ConfigMap系@リソース定義¶
はじめに¶
本サイトにつきまして、以下をご認識のほど宜しくお願いいたします。
01. 専用ConfigMap¶
Istioの各コンポーネントの機密でない変数やファイルを管理する。
02 istio-ca-root-cert¶
istio-ca-root-certとは¶
Istiodコントロールプレーン (discoveryコンテナ) による中間認証局を使用する場合に、istio-ca-root-certを自動的に作成する。
ルート認証局から発行されたCA証明書 (ルート証明書) をもち、各マイクロサービスのPodにマウントされる。
各マイクロサービスに配布された証明書を検証するために使用される。
Istioコントロールプレーンのログから、CA証明書の作成を確認できる。
2025-01-26T11:21:09.391516Z info initializing Istiod DNS certificates host: istiod-1-24-2.istio-system.svc, custom host:
2025-01-29T11:43:03.694183Z info Generating istiod-signed cert for [istio-pilot.istio-system.svc istiod-1-24-2.istio-system.svc istiod-remote.istio-system.svc istiod.istio-system.svc]:
-----BEGIN CERTIFICATE-----
*****
-----END CERTIFICATE-----
root-cert.pem¶
▼ root-cert.pemとは¶
CA証明書 (ルート証明書) を設定する。
kind: ConfigMap
apiVersion: v1
metadata:
name: istio-ca-root-cert
namespace: app # マイクロサービスのNamespace
data:
root-cert.pem: |
-----BEGIN CERTIFICATE-----
*****
-----END CERTIFICATE-----
03. istio-cni-config¶
kind: ConfigMap
apiVersion: v1
metadata:
name: istio-cni-config
namespace: kube-system
data:
CURRENT_AGENT_VERSION: 1.24.2
AMBIENT_ENABLED: true
AMBIENT_DNS_CAPTURE: false
AMBIENT_IPV6: true
CHAINED_CNI_PLUGIN: true
EXCLUDED_NAMESPACES: kube-system
REPAIR_ENABLED: true
REPAIR_LABEL_PODS: false
REPAIR_DELETE_PODS: false
REPAIR_REPAIR_PODS: true
REPAIR_INIT_CONTAINER_NAME: istio-validation
REPAIR_BROKEN_POD_LABEL_KEY: cni.istio.io/uninitialized
REPAIR_BROKEN_POD_LABEL_VALUE: true
04. istio-mesh-cm (istio-<バージョン値>)¶
istio-mesh-cmとは¶
Istiodコントロールプレーン (discoveryコンテナ) のため、全てのistio-proxyコンテナにグローバルに設定する変数を管理する。
apiVersion: v1
kind: ConfigMap
metadata:
name: istio-mesh-cm
namespace: istio-system
data:
mesh: |
代わりに、IstioOperatorの.spec.meshConfigキーで定義することもできるが、これは非推奨である。
# これは非推奨
apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
metadata:
name: istio-operator
namespace: istio-system
spec:
meshConfig: ...
accessLogEncoding¶
▼ accessLogEncodingとは¶
istio-proxyコンテナで作成するアクセスログのファイル形式を設定する。
apiVersion: v1
kind: ConfigMap
metadata:
name: istio-mesh-cm
namespace: istio-system
data:
mesh: |
accessLogEncoding: JSON
accessLogFile¶
▼ accessLogFileとは¶
istio-proxyコンテナで作成するアクセスログの出力先を設定する。
設定しないと、Envoyはアクセスログを出力しない。
apiVersion: v1
kind: ConfigMap
metadata:
name: istio-mesh-cm
namespace: istio-system
data:
mesh: |
accessLogFile: /dev/stdout
caCertificates¶
▼ caCertificatesとは¶
ルート認証局のCA証明書や、中間認証局名を設定する。
apiVersion: v1
kind: ConfigMap
metadata:
name: istio-mesh-cm
namespace: istio-system
data:
mesh: |
defaultConfig:
proxyMetadata:
ISTIO_META_CERT_SIGNER: istio-system
caCertificates:
# ルート認証局のCA証明書
- pem: |
Ci0tLS0tQk...
