开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

TLSOption CipherSuites在Istio入口网关上不起作用

TLSOption CipherSuites是一种用于配置TLS连接的选项，它定义了加密套件的组合，用于确保通信的安全性和加密性。在Istio入口网关上，TLSOption CipherSuites可能不起作用的原因可能有以下几点：

版本不兼容：Istio入口网关可能使用的是不支持TLSOption CipherSuites的TLS版本。在这种情况下，需要检查Istio版本和所使用的TLS版本是否兼容，并根据需要进行升级或配置更高级别的TLS版本。
配置错误：可能是由于配置错误导致TLSOption CipherSuites不起作用。在这种情况下，需要仔细检查配置文件，确保正确地指定了所需的加密套件组合，并且没有其他配置错误。
依赖关系：Istio入口网关可能依赖于其他组件或服务，这些组件或服务可能会覆盖或修改TLS连接的配置。在这种情况下，需要检查是否有其他组件或服务对TLS连接进行了修改，并相应地调整配置。

对于以上问题，可以采取以下解决方法：

更新Istio版本：确保使用的Istio版本与所需的TLS版本兼容。可以参考腾讯云的Istio产品介绍（https://cloud.tencent.com/product/istio）了解最新版本和支持的TLS版本。
检查配置文件：仔细检查Istio入口网关的配置文件，确保正确地指定了所需的TLSOption CipherSuites，并且没有其他配置错误。可以参考腾讯云的Istio产品文档（https://cloud.tencent.com/document/product/649）获取更多配置指南。
排查依赖关系：检查是否有其他组件或服务对TLS连接进行了修改。如果存在这样的情况，需要相应地调整配置或与相关团队进行沟通，以确保TLSOption CipherSuites能够生效。

总结起来，要解决TLSOption CipherSuites在Istio入口网关上不起作用的问题，需要确保Istio版本与TLS版本兼容，正确配置TLSOption CipherSuites，并排查可能的依赖关系。

相关搜索:Istio:在每个节点上运行入口网关在集群外使用istio入口网关访问TCP端口在GKE的Istio入口网关中使用默认SSL证书云运行入口在某些网络上不起作用在我的AKS群集中的入口网关处验证客户端(非istio)证书获取文件路径并将其显示在toplevel小部件的入口上不起作用云服务器断网云服务器机型云服务器主页阿时云服务器

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

2019-12-27-traefik

cat <<EOF> traefik-dashboard-route-https.yaml

02

迈向 serverless 开发的第一步[每日前端夜话0xEE]

在本文的第一部分中，我们将讨论设置适合 Knative 0.6.0 版的开发环境。第二部分介绍第一个 serverless 微服务的部署。使用 Knative 创建 serverless 应用程序的基本要求是对 Kubernetes 的扎实知识。如果你没有经验，则应该学习官方的基本 Kubernetes 教程[1]。

01

istio 常见异常分析

istio 支持多平台，不过 Istio 和 k8s 的兼容性是最优的，不管是设计理念，核心团队还是社区，都有一脉相承的意思。但 istio 和 k8s 的适配并非完全没有冲突, 一个典型问题就是 istio 需要 k8s service 按照协议进行端口命名(port naming)。

06

规则换了没关系，照样优雅的查看答案

又到了全新的一个学期，又迎来了全新的学习。三篇教程似乎在全新的单元上不起作用。基于他们的要求，我又去重新寻找新的方法。在经过了近20分钟的寻找，我最终找到了一个全新的方法完美解决了问题，请看以下视频。

01

Istio 入门（七）：出入口网关 - 负载均衡和熔断等一系列功能

Istio 可以管理集群的出入口流量，当客户端访问集群内的应用时， Istio 可以将经过 istio-ingressgateway 的流量实现负载均衡和熔断等一系列功能。

02

使用 Jenkins X 渐进式交付

这是渐进式交付系列的第二篇文章，第一篇请看：Kubernetes 中的渐进式交付：蓝绿部署和金丝雀部署。

03

如何选择适合你的微服务 API 网关：对比 Kong、APISIX、Trk、Apigee 和其他网关

API 网关并非一个新兴的概念，在十几年前就已经存在了，它的作用主要是作为流量的入口，统一的处理和业务相关的请求，让请求更加安全、快速和准确的得到处理。它有以下传统的功能：

