开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

Istio Virtualservice创建访问被拒绝

Istio VirtualService是Istio服务网格中的一个重要组件，用于定义和配置服务之间的流量路由规则。它允许开发人员灵活地控制服务之间的通信，并提供了一些高级功能，如流量管理、故障恢复和安全性。

当创建一个Istio VirtualService时，如果访问被拒绝，可能有以下几个原因：

配置错误：可能是由于配置错误导致访问被拒绝。在创建VirtualService时，需要确保正确配置了目标服务的主机名、端口和协议等信息。另外，还需要检查路由规则是否正确定义，确保流量能够正确地转发到目标服务。
安全策略：Istio提供了丰富的安全功能，如身份验证、授权和加密等。如果访问被拒绝，可能是由于安全策略的限制导致的。需要检查是否正确配置了安全策略，并确保访问者具有足够的权限来访问目标服务。
网络配置：访问被拒绝可能与网络配置有关。需要确保Istio服务网格中的网络配置正确，包括网关、虚拟服务和目标服务的网络连接等。另外，还需要检查网络策略是否正确配置，确保流量能够正确地流动。

对于以上问题，可以通过以下方式解决：

检查配置：仔细检查VirtualService的配置，确保目标服务的主机名、端口和协议等信息正确配置。同时，确保路由规则正确定义，以便流量能够正确转发到目标服务。
调整安全策略：根据实际需求，调整安全策略，确保访问者具有足够的权限来访问目标服务。可以使用Istio提供的身份验证、授权和加密等功能来增强安全性。
检查网络配置：仔细检查Istio服务网格中的网络配置，包括网关、虚拟服务和目标服务的网络连接等。确保网络配置正确，并检查网络策略是否正确配置，以确保流量能够正确地流动。

腾讯云提供了一系列与Istio相关的产品和服务，可以帮助用户更好地管理和使用Istio服务网格。具体推荐的产品和产品介绍链接如下：

腾讯云容器服务（Tencent Kubernetes Engine，TKE）：提供了基于Kubernetes的容器管理服务，支持Istio的部署和管理。详情请参考：腾讯云容器服务
腾讯云API网关：提供了灵活的API管理和流量控制功能，可以与Istio结合使用，实现更细粒度的流量控制和安全策略。详情请参考：腾讯云API网关

请注意，以上推荐的产品和服务仅作为参考，具体选择应根据实际需求和情况进行。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

六, 跨语言微服务框架 - Istio Ingress和Egress详解(解决Istio无法外网访问问题)

在微服务中另外一个重点就是网关,网关理论包含入口网关和出口网关,传统意义上的网关很难做到出口网络控制,但是对于Istio是一件非常轻松的事情(因为所有的出口流量都会经过Istio),入口网关控制解析路由数据流向,出口网关控制对外访问的限制,在Istio中使用了 Ingress和Egress 来实现网关的功能.

02

Istio边界流量-Ingress Gateway

传统上，Kubernetes使用Ingress控制器来处理从外部进入集群的流量。使用Istio时，情况不再如此。 Istio已用新的Gateway和VirtualServices资源替换了熟悉的Ingress资源。它们协同工作，将流量路由到网格中。在网格内部，不需要Gateway，因为服务可以通过集群本地服务名称相互访问。

03

Istio 入门（五）：访问控制和流量管理

主要演示了使用 Istio Gateway、VirtualService 对外暴露服务的访问地址，以及基于 Istio 实现可观察性的 Kiali 组件。让我们回在上一章中部署的 bookinfo 示例已经学习了什么：

05

10个 Istio 流量管理最常用的例子，你知道几个？

为了方便理解，以Istio官方提供的Bookinfo应用示例为例，引出 Istio 流量管理的常用例子。

01

《istio实战指南》第5章流量管理

第5章流量管理 ---- 流量管理中的规则配置要控制流量，就需要定义一些规则。Istio中定义了一个简单的配置模型，可以很方便地进行规则的配置。在示例练习前，需要先了解一下与规则配置相关的重要概念和基本的配置方法 Istio中定义了4种针对流量管理的配置资源定义路由规则，控制请求如何被路由到服务 VirtualService VirtualService的主要功能是定义路由规则，使请求（流量）可以依据这些规则被分发到对应的服务。路由的方式也有很多种，可以根据请求的源或目标地址路由，也可以根据路径、头信

