开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

尝试在启用了sidecar的pods之间卷曲时，从特使处获取403禁止

在启用了sidecar的pods之间卷曲时，从特使处获取403禁止是因为特使（Envoy）作为sidecar代理，对于传入的请求进行了访问控制，拒绝了该请求。

在Kubernetes中，sidecar模式是一种常见的部署模式，其中一个或多个辅助容器（sidecar）与主容器（应用程序容器）共同运行在同一个Pod中。sidecar容器通常用于提供额外的功能，如日志收集、监控、安全代理等。

当启用了sidecar的pods之间进行卷曲（即通过共享卷进行文件传输）时，特使作为sidecar代理会拦截传入的请求，并根据配置进行访问控制。在这种情况下，从特使处获取403禁止表示特使拒绝了该请求的访问权限。

要解决这个问题，可以进行以下步骤：

检查特使的配置：查看特使的配置文件，确保没有对该请求进行显式的拒绝或访问控制规则。
检查特使的访问策略：特使通常使用访问策略（Access Policy）来控制请求的访问权限。检查特使的访问策略配置，确保该请求的访问权限被正确配置。
检查特使的身份验证和授权配置：特使可能会使用身份验证和授权机制来验证和授权请求。确保该请求的身份验证和授权配置正确，并且请求的身份被正确识别和授权。
检查特使的网络策略：特使可能会使用网络策略（Network Policy）来限制请求的网络访问。检查特使的网络策略配置，确保该请求的网络访问被正确配置。
检查特使的日志：查看特使的日志，了解特使为什么拒绝了该请求的访问权限。特使的日志通常包含有关请求被拒绝的详细信息，如拒绝原因、访问规则等。

针对以上问题，腾讯云提供了一系列与容器相关的产品和服务，如腾讯云容器服务（Tencent Kubernetes Engine，TKE）、腾讯云容器镜像服务（Tencent Container Registry，TCR）等。这些产品和服务可以帮助用户轻松管理和部署容器化应用，并提供了丰富的功能和工具来解决容器化应用中的各种问题。

更多关于腾讯云容器服务的信息，请访问以下链接：

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

Istio从A到Y

Istio 是一款开源服务网格，允许您连接、保护、控制和观察应用程序的服务。我们将了解如何安装 Istio，以及如何使用它来保护和监控我们的服务。

01

使用服务网格增强安全性：Christian Posta探索Istio的功能

Istio帮助使“服务网格”概念变得更加具体和可访问，随着Istio 1.0的最新发布，我们可以预期人们对它的兴趣会激增。Jasmine Jaksic在InfoQ之前的一篇文章中很好地介绍了Istio和服务网格，因此我想借此机会介绍Istio的一个特定领域，它将为云服务和应用程序的开发人员和运营商带来巨大的价值:安全性

02

译文：重磅消息 - Istio 引入 Ambient Mesh 模式

译者按：Istio 于2022年9月7日宣布了一种全新的数据平面模式 “ambient mesh”（ambient 意思是“环境的”，这里指 ambient mesh 使用了环境中的共享代理而不是 sidecar，下文直接使用英文原文），简单地讲就是将数据面的代理从应用 pod 中剥离出来独立部署，以彻底解决 mesh 基础设施和应用部署耦合的问题。该变化是 Istio 自创建以来的第二次大的架构变动，也说明 Istio 社区在持续创新，以解决 service mesh 生产中面临的实际问题。

02

Dapr 可观测性之分布式追踪

在构建应用程序时，了解系统的行为方式是运维它的重要部分——这包括能够观察应用程序的内部调用、衡量其性能并在问题发生时能够立即找到问题。这对任何系统来说都是具有挑战性的，对于由多个微服务组成的分布式系统更是如此，其中由多个调用组成的流可能在一个微服务中开始，但在另一个微服务中继续调用。可观测性在生产环境中至关重要，在开发过程中对于了解瓶颈、提高性能和跨微服务执行基本调试也很有用。

01

外包精通--Istio Egress Gateway 之外部服务访问

由于所有来自启用了istio的pod的出站流量在默认情况下都被重定向到它的sidecar代理，所以在集群外部访问url取决于代理的配置。默认情况下，Istio将特使代理配置为传递未知服务请求。尽管这为开始使用Istio提供了一种方便的方法，但是配置更严格的控制通常是可取的。