04

显示隐藏高德地图点标注的文本标签「建议收藏」

如下代码是百度地图通用的方法，显示隐藏文本标签，但是用在高德地图上不起作用，网上百度无果

02

Traefik 2.0 Now GA! Traefik V2真正来了！

没错，Traefik V2已经GA了，代表着Traefik v2已经在生产环境使用。进入官网https://traefik.io/ ，可以看到醒目的Traefik 2.0 Now GA。

01

关于PHP缓冲控制在IE浏览器下的应用

最近写程序的时候遇到一个问题，就是我用PHP控制浏览器缓冲，试了N次都无法实现想要的效果，具体程序见下面的代码：

01

Istio 使用 Gateway API 实现流量管理

Gateway API 是由 SIG-NETWORK 社区管理的开源项目，项目地址：https://gateway-api.sigs.k8s.io/。主要原因是 Ingress 资源对象不能很好的满足网络需求，很多场景下 Ingress 控制器都需要通过定义 annotations 或者 crd 来进行功能扩展，这对于使用标准和支持是非常不利的，新推出的 Gateway API 旨在通过可扩展的面向角色的接口来增强服务网络。

01

Qt(MinGW ) Windows下创建动态库

上一次和大家分享的是Linux下Qt创建共享库并链接共享库，这次和大家分享的是Windows下Qt创建共享库并链接共享库。大家肯定注意到标题中Qt后面括号中的minGW，为什么要加上minGW呢？先卖个关子，后面的介绍中会解释的。

01

网易严选的网关架构演进之路

严选自 2016 年诞生以来，不论从业务、技术还是体量，每年都在飞速发展。而作为严选对外服务的总入口，网关承接了主要的业务流量，保障着严选业务的稳定运行，并帮助业务进行更好的容灾和降级。

01

漫谈 API 网关与微服务框架差异

API 网关和微服务框架这两个概念，对于有 IaaS 基础，初涉 PaaS 的同学有可能容易混淆。我们试着从一些实例入手，来看看 API 网关和微服务框架的相同之处以及差异之处。

02

兑现 Service Mesh 的新价值：精确控制“爆炸半径”

软件是以持续迭代的方式去不断演进的。某种程度上，我们并不担心软件不完善，但担心软件的迭代速度太慢而影响了完善的速度。在分布式软件领域，如何快速、安全地验证新的软件版本一直是大家所关心并探索的。服务网格（Service Mesh）的出现将这个领域的探索推向了新的高度。“泳道”这一概念在分布式软件领域并非新词，只不过，这次我们是以服务网格为基础技术去构建，充分发挥云原生技术天然具备灵活治理流量的优势。

01

Istio入门——了解什么是服务网格以及如何在微服务体系中使用

最近几年，软件体系结构领域发生了巨大的变化。我们都见证了这一重大转变，就是将大型的整体应用程序和粗粒度应用程序分解为被称为微服务的细粒度部署单元，主要通过同步REST和gRPC接口以及异步事件和消息传递进行通信。这种架构的好处很多，但缺点同样明显。在“旧世界”中曾经很简单的软件开发过程，例如调试，概要分析和性能管理，现在变得复杂了一个数量级。此外，微服务架构也带来了自己独特的挑战。