# 中間認証局名
certSigners:
- clusterissuers.cert-manager.io/istio-system
- clusterissuers.cert-manager.io/foo
- clusterissuers.cert-manager.io/bar
discoverySelectors¶
▼ discoverySelectorsとは¶
ENHANCED_RESOURCE_SCOPINGを有効化し、IstiodコントロールプレーンがwatchするNamespaceを限定する。
これは、サイドカーをインジェクションするistio.io/revキーよりも強い影響力がある。
例えば、サイドカーをインジェクションしているNamespaceのみをwatchすることにより、Istiodコントロールプレーンの負荷を下げられる。
apiVersion: v1
kind: ConfigMap
metadata:
name: istio-mesh-cm
namespace: istio-system
data:
mesh: |
discoverySelectors:
- matchLabels:
istio.io/rev: default
outboundTrafficPolicy¶
▼ outboundTrafficPolicyとは¶
サービスメッシュ外へのリクエストの宛先の種類 (PassthroughCluster、BlackHoleCluster) を設定する。
▼ ALLOW_ANY (デフォルト)¶
サービスメッシュ外へのリクエストの宛先を、デフォルトでPassthroughClusterとして扱う。
また、ServiceEntryとして登録した宛先には固有の名前がつく。
apiVersion: v1
kind: ConfigMap
metadata:
name: istio-mesh-cm
namespace: istio-system
data:
mesh: |
outboundTrafficPolicy:
mode: ALLOW_ANY
▼ REGISTRY_ONLY¶
サービスメッシュ外へのリクエストの宛先を、デフォルトでBlackHoleCluster (502 Bad Gatewayで通信負荷) として扱う。
また、ServiceEntryとして登録した宛先には固有の名前がつく。
サービスメッシュ外への通信のたびにServiceEntryを作成しなければならず、少しめんどくさくなる。
apiVersion: v1
kind: ConfigMap
metadata:
name: istio-mesh-cm
namespace: istio-system
data:
mesh: |
outboundTrafficPolicy:
mode: REGISTRY_ONLY
defaultConfig¶
▼ defaultConfigとは¶
Istioの全てのコンポーネントに適用する変数のデフォルト値を設定する。
各Podで個別に設定したい場合、.metadata.annotations.proxy.istio.io/configキーにオプションを設定する。
meshConfig:
defaultConfig:
discoveryAddress: istiod:15012
annotations:
proxy.istio.io/config: |
discoveryAddress: istiod:15012
▼ discoveryAddress¶
apiVersion: v1
kind: ConfigMap
metadata:
name: istio-mesh-cm
namespace: istio-system
data:
mesh: |
defaultConfig:
discoveryAddress: istiod-<リビジョン番号>.istio-system.svc:15012
▼ enablePrometheusMerge¶
apiVersion: v1
kind: ConfigMap
metadata:
name: istio-mesh-cm
namespace: istio-system
data:
mesh: |
defaultConfig:
enablePrometheusMerge: true
▼ holdApplicationUntilProxyStarts¶
apiVersion: v1
kind: ConfigMap
metadata:
name: istio-mesh-cm
namespace: istio-system
data:
mesh: |
defaultConfig:
holdApplicationUntilProxyStarts: true
▼ image¶
istio-proxyコンテナのコンテナイメージのタイプを設定する。
これは、ConfigMapではなくProxyConfigでも設定できる。
distroless型を選ぶと、istio-proxyコンテナにログインできなくなり、より安全なイメージになる。
一方で、デバッグしにくくなる。
apiVersion: v1
kind: ConfigMap
metadata:
name: istio-mesh-cm
namespace: istio-system
data:
mesh: |
defaultConfig:
image:
imageType: distroless
istio-cniでも、Helmチャートで別に設定すれば、distroless型を選べる。
▼ proxyMetadata¶
istio-proxyコンテナに環境変数を設定する。
apiVersion: v1
kind: ConfigMap
metadata:
name: istio-mesh-cm
namespace: istio-system
data:
mesh: |
defaultConfig:
proxyMetadata:
...
