istio upgrade from 1.4.6 -> 1.5.0 бросает istiod erros: удаленная ошибка: tls: сообщение об ошибке расшифровки - PullRequest
Новая
       33

istio upgrade from 1.4.6 -> 1.5.0 бросает istiod erros: удаленная ошибка: tls: сообщение об ошибке расшифровки

0 голосов
/ 16 марта 2020

Только что обновлен istio с 1.4.6 (штурвал) до istio 1.5.0 (istioctl) [Удалено istioctl и установлено с istioctl], но кажется, что журналы istiod продолжают выдавать следующее: 

2020-03-16T18:25:45.209055Z info    grpc: Server.Serve failed to complete security handshake from "10.150.56.111:56870": remote error: tls: error decrypting message
2020-03-16T18:25:46.792447Z info    grpc: Server.Serve failed to complete security handshake from "10.150.57.112:49162": remote error: tls: error decrypting message
2020-03-16T18:25:46.930483Z info    grpc: Server.Serve failed to complete security handshake from "10.150.56.160:36878": remote error: tls: error decrypting message
2020-03-16T18:25:48.284122Z info    grpc: Server.Serve failed to complete security handshake from "10.150.52.230:44758": remote error: tls: error decrypting message
2020-03-16T18:25:48.288180Z info    grpc: Server.Serve failed to complete security handshake from "10.150.57.149:56756": remote error: tls: error decrypting message
2020-03-16T18:25:49.108515Z info    grpc: Server.Serve failed to complete security handshake from "10.150.57.151:53970": remote error: tls: error decrypting message
2020-03-16T18:25:49.111874Z info    Handling event update for pod contentgatewayaidest-7f4694d87-qmq8z in namespace djin-content -> 10.150.53.50
2020-03-16T18:25:49.519861Z info    grpc: Server.Serve failed to complete security handshake from "10.150.57.91:59510": remote error: tls: error decrypting message
2020-03-16T18:25:50.133664Z info    grpc: Server.Serve failed to complete security handshake from "10.150.57.203:59726": remote error: tls: error decrypting message
2020-03-16T18:25:50.331020Z info    grpc: Server.Serve failed to complete security handshake from "10.150.57.195:59970": remote error: tls: error decrypting message
2020-03-16T18:25:52.110695Z info    Handling event update for pod contentgateway-d74b44c7-dtdxs in namespace djin-content -> 10.150.56.215
2020-03-16T18:25:53.312761Z info    Handling event update for pod dysonpriority-b6dbc589b-mk628 in namespace djin-content -> 10.150.52.91
2020-03-16T18:25:53.496524Z info    grpc: Server.Serve failed to complete security handshake from "10.150.56.111:57276": remote error: tls: error decrypting message

This также приводит к тому, что ни одна коляска не запускается и не дает сбой: 

2020-03-16T18:32:17.265394Z info    Envoy proxy is NOT ready: config not received from Pilot (is Pilot running?): cds updates: 16 successful, 0 rejected; lds updates: 0 successful, 0 rejected
2020-03-16T18:32:19.269334Z info    Envoy proxy is NOT ready: config not received from Pilot (is Pilot running?): cds updates: 16 successful, 0 rejected; lds updates: 0 successful, 0 rejected
2020-03-16T18:32:21.265214Z info    Envoy proxy is NOT ready: config not received from Pilot (is Pilot running?): cds updates: 16 successful, 0 rejected; lds updates: 0 successful, 0 rejected
2020-03-16T18:32:23.266159Z info    Envoy proxy is NOT ready: config not received from Pilot (is Pilot running?): cds updates: 16 successful, 0 rejected; lds updates: 0 successful,

Странно, но другие кластеры, которые я обновил go через штраф. Есть идеи, откуда может появиться эта ошибка? istioctl анализ работает отлично.

ошибка исчезает после уничтожения узлов (воссоздания), но istio-прокси все еще не работает с:

info прокси-посланник НЕ готов: конфигурация не получена от Pilot (запущен ли Pilot? ): обновления CD: 1 успешно, 0 отклонено; Обновления lds: 0 успешно, 0 отклонено

1 Ответ

0 голосов
/ 17 марта 2020

Насколько я знаю, начиная с версии 1.4.4, они добавляют обновление istioctl, которое следует использовать, когда вы хотите обновить istio с 1.4.x до 1.5.0.

Команда istioctl upgrade выполняет обновление Istio. Перед выполнением обновления он проверяет, соответствует ли установка Istio критериям приемлемости для обновления. Кроме того, он предупреждает пользователя, если обнаруживает какие-либо изменения в значениях профиля по умолчанию между версиями Istio.

Команда обновления также может выполнить понижение версии Istio.

См. Обновление istioctl ссылка на все опции, предоставляемые командой обновления istioctl. 

istioctl upgrade --help

Команда обновления проверяет соответствие требованиям версии обновления и, если это возможно, обновляет элемент управления Istio компоненты самолета на месте. Предупреждение: traffi c может быть прервано во время обновления. Убедитесь, что PodDisruptionBudgets определены для поддержания непрерывности обслуживания.

Я провел тест на кластере gcp с istio 1.4.6, установленным с istioctl, а затем использовал обновление istioctl с версии 1.5.0 и все работает нормально. 

kubectl get pods -n istio-system
NAME                                    READY   STATUS    RESTARTS   AGE
istio-ingressgateway-598796f4d9-lvzdb   1/1     Running   0          12m
istiod-7d9c7bdd6-mggx7                  1/1     Running   0          12m
prometheus-b47d8c58c-7spq5              2/2     Running   0          12m

Я проверил логи и сделал несколько простых примеров, и в istiod не было ошибок, как в вашем примере.

Необходимые условия для обновления istioctl 

Ensure you meet these requirements before starting the upgrade process:

Istio version 1.4.4 or higher is installed.

Your Istio installation was installed using istioctl.

Я предполагаю, что из-за различий между 1.4.x и 1.5.0 могут возникнуть некоторые проблемы, когда вы захотите использовать оба метода installatio, helm и istioctl , Лучшим вариантом будет установить istio 1.4.6 с istioctl, а затем обновить его до 1.5.0.

Я надеюсь, что это ответ на ваш вопрос. Дайте мне знать, если у вас есть еще вопросы.

...