04

Kubernetes Gateway API

初始的 Kubernetes 内部服务向外暴露，使用的是自身的 LoadBlancer 和 NodePort 类型的Service，在集群规模逐渐扩大的时候，这种 Service 管理的方式满足不了我们的需求，比如 NodePort 需要大量的端口难以维护，多了一层NAT，请求量大会对性能有影响；LoadBlancer 需要每个 Service 都有一个外部负载均衡器。接着 Kubernetes 提供了一个内置的资源对象 Ingress API 来暴露 HTTP 服务给外部用户，它的创建是为了标准化的将 Kubernetes 中的服务流量暴露给外部，Ingress API 通过引入路由功能，克服了默认服务类型 NodePort 和 LoadBalancer 的限制。在创建 Ingress 资源的时候通过 IngressClass 指定该网关使用的控制器，主要是靠 Ingress 控制器不断监听 Kubernetes API Server 中 IngressClass 以及 Ingress 资源的的变动，配置或更新入口网关和路由规则。IngressClass实现了网关与后台的解耦，但也有着很多的局限性。Ingress 配置过于简单，只支持 http 和 https 协议的服务路由和负载均衡，缺乏对其他协议和定制化需求的支持，而且 http 路由只支持 host 和 path 的匹配，对于高级路由只能通过注解来实现，当然这取决于 Ingress 控制器的实现方式，不同的 Ingress 控制器使用不同的注解，来扩展功能，使用注解对于 Ingress 的可用性大打折扣；路由无法共享一个命名空间的网关，不够灵活；网关的创建和管理的权限没有划分界限，开发需要配置路由以及网关。当然也有很多第三方的网关组件，例如 istio 和 apisix 等，提供了丰富的流量管理功能，如负载均衡、动态路由、动态 upstream、A/B测试、金丝雀发布、限速、熔断、防御恶意攻击、认证、监控指标、服务可观测性、服务治理等，还可以处理南北流量以及服务之间的东西向流量。对外提供路由功能，对内提供流量筛选，已经很好的满足了当下网络环境的所有需求。但对于小集群来说，这两个网关的部署成本有点高；而且太多类型的网关，不同的配置项、独立的开发接口、接口的兼容性、学习成本、使用成本、维护成本以及迁移成本都很高。急需一种兼容所有厂商 API 的接口网关。所以应运而生，Kubernetes 推出了 Gateway API。Gateway API 是 Kubernetes 1.19 版本引入的一种新的 API 规范，会成为 Ingress 的下一代替代方案。它有着 Ingress 的所有功能，且提供更丰富的功能，它支持更多的路由类型选择，除了 http路由外，还支持 tcp 以及 grpc 路由类型；它通过角色划分将各层规则配置关注点分离，实现规则配置上的解耦；并提供跨 namespace 的路由与网关支持使其更适应多云环境等。与 Ingress Api 工作类似的，Gateway Controller 会持续监视 Kubernetes API Server 中的 GatewayClass 和 Gateway 对象的变动，根据集群运维的配置来创建或更新其对应的网关和路由。API 网关、入口控制器和服务网格的核心都是一种代理，目的在于内外部服务通信。更多的功能并不等于更好的工具，尤其是在 Kubernetes 中，工具的复杂性可能是一个杀手。

03

Isito 入门（九）：安全认证

本章的内容主要是讲解服务间通讯的安全和集群外部访问内部服务的 jwt token 验证。

02

React Native 和iOS Simulator 那点事

React Native 和iOS Simulator 那点事尊重版权,未经授权不得转载本文出自:贾鹏辉的技术博客(http://www.devio.org) 本文出自《React Native学习笔记》@http://www.devio.org系列文章。问题1：使用React Native时按cmd+r无法reload js，cmd+d无法唤起 React Native开发菜单？不知大家是否有过这样的经历，用 React Native开发应用正不亦乐乎的时候，突然发现，cmd+r，cmd+

04

Binding(五):多路绑定

Binding不止能绑定一个源，它还能绑定多个源，这就是我们这节要讲的多路绑定：MultiBinding。

02

亲历者复盘：网易的 Envoy 网关选型、开发与改造

采访 | 蔡芳芳编辑 |王一鹏发现并应用一个性能卓越的、云原生、能适应至少未来五年架构趋势的 API 网关，现今已经成为基础架构团队的必做命题，否则整个基础设施架构可能是存在某些先天缺陷的，且维护成本相当之高。Envoy 正是在这种背景下走进大众视野，且非常契合各大技术团队的下一代网关“明星选手”。 Google、IBM、微软等跨国巨型企业对 Envoy 的使用已经相当深入，这种信任并非源于简单的，诸如“云原生”、“下一代”之类的噱头概念，而是可从其 TPS 表现获得更直观的印象。早在 2020

04

云原生时代的流量入口：Envoy Gateway

流量入口代理作为互联网系统的门户组件，具备众多选型：从老牌代理 HAProxy、Nginx，到微服务 API 网关 Kong、Zuul，再到容器化 Ingress 规范与实现，不同选型间功能、性能、可扩展性、适用场景参差不齐。当云原生时代大浪袭来，Envoy 这一 CNCF 毕业数据面组件为更多人所知。那么，优秀“毕业生”Envoy 能否成为云原生时代下流量入口标准组件？