▼ rootNamespace¶
apiVersion: v1
kind: ConfigMap
metadata:
name: istio-mesh-cm
namespace: istio-system
data:
mesh: |
defaultConfig:
rootNamespace: istio-system
▼ tracing (非推奨)¶
いずれのトレース仕様 (例:Zipkin、Datadog、LightStepなど) でトレースIDとスパンIDを作成するかを設定する。
ZipkinとJaegerはトレースコンテキスト仕様が同じであるため、zipkinパッケージをJaegerのクライアントとしても使用できる。
.mesh.defaultConfig.enableTracingキーも有効化する必要がある。
apiVersion: v1
kind: ConfigMap
metadata:
name: istio-mesh-cm
namespace: istio-system
data:
mesh: |
defaultConfig:
enableTracing: true
tracing:
sampling: 100
zipkin:
address: "jaeger-collector.observability:9411"
ただし、非推奨であるためextensionProvidersキーを使用した方が良い
apiVersion: v1
kind: ConfigMap
metadata:
name: istio-mesh-cm
namespace: istio-system
data:
mesh: |
defaultConfig:
tracing: {}
extensionProviders:
...
▼ trustDomain¶
相互TLSを採用している場合に、送信元として許可する信頼ドメインを設定する。
例えば、信頼ドメインはServiceAccountごとに異なる。
apiVersion: v1
kind: ConfigMap
metadata:
name: istio-mesh-cm
namespace: istio-system
data:
mesh: |
defaultConfig:
trustDomain: cluster.local
defaultProviders¶
▼ defaultProvidersとは¶
extensionProvidersキーで定義したもののうち、デフォルトで使用するプロバイダーを設定する。
Envoyを使用してアクセスログを収集する場合、.mesh.defaultProviders.accessLoggingキーには何も設定しなくてよい。
また、Istioがデフォルトで用意している分散トレースツールを使用する場合も同様に不要である。
apiVersion: v1
kind: ConfigMap
metadata:
name: istio-mesh-cm
namespace: istio-system
data:
mesh: |
defaultProviders:
metrics:
- prometheus
accessLogging:
- stackdriver
tracing:
- opentelemetry-grpc
enableTracing: true
extensionProviders:
- name: opentelemetry-grpc
opentelemetry:
# OpenTelemetry Collectorを宛先として設定する
service: opentelemetry-collector.foo-namespace.svc.cluster.local
# gRPC用のエンドポイントを設定する
port: 4317
Envoyのアクセスログの場合、代わりに.mesh.accessLogEncodingキーと.mesh.accessLogFileキーを設定する。
apiVersion: v1
kind: ConfigMap
metadata:
name: istio-mesh-cm
namespace: istio-system
data:
mesh: |
accessLogEncoding: JSON
accessLogFile: /dev/stdout
分散トレースの場合、代わりに.mesh.enableTracingキーと.mesh.extensionProvidersキーを設定する。
apiVersion: v1
kind: ConfigMap
metadata:
name: istio-mesh-cm
namespace: istio-system
data:
mesh: |
enableTracing: true
extensionProviders:
- name: opentelemetry-grpc
opentelemetry:
service: opentelemetry-collector.foo-namespace.svc.cluster.local
port: 4317
enablePrometheusMerge¶
▼ enablePrometheusMergeとは¶
アプリケーションのメトリクスをistio-proxyコンテナを介して取得できるようにする (マージする) かどうかを設定する。
enableTracing¶
▼ enableTracingとは¶
istio-proxyコンテナでトレースIDとスパンIDを作成するか否かを設定する。
apiVersion: v1
kind: ConfigMap
metadata:
name: istio-mesh-cm
namespace: istio-system
data:
mesh: |
enableTracing: true
- https://istio.io/latest/docs/tasks/observability/distributed-tracing/mesh-and-proxy-config/#available-tracing-configurations