03

（译）自己的 Kubernetes 控制器（2）——用 Java 开发

前面文章中，我们大概描述了开发自定义 Kubernetes 控制器的基础内容。其中我们提到，只要能够使用 HTTP/JSON 就可以满足开发需求。本文中就言归正传开始开发。

01

在 istio 中使用 namespace 进行资源/租户隔离

PaaS 场景中，需要在集群中给客户提供容器部署他们自己开发的代码，如果使用命名空间来表示租户，则需要有效隔离租户，让隔壁的租户无法访问本租户的资源。下面的一些策略可以用来实现这种能力。

06

Kubernetes v1.30 新特性一览

Kubernetes v1.30 是 2024 年发布的第一个大版本，包含了 45 项主要的更新。对比去年的话，v1.27 有近 60 项，v1.28 有 46 项，v1.29 有 49 项。可以看到 Kubernetes 变得更加谨慎了，会更加保守的控制进入其核心的功能。

01

（译）Istio Sidecar 注入：例外和除错

Kubernetes 环境下的 Istio 使用了 Sidecar 模型进行部署，把一个辅助容器（也就是 Sidecar）附加到业务 Pod 之中。这一过程让 Sidecar 容器和业务容器共享同样的网络栈，可以视为同一主机上的两个进程。这样一来，Istio 就能够接管业务应用的所有网络调用，就有了增强服务间通信能力的基础。

02

Kubernetes 1.28：介绍原生 Sidecar 容器

作者 Todd Neal (AWS), Matthias Bertschy (ARMO), Sergey Kanzhelev (Google), Gunju Kim (NAVER), Shannon Kularathna (Google)

04

将Coolstore微服务引入服务网格：第1部分 - 探索自动注入

随着业界走向云端原生微服务的幻灭之谷，我们最终明白分布式架构会带来更多的复杂性（奇怪吧？），服务网格可以帮助软化着陆，将一些复杂性从我们的应用程序中移出，并将它放置在应用程序的操作层中。

05

最牛逼的集群监控系统，它始终位列第一！

点击关注公众号，Java干货及时送达在本文中，我们将看到Prometheus监控技术栈的局限性，以及为什么移动到基于Thanos的技术栈可以提高指标留存率并降低总体基础设施成本。用于此演示的内容可以在下面链接中获取，并提交到他们各自的许可证。 https://github.com/particuleio/teks/tree/main/terragrunt/live/thanos https://github.com/particuleio/terraform-kubernetes-addons/tre

02

快速上手Thanos：高可用的 Prometheus

在一个成千上万的服务和应用程序部署在多个基础设施中的世界中，在高可用性环境中进行监控已成为每个开发过程的重要组成部分。

01

外包精通--Istio架构

Istio中的交通分为数据平面交通和控制平面交通。数据平面流量是指工作负载的业务逻辑发送和接收的消息。控制平面交通是指在Istio组件之间发送的配置和控制消息来对网格的行为进行编程。Istio中的流量管理专门指数据平面流量。

00

Istio安全-认证(istio 系列七)

首先了解istio的认证策略和相关的mutual TLS认证概念，然后使用default配置安装istio

02

istio部署模型

当配置一个生产级别的Istio时，需要解决一些问题：如网格是单集群使用，还是跨集群使用？所有的服务会放到一个完全可达的网络中，还是需要网关来连接跨网络的服务？使用一个控制面(可能会跨集群共享一个控制面)，还是使用多个控制面来实现高可用(HA)？所有的集群都连接到一个多集群服务网格，还是联合成一个多网格形态。

02

Service Mesh: Istio vs Linkerd

根据CNCF的最新年度调查，很明显，很多人对在他们的项目中使用服务网格表现出了浓厚的兴趣，并且许多人已经在他们的生产中使用它们。近69％的人正在评估Istio，64％的人正在研究Linkerd。Linkerd是市场上第一个服务网格，但是Istio使服务网格更受欢迎。这两个项目都是最前沿的，而且竞争非常激烈，因此选择一个项目是一个艰难的选择。在此博客文章中，我们将了解有关Istio和Linkerd体系结构，其运动部件的更多信息，并比较其产品以帮助您做出明智的决定。