03

从服务混乱到服务网格

嘉宾文章作者：Rob Richardson（@rob_rich），技术布道者，MemSQL；KavyaPearlman（@KavyaPearlman），全球网络安全策略师，Wallarm

01

istio1.9中新的外部授权策略

istio 中的授权策略为网格内部的服务提供访问控制。授权策略是快速、强大及被广泛使用的功能，自istio 1.4首次发布以来，我们进行了持续改进，以使策略更加灵活，包含 DENY action, 排除语义, X-Forwarded-For 头支持, 嵌套 JWT claim 支持等，这些功能提高了授权策略的灵活性，但是此模型仍然不支持许多用例，例如：

01

Service Mesh开源实现之Istio架构概览

在之前关于Service Mesh（服务网格）的系列文章中，我们从实战的角度分享了一些关于Istio的入门安装、服务发现、熔断限流及流量管理（灰度发布）等细节方面的内容（可参考文末推荐阅读）。

03

策略篇&访问策略 ❀ (5.4) 01. Explicit Web Proxy 显式web代理 ❀ 飞塔 (Fortinet) 防火墙

【简介】提供代理服务的计算机或其它类型的网络节点称为代理服务器，其具体过程为：客户端首先与代理服务器创建连接，接着发出一个对另外的目标服务器的文件或其它资源的连接请求，代理服务器通过与目标服务器连接或从缓存中取得请求的资源，并返回给客户端。通常在这个过程中，代理服务器可能改变客户端请求或服务器端响应的一些内容以满足各种代理需要。

01

Isito 入门（二）：Istio 的部署

本教程已加入 Istio 系列：https://istio.whuanle.cn

01

istio 1.7发布

•添加了 values.global.proxy.holdApplicationUntilProxyStarts config选项，它使sidecar注入器在pod容器列表的开始处注入sidecar，并将其配置为阻止所有其他容器的开始，直到代理就绪为止。默认情况下禁用此选项。(#11130)•新增了对用于客户端证书和CA证书的SDS支持，该证书用于使用DestinationRule从Egress Gateway发起的TLS/mTLS(#14039)

01

Istio边界流量-Ingress Gateway

传统上，Kubernetes使用Ingress控制器来处理从外部进入集群的流量。使用Istio时，情况不再如此。 Istio已用新的Gateway和VirtualServices资源替换了熟悉的Ingress资源。它们协同工作，将流量路由到网格中。在网格内部，不需要Gateway，因为服务可以通过集群本地服务名称相互访问。

03

traefik系列之一 | 简介、部署和配置

基于 centos7.9，docker-ce-20.10.18，kubelet-1.22.3-0， traefik-2.9.10

01

使用了 Service Mesh 后我还需要 API 网关吗？

如文章标题所示，本文通过对 Service Mesh 技术和 API 网关的对比，着重分析了两者的功能重合点和分歧点，解答了开发者的困惑，为如何进行技术选型和落地提供了指导思路。

01

Nacos架构与原理 -服务网格生态

要深入理解服务网格的概念，明确服务网格要解决的问题，以及认识服务网格带来的业务价值，需要从应用架构的演进发展从头开始讲起。

03

如何为服务网格选择入口网关？

在启用了Istio服务网格的Kubernetes集群中，缺省情况下只能在集群内部访问网格中的服务，要如何才能从外部网络访问这些服务呢？ Kubernetes和Istio提供了NodePort，LoadBalancer，Kubernetes Ingress，Istio Gateway等多种外部流量入口的方式，面对这么多种方式，我们在产品部署中应该如何选择？

03

LoadRunner12工具介绍（连载10）

随着手机APP用户量的增大，大量的手机APP一般都需要进行压力测试，LoadRunner 12可以对手机APP进行压力测试，总共有三种方法，下面逐一进行介绍。

03

Kong入口控制器和服务网格：Kubernetes设置入口到Istio

Kubernetes已经成为在服务中编排容器和服务的实际方法。但是我们如何让集群外部的服务访问集群内部的内容呢？Kubernetes附带了Ingress API对象，用于管理对集群内服务的外部访问。

01

ServiceMesh入门的起点：构建一个微服务网关

本文是在看了国外 Solo 公司 CTO 的博客之后整理的，本来是想按原文翻译，但是考虑到我自己在公司实践的思路，还是想把他的思路和我自己的思路做一些结合。所以本文中有部分内容是来自这位高手的思考，也有有我在公司实践中的思考。