- https://istio.io/latest/docs/ops/integrations/jaeger/
- https://istio.io/latest/docs/ops/integrations/zipkin/#option-2-customizable-install
- https://zenn.dev/riita10069/articles/service-mesh
extensionProviders (認証/認可系)¶
▼ 認証/認可系¶
SSOの認証フェーズの委譲先となるIDプロバイダーの宛先情報を設定する。
▼ envoyExtAuthzHttp¶
認可エンドポイントにHTTPで認可リクエストを送信する場合に、SSOのIDプロバイダーの情報を設定する。
AuthorizationPolicyによる認可の実施に、認可フェーズを外部のIDプロバイダーに委譲できるようにする。
*実装例*
OAuth2 ProxyのPodに紐づくServiceを識別できるようにする。
apiVersion: v1
kind: ConfigMap
metadata:
name: istio-mesh-cm
namespace: istio-system
data:
mesh: |
extensionProviders:
- name: OAuth2 Proxy
envoyExtAuthzHttp:
service: oauth2-proxy.foo-namespace.svc.cluster.local
port: 80
includeHeadersInCheck:
- cookie
- authorization
AuthorizationPolicyで、認可フェーズの委譲先のIDプロバイダーを設定できるようになる。
ここでは、OAuth2 ProxyをIDプロバイダーとして使用する。
apiVersion: security.istio.io/v1
kind: AuthorizationPolicy
metadata:
name: oauth2-proxy-authorization-policy
namespace: istio-system
spec:
action: CUSTOM
provider:
name: oauth2-proxy
rules:
- to:
- operation:
paths: ["/login"]
- https://istio.io/latest/docs/reference/config/istio.mesh.v1alpha1/#MeshConfig-ExtensionProvider
- https://zenn.dev/takitake/articles/a91ea116cabe3c#istio%E3%81%AB%E5%A4%96%E9%83%A8%E8%AA%8D%E5%8F%AF%E3%82%B5%E3%83%BC%E3%83%90%E3%83%BC%E3%82%92%E7%99%BB%E9%8C%B2
- https://zenn.dev/takitake/articles/a91ea116cabe3c#%E5%BF%85%E8%A6%81%E3%81%AA%E3%83%AA%E3%82%BD%E3%83%BC%E3%82%B9%E3%82%92%E4%BD%9C%E6%88%90-1
- https://istio.io/latest/docs/tasks/security/authorization/authz-custom/#define-the-external-authorizer
▼ envoyExtAuthzGrpc¶
認可エンドポイントにHTTPで認可リクエストを送信する場合に、SSOのIDプロバイダーの情報を設定する。
extensionProviders (可観測系)¶
▼ 可観測性系とは¶
監視バックエンドの宛先情報を設定する。
プロバイダーによって、いずれのテレメトリーを送信するのかが異なる。
▼ datadog¶
datadogのトレースコンテキスト仕様 (datadogの独自仕様) でトレースIDとスパンIDを作成する。
datadogエージェントの宛先情報をIstioに登録する必要があるため、これのPodをサービスメッシュ内に配置するか、サービスメッシュ外に配置してIstio EgressGatewayやServiceEntry経由で接続できるようにする。
ただ、datadogエージェントをサービスメッシュ内に配置すると、Telemetryリソースがdatadogエージェント自体の分散トレースを作成してしまうため、メッシュ外に配置するべきである。
.mesh.enableTracingキーも有効化する必要がある。
apiVersion: v1
kind: ConfigMap
metadata:
name: istio-mesh-cm
namespace: istio-system
data:
mesh: |
enableTracing: true
extensionProviders:
- name: datadog-http
datadog:
# datadogエージェントを宛先として設定する
service: datadog-agent.foo-namespace.svc.cluster.local
port: 8126
- name: envoy-log
envoyFileAccessLog
Datadogに送信するためには、mesh.extensionProviders[*].datadogキーに設定した宛先情報を使用して、Telemetryを定義する必要がある。
分散トレースの設定は以下の通りである。
apiVersion: telemetry.istio.io/v1
kind: Telemetry
metadata:
name: tracing-provider
# サイドカーをインジェクションしている各Namespaceで作成する
# もしistio-systemを指定した場合は、istio-proxyコンテナのある全てのNamespaceが対象になる
namespace: foo