02

Istio从A到Y

Istio 是一款开源服务网格，允许您连接、保护、控制和观察应用程序的服务。我们将了解如何安装 Istio，以及如何使用它来保护和监控我们的服务。

01

【译文连载】理解Istio服务网格（第三章流控）

第3章流控............................................................................................... 1

01

Istio 入门（七）：出入口网关 - 负载均衡和熔断等一系列功能

Istio 可以管理集群的出入口流量，当客户端访问集群内的应用时， Istio 可以将经过 istio-ingressgateway 的流量实现负载均衡和熔断等一系列功能。

02

Istio Helm Chart 详解 - 全局变量

我们在使用现有 Chart 的时候，通常都不会修改 Chart 的本体，仅通过对变量的控制来实现对部署过程的定制。Istio Helm Chart 提供了大量的变量来帮助用户进行定制。

03

istio-in-action - 03 最简单的isti VirtualService 和 k8s Ingress

可以简单的认为 Ingress 是 k8s 中提出的流量入口转发的一个标准定义规范（只是认为）。怎么实现，需要根据不同的 IngressController 的逻辑。

04

使用 Istio 实现非侵入流量治理

现在最火的后端架构无疑是微服务了，微服务将之前的单体应用拆分成了许多独立的服务应用，每个微服务都是独立的，好处自然很多，但是随着应用的越来越大，微服务暴露出来的问题也就随之而来了，微服务越来越多，管理越来越麻烦，特别是要你部署一套新环境的时候，你就能体会到这种痛苦了，随之而来的服务发现、负载均衡、Trace跟踪、流量管理、安全认证等等问题。如果从头到尾完成过一套微服务框架的话，你就会知道这里面涉及到的东西真的非常多。当然随着微服务的不断发展，微服务的生态也不断完善，最近新一代的微服务开发就悄然兴起了，那就是服务网格/Service Mesh。

03

Istio流量管理之请求路由分析

前面我们了解了 Gateway 和 VirtualService 资源对象的作用，以及它们是如何影响 Envoy 的配置的，那么这些资源对象又是如何影响流量的呢？通过 Istio 如何实现流量管理的呢？

05

Mesh5# Istio服务模型与流量治理要点

服务（Service）与版本（Version）：Istio中的服务在kubernetes中以service形式存在，可定义不同的服务版本。通过Deployment创建工作负载，通过Service关联这些负载，域名或者虚拟IP访问后端Pod。

03

三, 跨语言微服务框架 - Istio官方示例(自动注入.请求路由.流量控制.故障注入)

基础的Istio环境已经搭建完成,我们需要开始了解Istio提供作为微服务网格的各种机制,也就是本文标题的自动注入.请求路由.故障注入.流量切换,官方很给力的准备的实例项目也不需要大家自己编写demo来进行测试,那就来时跑跑看吧.

01

istio-in-action - 04 使用 istio Gateway 允许外部访问

在 Istio 中，还有一个 Gateway 的概念。顾名思义， Gateway 就是大门保安，只允许具有特定特征的流量通过。

02

五分钟k8s实战-Istio 网关

在上一期 k8s-服务网格实战-配置 Mesh 中讲解了如何配置集群内的 Mesh 请求，Istio 同样也可以处理集群外部流量，也就是我们常见的网关。

02

（译）HTTP Egress 流量的监控和访问策略管理

Istio 的主要功能就是在服务网格内部管理微服务之间的通信，除此之外，Istio 还能对 Ingress（从外部进入网格）和 Egress（从网格发出到外部）流量进行管理。不管是网格内部流量，还是 Ingress 或者 Egress 流量，Istio 都能够在其中进行访问策略的控制，并完成遥测数据的聚合工作。

02

Istio 的高级边缘流量控制（二）

上一节我演示了如何通过 Egress Gateway 引导 Istio 的出口 HTTP 流量，但到 443 端口的 HTTPS 流量没有通过 Egress Gateway，而是直接转到 edition.cnn.com 。Istio 出口流量的 TLS 演示了如何在网格内部直接通过 HTTP 协议访问外部加密服务。本文尝试将这两者结合起来，先将 HTTP 流量路由到 Egress Gateway，然后直接使用 Egress Gateway 发起 TLS 连接。

03

Istio 的高级边缘流量控制（一）

在上一篇文章 Istio 出口流量的 TLS 中，我演示了如何在网格内部直接通过 HTTP 协议访问外部加密服务，并揭示了其背后 Envoy 的配置逻辑。

02

【从小白到专家】Istio系列之二：核心组件介绍

Istio，被称作Kubernetes的最佳云原生拍档。我们推出“Istio技术实践”系列专题，在本专题中，将通过技术文章+视频授课的方式，为大家详细阐述Istio微服务治理，及在企业级云平台中的解决方案和实践。同时，您还可以申请试用灵雀云基于原生Istio和Kubernetes的微服务产品ASM！

