还好 ...

  8. System.Web.Mvc.ContentResult.cs

    ylbtech-System.Web.Mvc.ContentResult.cs 1.程序集 System.Web.Mvc, Version=5.2.3.0, Culture=neutral, Publ ...

  9. vmware centos 扩容

    1.停止后vmware 扩容 2.centos 增加分区 #增加分区fdisk /dev/sda 操作 /dev/sda 的分区表 p 查看已分区数量(我看到有两个 /dev/sda1 /dev/sd ...

  10. <Python基础>类和对象(初级)---烧开水的例子

    ''' 类:模板(模子) 类的名称:类名(人) 类的属性:一组数据(年龄,身高) 类的方法:进行操作的方法(走,跑,吃,喝) 对象:实体 类的抽象:把现实中的物品用类去表示 ''' #创建一个类 cl ...