spec:
# Datadogにスパンを送信させるPodを設定する
selector:
matchLabels:
name: app
tracing:
- providers:
# mesh.extensionProviders[*].nameキーで設定した名前
- name: datadog-http
randomSamplingPercentage: 100
アクセスログの設定は以下の通りである。
apiVersion: telemetry.istio.io/v1
kind: Telemetry
metadata:
name: access-log-provider
# サイドカーをインジェクションしている各Namespaceで作成する
# もしistio-systemを指定した場合は、istio-proxyコンテナのある全てのNamespaceが対象になる
namespace: foo
spec:
# Datadogにアクセスログを送信させるPodを設定する
selector:
matchLabels:
name: app
# Envoyをアクセスログプロバイダーとして設定する
accessLogging:
- providers:
# mesh.extensionProviders[*].nameキーで設定した名前
- name: envoy-log
- https://github.com/istio/istio/blob/1.19.1/operator/pkg/util/testdata/overlay-iop.yaml#L26-L27
- https://docs.datadoghq.com/containers/docker/apm/?tab=linux#tracing-from-the-host
- https://istio.io/latest/docs/reference/config/istio.mesh.v1alpha1/#MeshConfig-ExtensionProvider-DatadogTracingProvider
- https://istio.io/latest/docs/reference/config/telemetry/
▼ opentelemetry¶
OpenTelemetryのトレースコンテキスト仕様 (W3C Trace Context) でトレースIDとスパンIDを作成する。
OTLP形式のエンドポイントであればよいため、OpenTelemetry Collectorも指定できる。
OpenTelemetry Collectorの宛先情報をIstioに登録する必要があるため、これのPodをサービスメッシュ内に配置するか、サービスメッシュ外に配置してIstio EgressGatewayやServiceEntry経由で接続できるようにする。
ただ、OpenTelemetry Collectorをサービスメッシュ内に配置すると、TelemetryリソースがOpenTelemetry Collector自体の分散トレースを作成してしまうため、メッシュ外に配置するべきである。
.mesh.enableTracingキーも有効化する必要がある。
apiVersion: v1
kind: ConfigMap
metadata:
name: istio-mesh-cm
namespace: istio-system
data:
mesh: |
enableTracing: true
extensionProviders:
- name: opentelemetry-grpc
opentelemetry:
# OpenTelemetry Collectorを宛先として設定する
service: opentelemetry-collector.foo-namespace.svc.cluster.local
# gRPC用のエンドポイントを設定する
port: 4317
- name: opentelemetry-http
opentelemetry:
# OpenTelemetry Collectorを宛先として設定する
service: opentelemetry-collector.foo-namespace.svc.cluster.local
# HTTP用のエンドポイントを設定する
port: 4318
http:
# HTTPの場合はパスが必要である
path: /v1/traces
- name: envoy-log
envoyFileAccessLog:
path: /dev/stdout
OpenTelemetryに送信するためには、mesh.extensionProviders[*].opentelemetryキーに設定した宛先情報を使用して、Telemetryを定義する必要がある。
分散トレースの設定は以下の通りである。
apiVersion: telemetry.istio.io/v1
kind: Telemetry
metadata:
name: tracing-provider
# サイドカーをインジェクションしている各Namespaceで作成する
# もしistio-systemを指定した場合は、istio-proxyコンテナのある全てのNamespaceが対象になる
namespace: foo
spec:
# Opentelemetryにスパンを送信させるPodを設定する
selector:
matchLabels:
name: app
tracing:
- providers:
# mesh.extensionProviders[*].nameキーで設定した名前
- name: opentelemetry-grpc
randomSamplingPercentage: 100
アクセスログの設定は以下の通りである。
apiVersion: telemetry.istio.io/v1
kind: Telemetry
metadata:
name: access-log-provider