03

Service Mesh在接入层流量管理的应用

[1] https://k8s.io/docs/concepts/services-networking/ingress

04

Istio Egress 出口网关使用

签名我们了解了位于服务网格内部的应用应如何访问网格外部的 HTTP 和 HTTPS 服务，我们学习了如何通过 ServiceEntry 对象配置 Istio 以受控的方式访问外部服务，这种方式实际上是通过 Sidecar 直接调用的外部服务，但是有时候我们可能需要通过专用的 Egress Gateway 服务来调用外部服务，这种方式可以更好的控制对外部服务的访问。

02

Istio路由管理简介

本文以Istio 1.3.0 在Kubernetes中的部署为例，结合其bookinfo例子(https://istio.io/docs/examples/bookinfo/#deploying-the-application)对Istio的 v1apha3 路由API进行简要的介绍。其中Istio采用了Evaluation Install(https://istio.io/docs/setup/install/kubernetes/)。正文内容需要读者对Kubernetes和Istio的基本概念有基本的了解。

04

【译文连载】理解Istio服务网格（第四章服务弹性）

第4章服务弹性................................................................................................ 1

02

istio-in-action - 10 VirtualService 实现 30x 路由重定向

在 VirtualService 配置中，除了 http rewrite 路由重写之外，还有 http redirect 路由重定向。即常说的 30x。

04

Istio v1aplha3 路由 AP

v1alpha3引入了以下这些新的配置资源来控制进入网格，网格内部和离开网格的流量路由。

01

Service Mesh · Istio · 以实践入门

本文是笔者在学习官方文档、相关博客文章和实践过程中，整理了一些知识概念和自己的思考，主要在探索 lstio 的实际应用场景， Sidecar 原理， Service Mesh 为什么出现、要解决什么问题等，帮助我们思考微服务技术架构的升级和落地的可行性。

02

Service Mesh - Istio流量控制篇（上）

路由这个功能是流量控制里面非常重要，也是最常用的一个功能。在Istio里一般通过Virtual Service（虚拟服务）以及Destination Rule（目标规则）这两个API资源进行动态路由的设置。

01

istio 常见异常分析

istio 支持多平台，不过 Istio 和 k8s 的兼容性是最优的，不管是设计理念，核心团队还是社区，都有一脉相承的意思。但 istio 和 k8s 的适配并非完全没有冲突, 一个典型问题就是 istio 需要 k8s service 按照协议进行端口命名(port naming)。

06

在 Istio 服务网格中使用 Argo Rollouts 实现智能的渐进式发布

Kubernetes 原生的 Deployment 利用 Rolling Update 滚动更新的策略在应用升级时提供基本的安全保证（例如就绪探针）。然而默认的滚动更新策略存在着一些明显的缺点，例如：

03

istio-ingressgateway 学习

除了支持 Kubernetes Ingress，Istio还提供了另一种配置模式，Istio Gateway。与Ingress相比，Gateway提供了更广泛的自定义和灵活性，并允许将 Istio 功能（例如监控和路由规则）应用于进入集群的流量。

02

istio 流量管理

Istio Bookinfo 示例包含四个独立的微服务，每个微服务都有多个版本。其中一个微服务 reviews 的三个不同版本已经部署并同时运行。为了说明这导致的问题，在浏览器中访问 Bookinfo 应用程序的 /productpage 并刷新几次。您会注意到，有时书评的输出包含星级评分，有时则不包含。这是因为没有明确的默认服务版本路由，Istio 将以循环方式请求路由到所有可用版本，此任务的最初目标是应用将所有流量路由到微服务的 v1 （版本 1）的规则。

01

在 Istio 服务网格内连接外部 MySQL 数据库

为了方便理解，以 Istio 官方提供的 Bookinfo 应用示例为例，利用 ratings 服务外部 MySQL 数据库。

02

Istio的流量管理(实操三)