02

Istio路由管理简介

本文以Istio 1.3.0 在Kubernetes中的部署为例，结合其bookinfo例子(https://istio.io/docs/examples/bookinfo/#deploying-the-application)对Istio的 v1apha3 路由API进行简要的介绍。其中Istio采用了Evaluation Install(https://istio.io/docs/setup/install/kubernetes/)。正文内容需要读者对Kubernetes和Istio的基本概念有基本的了解。

04

Kubernetes 中分析调试网络流量的4种方式

在当今世界, 分布式系统, 微服务/SOA架构遍地, 服务之间的许多交互和通信都不再是同一主机的不同线程或进程, 而是跨主机, 甚至跨网络区域. 那么一旦相关服务出现问题, 我们就会需要调试服务间的通讯, 主机间的网络...

05

干货 | 携程 SOA 的 Service Mesh 架构落地

作者简介本文作者 Dozer、Bender、vio-lin 来自携程 SOA 团队。目前主要负责 SOA 系统的研发工作和 Service Mesh 架构的演进、落地工作，同时也关注服务治理、JVM、云原生等技术领域。一、背景携程的 SOA 系统经历了 ESB、微服务等架构的演变，正处于一个较平稳的阶段。但当前的微服务架构却遇到了各种业内经常遇到的问题，例如： 1）无法支撑多语言战略，团队没有精力维护除了 Java 以外其他语言的 SDK； 2）客户端 SDK 版本升级推进困难，特别是遇到 Bug

02

Istio Helm Chart 详解 - Pilot

值得注意的是 Pilot 的资源设置，缺省 CPU 500m，内存 2G，比其它组件来说是比较大的。这里还特意注明，这是针对小负载情况的。

02

istio1.9中新的外部授权策略

istio 中的授权策略为网格内部的服务提供访问控制。授权策略是快速、强大及被广泛使用的功能，自istio 1.4首次发布以来，我们进行了持续改进，以使策略更加灵活，包含 DENY action, 排除语义, X-Forwarded-For 头支持, 嵌套 JWT claim 支持等，这些功能提高了授权策略的灵活性，但是此模型仍然不支持许多用例，例如：

01

kubernetes 中的增强特性(Kubernetes Enhancement Proposal)

kubernetes 增强特性(kep)是为了解决社区中的疑难问题而创建的一个项目，每一个增强特性都对 kubernetes 的部分功能有较大的影响，需要 kubernetes 项目下的多个组(SIG)协作开发，对应的特性通常要经过 alpha、beta以及 GA 三个版本，所以每个方案的开发周期比较长，大多需要经过 9~10 个月才能完成，某些特性甚至已经讨论多年至今仍未开发完成，像 crd、dry-run、kubectl diff、pid limit 等已经开发完成的功能都是在 kep 中提出来的。本文会介绍几个比较重要的已经在 kep 中孵化的特性。

01

Istio 安全基础

安全是一个非常重要的话题，但也是平时容易被忽略的一个话题，我们在开发应用的时候，往往会忽略安全，但是当应用上线后，安全问题就会暴露出来，这时候就会造成很大的损失。Istio 通过在服务之间注入 Sidecar 代理，来实现对服务之间的流量进行控制和监控，从而实现服务之间的安全通信。

01

Istio 的配置分析

<message-details>字段包含关于解决问题的详细信息。当对于集群范围的资源(如namespace)时，会忽略namespace前缀。

02

Istio 服务网格：深入学习网络流量和架构

作者 | Kasun Talwatta 译者 | 张卫滨策划 | marsxxl 本文首先介绍了 Istio 的基础知识，然后结合实际的样例阐释了 Istio 是如何将 sidecar 容器注入到 Kubernetes 集群中，并实现流量拦截的。本文最初发表于 Solo 官方博客，经原作者 Kasun Talwatta 授权，由 InfoQ 中文站翻译分享。像 Istio 这样的服务网格项目会为我们的架构引入很多的特性和收益，包括更安全地管理集群中微服务之间的流量、服务发现、请求路由以及

02

istio-cni详解

Istio 在网格中部署的Pod中注入initContainer，istio-init。该istio-init容器设置荚的网络流量重定向到/从Istio三轮代理。这就要求将用户或服务帐户部署到网格上的Pod具有足够的Kubernetes RBAC权限才能部署具有NET_ADMIN和NET_RAW功能的容器。对于某些组织的安全合规性，要求Istio用户具有提升的Kubernetes RBAC权限是有问题的。Istio CNI插件是istio-init执行相同网络功能但不要求Istio用户启用提升的Kubernetes RBAC权限的容器的替代。