# サイドカーをインジェクションしている各Namespaceで作成する
# もしistio-systemを指定した場合は、istio-proxyコンテナのある全てのNamespaceが対象になる
namespace: foo
spec:
# OpenTelemetryにアクセスログを送信させるPodを設定する
selector:
matchLabels:
name: app
# Envoyをアクセスログプロバイダーとして設定する
accessLogging:
- providers:
# mesh.extensionProviders[*].nameキーで設定した名前
- name: envoy-log
- https://istio.io/latest/docs/tasks/observability/logs/otel-provider/#enable-envoys-access-logging
- https://github.com/istio/istio/blob/1.19.1/operator/pkg/util/testdata/overlay-iop.yaml#L36-L37
- https://istio.io/latest/docs/reference/config/istio.mesh.v1alpha1/#MeshConfig-ExtensionProvider-OpenTelemetryTracingProvider
- https://istio.io/latest/docs/tasks/observability/telemetry/#provider-selection
- https://github.com/istio/istio/blob/master/samples/open-telemetry/tracing/telemetry.yaml
- https://itnext.io/debugging-microservices-on-k8s-with-istio-opentelemetry-and-tempo-4c36c97d6099.
- https://istio.io/latest/docs/reference/config/telemetry/
▼ prometheus¶
メトリクスの監視バックエンドとするPrometheusの宛先情報を設定する。
▼ zipkin (jaeger)¶
Zipkinのトレースコンテキスト仕様 (B3コンテキスト) でトレースIDとスパンIDを作成する。
JaegerはB3をサポートしているため、Jaegerのクライアントとしても使用できる。
jaegerエージェントの宛先情報をIstioに登録する必要があるため、これのPodをサービスメッシュ内に配置するか、サービスメッシュ外に配置してIstio EgressGatewayやServiceEntry経由で接続できるようにする。
ただ、jaegerエージェントをサービスメッシュ内に配置すると、Telemetryリソースがjaegerエージェント自体の分散トレースを作成してしまうため、メッシュ外に配置するべきである。
.mesh.enableTracingキーも有効化する必要がある。
apiVersion: v1
kind: ConfigMap
metadata:
name: istio-mesh-cm
namespace: istio-system
data:
mesh: |
enableTracing: true
extensionProviders:
- name: jaeger-http
jaeger:
# jaegerエージェントを宛先として設定する
service: jaeger-agent.foo-namespace.svc.cluster.local
port: 8126
- name: envoy-log
envoyFileAccessLog:
path: /dev/stdout
ZipkinやJaegerに送信するためには、mesh.extensionProviders[*].zipkinキーに設定した宛先情報を使用して、Telemetryを定義する必要がある。
分散トレースの設定は以下の通りである。
apiVersion: telemetry.istio.io/v1
kind: Telemetry
metadata:
name: tracing-provider
# サイドカーをインジェクションしている各Namespaceで作成する
# もしistio-systemを指定した場合は、istio-proxyコンテナのある全てのNamespaceが対象になる
namespace: foo
spec:
# Datadogにスパンを送信させるPodを設定する
selector:
matchLabels:
name: app
tracing:
- providers:
# mesh.extensionProviders[*].nameキーで設定した名前
- name: jaeger-http
randomSamplingPercentage: 100
アクセスログの設定は以下の通りである。
apiVersion: telemetry.istio.io/v1
kind: Telemetry
metadata:
name: access-log-provider
# サイドカーをインジェクションしている各Namespaceで作成する
# もしistio-systemを指定した場合は、istio-proxyコンテナのある全てのNamespaceが対象になる
namespace: foo
spec:
# ZipkinやJaegerにアクセスログを送信させるPodを設定する
selector:
matchLabels:
name: app
# Envoyをアクセスログプロバイダーとして設定する
accessLogging:
- providers:
# mesh.extensionProviders[*].nameキーで設定した名前
- name: envoy-log
▼ envoyFileAccessLog¶
