我遇到了一个问题,两个应该具有不同工作负载选择器的EnvoyFilters应该应用于不同的Pod工作负载,而是同时应用于两个工作负载。
更具体地说,我正在使用Istio 1.4.9,并且在两个不同的命名空间中有两个相同部署工作负载的实例,每个工作负载都有一个附属工具。每个部署都应用了不同的标签。
kubectl get po --show-labels --all-namespaces -l app=myapp,namespace
NAMESPACE NAME ...truncated... LABELS
first myapp-58489c8fcd-kch9f ...truncated... app=myapp,namespace=first ...truncated...
second myapp-6f58dd65dd-tdjm7 ...truncated... app=myapp,namespace=second ...truncated...
我想将Lua EnvoyFilter的不同实例附加到每个名称空间中的每个工作负载,因此每个都有自己的过滤器。因此,例如,第一个名称空间的过滤器如下所示。第二个类似,但是工作负载选择器不同
apiVersion: networking.istio.io/v1alpha3
kind: EnvoyFilter
metadata:
name: first-myapp-filter
...truncated...
spec:
workloadSelector:
labels:
app: myapp
namespace: first
但是,我看到给定的工作量正在处理两个envoyfilters而不是仅与选择器匹配的过滤器。当我在第一个带有istioctl的命名空间中的Pod上侦听器时,它附加了两个过滤器。
"httpFilters": [
{"name": "envoy.lua", "config": {"inlineCode": "function ...truncated... end\n" }},
{"name": "envoy.lua", "config": {"inlineCode": "function ...truncated... end\n" }}
选择器似乎没有按照我期望的方式工作。有关如何调试的任何想法?
答案 0 :(得分:2)
我唯一想到的是您在config root namespace中定义了EnvoyFilter,而忽略了workloadSelector。
如果看到docs:
注3:* _要将EnvoyFilter资源应用于系统中的所有工作负载(边车和网关),请在config根名称空间中定义该资源,而不需要工作负载选择器。
尝试创建2个EnvoyFilter,在每个工作空间中每个存在您的工作负载的EnvoyFilter,然后删除原始的EnvoyFilter。像这样:
apiVersion: networking.istio.io/v1alpha3
kind: EnvoyFilter
metadata:
name: first-myapp-filter
namespace: first
spec:
workloadSelector:
labels:
app: myapp
namespace: first
...
和
apiVersion: networking.istio.io/v1alpha3
kind: EnvoyFilter
metadata:
name: second-myapp-filter
namespace: second
spec:
workloadSelector:
labels:
app: myapp
namespace: second
...
注意:您可能还想尝试其他标签。例如,app: myapp1,app: myapp2。