02

关闭 Windows Defender 工具

从Vista开始，Windows Defender包含在Windows中。这是一小块软件，可在后台运行，以帮助保护您的计算机免受病毒，间谍软件和其他恶意软件（恶意软件）的侵害。潜在有害的软件。某些间谍软件防护总比没有防护好，而且它是内置的且免费的！但是……如果您已经在运行某些能够提供出色的反恶意软件保护功能，则防御者可能会浪费宝贵的资源，因此一次无需运行多个应用程序。

02

Service Mesh - Istio流量控制篇（上）

路由这个功能是流量控制里面非常重要，也是最常用的一个功能。在Istio里一般通过Virtual Service（虚拟服务）以及Destination Rule（目标规则）这两个API资源进行动态路由的设置。

01

又一个布局利器， CSS 伪类 :placeholder-shown

一般我们常见placeholder伪类选择器用来修改默认样式及文案，忽然发现placeholder-shown伪类选择器，比较官方的解释是

02

六, 跨语言微服务框架 - Istio Ingress和Egress详解(解决Istio无法外网访问问题)

在微服务中另外一个重点就是网关,网关理论包含入口网关和出口网关,传统意义上的网关很难做到出口网络控制,但是对于Istio是一件非常轻松的事情(因为所有的出口流量都会经过Istio),入口网关控制解析路由数据流向,出口网关控制对外访问的限制,在Istio中使用了 Ingress和Egress 来实现网关的功能.

02

微服务网关的基础职能——路由

网关（Gateway）这个词我们应该都很熟悉了，它在计算机科学中，尤其是计算机网络中十分常见，主要是用来表示位于内部区域边缘，与外界进行交互的某个物理或逻辑设备，比如你家里的路由器就属于家庭内网与互联网之间的网关。

02

macOS 0-day漏洞详情披露，可被利用完全接管系统

2017 年 12 月 31 日，一名推特账号为 Siguza 的安全研究人员公布了 macOS 0-day 漏洞的详情。该漏洞是一个本地提权漏洞，影响到所有 macOS 版本，主要涉及人机接口设备（

07

大三小白初次接触封闭式开发总结

前言：一晃眼都差不多11天没有更新了，差一点都以为自己松懈没有努力了，hhh...这几天去跟着一个项目组在酒店封闭式开发，经过了四天，今天算是回归学校实习的队伍中（时间冲突找了个人先替我去了学校安排的实习单位..），时间虽短，但是学习到了很多东西这里做一下简短的总结背景学院大三的期末似乎总是这样，会在6月初的时候不是自己出去找到实习，不然就会要求你去到学校安排的实习中去（自己选择实习的方向），所以在我选择了Java Web方向，第二天就准备去实习的时候，突然接触到了一个急需上线的项目（很急），他们

04

大三小白初次接触封闭式开发总结

学院大三的期末似乎总是这样，会在6月初的时候不是自己出去找到实习，不然就会要求你去到学校安排的实习中去（自己选择实习的方向），所以在我选择了Java Web方向，第二天就准备去实习的时候，突然接触到了一个急需上线的项目（很急），他们是从北京来的公司在这儿的酒店封闭式开发，需要我们工作室的人去跟进，我觉得机会难得；

07

APISIX 结合 Istio 实现全链路灰度

作者：苏万亮，中国移动云能力中心软件研发工程师，专注于云原生、微服务、算力网络等领域。

03

Istio的流量管理(实操三)

涵盖官方文档Traffic Management章节中的egress部分。其中有一小部分问题(已在下文标注)待官方解决。

02

在基于Node.js的微服务应用程序中实现API网关模式

随着组织采用基于微服务的应用程序，管理这些服务的多种和分布式性质变得越来越具有挑战性。

01

Istio 的配置分析

<message-details>字段包含关于解决问题的详细信息。当对于集群范围的资源(如namespace)时，会忽略namespace前缀。

02

一文读懂云原生网关

本文帮助大家读懂网关的基本概念，云原生网关的功能和规范，对比主流云原生网关产品做选型参考，限于篇幅，后续文章中会详细介绍几款主流网关的实现技术。

01

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