Envoyのアクセスログを設定する。
apiVersion: v1
kind: ConfigMap
metadata:
name: istio-mesh-cm
namespace: istio-system
data:
mesh: |
extensionProviders:
- name: envoy-grpc
envoyFileAccessLog:
logFormat:
labels:
access_log_type: '%ACCESS_LOG_TYPE%'
bytes_received: '%BYTES_RECEIVED%'
bytes_sent: '%BYTES_SENT%'
downstream_transport_failure_reason: '%DOWNSTREAM_TRANSPORT_FAILURE_REASON%'
downstream_remote_port: '%DOWNSTREAM_REMOTE_PORT%'
duration: '%DURATION%'
grpc_status: '%GRPC_STATUS(CAMEL_STRING)%'
method: '%REQ(:METHOD)%'
path: '%REQ(X-ENVOY-ORIGINAL-PATH?:PATH)%'
protocol: '%PROTOCOL%'
response_code: '%RESPONSE_CODE%'
response_flags: '%RESPONSE_FLAGS%'
start_time: '%START_TIME%'
trace_id: '%TRACE_ID%'
traceparent: '%REQ(TRACEPARENT)%'
upstream_remote_port: '%UPSTREAM_REMOTE_PORT%'
upstream_transport_failure_reason: '%UPSTREAM_TRANSPORT_FAILURE_REASON%'
user_agent: '%REQ(USER-AGENT)%'
x_forwarded_for: '%REQ(X-FORWARDED-FOR)%'
holdApplicationUntilProxyStarts¶
▼ holdApplicationUntilProxyStartsとは¶
istio-proxyコンテナが、必ずアプリコンテナよりも先に起動するか否かを設定する。
apiVersion: v1
kind: ConfigMap
metadata:
name: istio-mesh-cm
namespace: istio-system
data:
mesh: |
holdApplicationUntilProxyStarts: true
- https://www.zhaohuabing.com/istio-guide/docs/best-practice/startup-dependence/#%E8%A7%A3%E8%80%A6%E5%BA%94%E7%94%A8%E6%9C%8D%E5%8A%A1%E4%B9%8B%E9%97%B4%E7%9A%84%E5%90%AF%E5%8A%A8%E4%BE%9D%E8%B5%96%E5%85%B3%E7%B3%BB
- https://engineering.linecorp.com/ja/blog/istio-introduction-improve-observability-of-ubernetes-clusters
オプションを有効化すると、istio-proxyコンテナの.spec.containers[*].lifecycle.postStart.exec.commandキーに、pilot-agent -waitコマンドが挿入される。
...
spec:
containers:
- name: istio-proxy
...
lifecycle:
postStart:
exec:
command: |
pilot-agent wait
...
ingressSelector¶
▼ ingressSelectorとは¶
全てのistio-proxyコンテナに関して、使用するGatewayの.metadata.labels.istioキーの値を設定する。
デフォルトでは、Ingressとしてingressgatewayが設定される。
apiVersion: v1
kind: ConfigMap
metadata:
name: istio-mesh-cm
namespace: istio-system
data:
mesh: |
ingressSelector: ingressgateway
ingressService¶
▼ ingressServiceとは¶
全てのistio-proxyコンテナに関して、使用するIngress Controllerの.metadata.labels.istioキーの値を設定する。
デフォルトでは、Ingressとしてingressgatewayが設定される。
apiVersion: v1
kind: ConfigMap
metadata:
name: istio-mesh-cm
namespace: istio-system
data:
mesh: |
ingressService: ingressgateway
proxyHttpPort¶
▼ proxyHttpPortとは¶
全てのistio-proxyコンテナに関して、Cluster外からのインバウンド通信 (特にHTTPプロトコル) を待ち受けるポート番号を設定する。
apiVersion: v1
kind: ConfigMap
metadata:
name: istio-mesh-cm
namespace: istio-system
data:
mesh: |
proxyHttpPort: 80
proxyListenPort¶
▼ proxyListenPortとは¶
全てのistio-proxyコンテナに関して、他アプリコンテナからのインバウンド通信を待ち受けるポート番号を設定する。