02

Istio 网络：深入了解流量和架构

像 Istio 这样的服务网格项目为我们的架构引入了许多功能和优势，包括更安全地管理集群微服务之间的流量、服务发现、请求路由以及服务之间的可靠通信。

04

微服务 - 从想法到迈出第一步

原文作者：Michael Douglass 原文地址：https://codeburst.io/microservices-from-idea-to-starting-line-d6e8cd5e9bb

02

一文搞懂 4 种常用的 Kubernetes 容器

截止目前 Kubernetes 1.18，Kubernetes 已经支持标准容器，Sidecar 容器，Init 容器，Ephemeral 容器 4 种类型的 Containers。本文我们详细介绍一下这 4 种容器的特性以及使用场景。

05

Istio 升级新方式：金丝雀升级

自 1.5 版本开始，Istio 就弃用了之前使用 Helm 的安装方式。而 1.6 发布也有一段时间了，目前都已经到了 1.6.4 版本，就升级部分，Istio 1.6 推出了渐进式的升级方式：金丝雀升级，为相对头疼的 Istio 升级问题提供了一种解决方案。

01

Cilium服务网格的下一代双向认证

该文为前期热门文章《eBPF将如何提供服务网格解决方案--告别sidecar》的后续。其介绍了Cilium提供非sidecar模式的服务网格的解决方案。在本篇文章中，我们将目光扩展到mTLS的主题上，并研究Cilium如何提供基于mTLS非sidecar模式的双向认证，其同时具备出色的安全性和性能优势。

02

Dapr 可观测性之指标与日志

前面我们了解了 Dapr 可观测性中的分布式追踪部分的支持，本文我们将来介绍下指标和日志这方面的支持。

02

使用 Istio 实现非侵入流量治理

现在最火的后端架构无疑是微服务了，微服务将之前的单体应用拆分成了许多独立的服务应用，每个微服务都是独立的，好处自然很多，但是随着应用的越来越大，微服务暴露出来的问题也就随之而来了，微服务越来越多，管理越来越麻烦，特别是要你部署一套新环境的时候，你就能体会到这种痛苦了，随之而来的服务发现、负载均衡、Trace跟踪、流量管理、安全认证等等问题。如果从头到尾完成过一套微服务框架的话，你就会知道这里面涉及到的东西真的非常多。当然随着微服务的不断发展，微服务的生态也不断完善，最近新一代的微服务开发就悄然兴起了，那就是服务网格/Service Mesh。

03

Kubernetes 微服务最佳实践

原文作者：ryan4yin，🔗： https://thiscute.world/posts/kubernetes-best-practices/ 本文主要介绍我个人在使用 Kubernetes 的过程中，总结出的一套「Kubernetes 配置」，是我个人的「最佳实践」。其中大部分内容都经历过线上环境的考验，但是也有少部分还只在我脑子里模拟过，请谨慎参考。阅读前的几个注意事项：这份文档比较长，囊括了很多内容，建议当成参考手册使用，先参照目录简单读一读，有需要再细读相关内容。这份文档需要一定的 Kube

03

最牛逼的集群监控系统！它始终位列第一

Prometheus 是 Kubernetes 中默认的监控方案，它专注于告警和收集存储最近的监控指标。但在一定的集群规模下，Prometheus 也暴露出一些问题。例如：

02

Envoy架构概览(5):负载均衡

负载均衡当过滤器需要获取到上游群集中主机的连接时，群集管理器使用负载平衡策略来确定选择哪个主机。负载平衡策略是可插入的，并且在配置中以每个上游集群为基础进行指定。请注意，如果没有为群集配置活动的运行状况检查策略，则所有上游群集成员都认为是正常的。支持的负载平衡器循环赛(Round robin) 这是一个简单的策略，每个健康的上游主机按循环顺序选择。加权最低要求请求最少的负载均衡器使用O（1）算法来选择两个随机健康主机，并挑选出活动请求较少的主机。（研究表明，这种方法几乎与O（N）全扫描一