涵盖官方文档Traffic Management章节中的egress部分。其中有一小部分问题(已在下文标注)待官方解决。

02

如何通过 Istio 实现微服务特性

在微服务架构中，应用程序是由多个相互连接的服务组成的，这些服务协同工作以实现所需的业务功能。所以，一个典型的企业级微服务架构如下所示：

02

Istio 入门(三)：体验 Istio、微服务部署、可观测性

在本章中，我们正式迈入学习 Istio 的第一步。因为 Istio 的知识体系是较为庞大的，因此我们可以先通过本章的入门教程快速了解如何使用 Istio 部署一套微服务，以及 Istio 核心功能的使用方法，了解 Istio 可以为微服务解决什么问题。

02

Istio 大入门 - Ingress

Istio 从 v1alpha3 开始，用 Ingress Gateway 组件替代了符合 Kubernetes 规范的 Ingress Controller，因此对入站流量具有了更大的控制能力，但是用法也有了较大不同。

03

istio解决了什么问题(istio k8s)

通过istio实现灰度发布，浏览器访问报404错误，但是通过curl传递一个Host请求头就能访问成功。

02

使用istio进行限流以及模拟故障

Istio 提供了一种称为 EnvoyFilter 的功能，它允许您在流量通过 Envoy 代理时执行自定义逻辑。使用 EnvoyFilter，您可以轻松地实现 Istio 中的限流功能。

01

《云原生服务网格Istio》第3章非侵入的流量治理

第3章非侵入的流量治理通过对本章的学习，可基于Istio的这些配置在不修改代码的情况下实现各种流量治理 ---- 3.1 Istio流量治理的原理流量治理是一个非常宽泛的话题动态修改服务间访问的负载均衡策略，比如根据某个请求特征做会话保持同一个服务有两个版本在线，将一部分流量切到某个版本上对服务进行保护，例如限制并发连接数、限制请求数、隔离故障服务实例等动态修改服务中的内容，或者模拟一个服务运行故障等在Istio中实现这些服务治理功能时无须修改任何应用的代码。Istio以一种更轻便、透明的方

03

Knative通过外部域名访问集群内服务

最近在搭建公司级的serverless平台，需要用到域名来访问内部服务，采取的是通过PATH来区分不同的服务

02

istio流量路由小试牛刀

下载https://github.com/istio/istio/releases/download/1.18.2/istio-1.18.2-osx-arm64.tar.gz

03

Istio简单介绍

Istio是一个开放平台，提供统一的方式来集成微服务，管理跨微服务的流量，执行策略和汇总遥测数据。Istio的控制面板在底层集群管理平台（如Kubernetes，Mesos等）上提供了一个抽象层

02

Getting Started and Beyond｜云原生应用负载均衡选型指南

冉昕，腾讯云服务网格TCM产品经理，现负责云原生流量接入网关与应用通信可观测性等产品特性策划与设计工作。

06

5个 Istio 访问外部服务流量控制最常用的例子，你知道几个？

5 个 Istio 访问外部服务的流量控制常用例子，强烈建议收藏起来，以备不时之需。

03

Istio边界流量-Ingress Gateway拓展用法

该应用由四个单独的微服务构成。这个应用模仿在线书店的一个分类，显示一本书的信息。页面上会显示一本书的描述，书籍的细节（ISBN、页数等），以及关于这本书的一些评论。

04

istio 数据面调试指南

这是使用 istio 最常见的困境：在微服务中引入 envoy 作为代理后，当流量访问和预期行为不符时，用户很难快速确定问题是出在哪个环节。客户端收到的异常响应，诸如 403、404、503 或者连接中断等，可能是链路中任一 sidecar 执行流量管控的结果，但也有可能是来自某个服务的合理逻辑响应。

03

Istio 大入门 — Egress Gateway

之前的 Service Entry 一文中讲到了 ServiceEntry 对象，让网格内部的应用在访问外部应用时，可以使用 VirtualService 进行部分控制。但是如果我们进一步尝试策略的话，会发现常用的 Denier 等适配器都是无效的（这点并没有经过官方验证）。这里就需要使用刚才说的 Egress Gateway 了。

02

【译文连载】理解Istio服务网格（第七章安全）

越来越多的现代云原生应用开发体系中都会有好几个独立的开发团队，每个团队采用不同的开发迭代周期，新功能以周或天为单位迭代上线，只对他们自己的任务负责。Istio的使命是从组成整个应用的所有微服务层面，确保一定程度的连续性。Isitio的关键能力之一是实施安全约束，同时对每个服务的逻辑代码透明。有了Istio代理后，你就可以在服务之间的网络层面施加这些约束。

02

istio框架(istio故障注入)

注：它们Pod标签都有app: nginx,service服务发现根据这个标签选择，version是为后面定义版本设置的

03

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