07

如何封禁IP和IP段？看完这篇我会了！！

Nginx不仅仅只是一款反向代理和负载均衡服务器，它还能提供很多强大的功能，例如：限流、缓存、黑白名单和灰度发布等等。在之前的文章中，我们已经介绍了Nginx提供的这些功能。今天，我们来介绍Nginx另一个强大的功能：禁用IP和IP段。

02

为微服务引入Istio服务网格（上）

版权说明：本文由高晓雪参照如下文档翻译。魏新宇根据高晓雪的翻译文档，做了适当的注解和文字矫正。 https://developers.redhat.com/download-manager/file/istio_mesh_for_microservices_r1.pdf 本文适合对istio的读者提供泛读参考，对istio理解较深的读者，建议直接阅读英文原文。本系列分上下两篇：上篇为1-3章内容，下篇为4-7章内容。目录为微服务引入Istio服务网格 1.介绍 1.1.更快的挑战 1.2.认识Ist

03

手摸手带你在Windows系统中安装Istio

通过负载均衡、服务间的身份验证、监控等方法，Istio 可以轻松地创建一个已经部署了服务的网络，而服务的代码只需很少更改甚至无需更改。

03

Istio sidecar 注入分析

用户空间Pod要想加入服务网格, 首先需要注入sidecar container, istio 提供了2种方式实现注入:

02

9 张图带你搞懂 Istio

Istio 是一个服务网格，它允许在集群中的 pods 和服务之间进行更详细、复杂和可观察的通信。

02

Kubernetes 集群日志和 EFK 架构日志方案

https://devopscube.com/kubernetes-logging-tutorial/

03

[译]深入剖析 Kubernetes MutatingAdmissionWebhook

对于在数据持久化之前，拦截到 Kubernetes API server 的请求， Admissioncontrollers 是非常有用的工具。然而，由于其需要由集群管理员在 kube-apiserver 中编译成二进制文件，所以使用起来不是很灵活。从 Kubernetes 1.7 起，引入了 Initializers 和 ExternalAdmissionWebhooks，用以解决这个问题。在 Kubernetes 1.9 中， Initializers 依然停留在 alpha 版本，然而 ExternalAdmissionWebhooks 被提升到了 beta 版，且被分成了 MutatingAdmissionWebhook 和 ValidatingAdmissionWebhook。

06

Kuma 1.0 版本正式发布

Kuma 1.0（https://kuma.io）版本已经 GA 了，包含了 70 多种新功能和改进。Kuma 是一个现代的通用服务网格控制平面，基于 Envoy 搭建，Envoy 是一个为云原生应用设计的强大的代理软件。

01

爬虫系统化课程kubernetes插件开发的六大方向(上)

kubernetes 已经成为云原生的行业标准，现在几乎所有行业所有公司的所有业务都在基于云进行部署，拓展。但是很多咨询学员其实对于云原生并不太感冒，觉得挺没技术含量的，yml 文件或者 yaml 文件相较于市面上存在的其它语言，它属于声明式的，不需要太多逻辑，就是一个通过不断使用就可以熟练的过程，纯记忆的东西，毫无艺术可言，掌握这些东西，并不会对自己的开发思维和编码能力带来影响。

01

使用 Thanos 实现 Prometheus 的高可用

前面我们已经学习了 Prometheus 的使用，了解了基本的 PromQL 语句以及结合 Grafana 来进行监控图表展示，通过 AlertManager 来进行报警，这些工具结合起来已经可以帮助我们搭建一套比较完整的监控报警系统了，但是也仅仅局限于测试环境，对于生产环境来说则还有许多需要改进的地方，其中一个非常重要的就是 Prometheus 的高可用。

03

Prometheus + Thanos 多集群架构监控

在本文中，我们将看到Prometheus监控技术栈的局限性，以及为什么移动到基于Thanos的技术栈可以提高指标留存率并降低总体基础设施成本。

03

Istio Helm Chart 详解 - Mixer

Mixer 是 Istio 的核心组件之一，负责服务网格中的遥测和策略两部分重要功能，因此 Mixer 的部署也分成了 Policy 和 Telemetry 两部分。

02

Istio实战——流量管理

通过配置路由调整服务之间的流量，支持AB测试，金丝雀测试和流量百分比分发，支持断路器，超时和重试。

02

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