apiVersion: v1
kind: ConfigMap
metadata:
name: istio-mesh-cm
namespace: istio-system
data:
mesh: |
proxyListenPort: 80
05. istio-sidecar-injector¶
config¶
▼ configとは¶
Istiodコントロールプレーン (discoveryコンテナ) のため、Istioのサイドカーインジェクションの変数やpatch処理の内容を管理する。
apiVersion: v1
kind: ConfigMap
metadata:
name: istio-sidecar-injector-<リビジョン番号>
namespace: istio-system
data:
config: |
defaultTemplates: [sidecar]
policy: enabled
alwaysInjectSelector: []
neverInjectSelector:[]
injectedAnnotations:
template: "{{ Template_Version_And_Istio_Version_Mismatched_Check_Installation }}"
templates:
sidecar: |
# Helmのテンプレート
▼ .templates.sidecar¶
istio-proxyコンテナの設定値をHelmテンプレートの状態で管理する。
Istioは、istio-sidecar-injectorの.valuesキーを使用してテンプレートを動的に完成させる。
apiVersion: v1
kind: ConfigMap
metadata:
name: istio-sidecar-injector-<リビジョン番号>
namespace: istio-system
data:
config: |
templates:
sidecar: |
... # Helmのテンプレート
values¶
istio-sidecar-injectorの.templates.sidecarキーに出力する値をvaluesファイルとして管理する。
apiVersion: v1
kind: ConfigMap
metadata:
name: istio-sidecar-injector-<リビジョン番号>
namespace: istio-system
data:
values: |
{
global: { ... }
revision: <リビジョン番号>
sidecarInjectorWebhook: { ... }
}
06. 環境変数¶
pilot-discoveryコマンド¶
▼ CITADEL_SELF_SIGNED_CA_CERT_TTL¶
Istioコントロールプレーンが自身を署名するオレオレ証明書の有効期限を設定する。
apiVersion: apps/v1
kind: Deployment
metadata:
name: istiod
namespace: istio-system
spec:
template:
containers:
- name: discovery
env:
- name: CITADEL_SELF_SIGNED_CA_CERT_TTL
value: 87600h0m0s
▼ CITADEL_SELF_SIGNED_ROOT_CERT_CHECK_INTERVAL¶
Istioコントロールプレーンのオレオレ証明書の検証間隔を設定する。
apiVersion: apps/v1
kind: Deployment
metadata:
name: istiod
namespace: istio-system
spec:
template:
containers:
- name: discovery
env:
- name: CITADEL_SELF_SIGNED_ROOT_CERT_CHECK_INTERVAL
value: 1h0m0s
▼ CLUSTER_ID¶
Istiodのサービスレジストリを設定する。
apiVersion: apps/v1
kind: Deployment
metadata:
name: istiod
namespace: istio-system
spec:
template:
containers:
- name: discovery
env:
- name: CLUSTER_ID
value: Kubernetes
▼ DEFAULT_WORKLOAD_CERT_TTL¶
istio-proxyコンテナの証明書の有効期限を設定する。
apiVersion: apps/v1
kind: Deployment
metadata:
name: istiod
namespace: istio-system
spec:
template:
containers:
- name: discovery
env:
- name: DEFAULT_WORKLOAD_CERT_TTL
value: 24h0m0s
▼ EXCLUDE_UNSAFE_503_FROM_DEFAULT_RETRY¶
503ステータスが返信された場合に再試行しないようにする。
再試行の結果でistio-proxyコンテナが503ステータスを返信する場合とは区別する。
デフォルトでtrueである。
apiVersion: apps/v1
kind: Deployment
metadata:
name: istiod
namespace: istio-system
spec:
template:
containers:
- name: discovery
env:
- name: EXCLUDE_UNSAFE_503_FROM_DEFAULT_RETRY
value: true
▼ ENABLE_DEFERRED_CLUSTER_CREATION¶
複数のDestinationRuleで.spec.exportToキーの対象のNamespaceが同じ場合、これらの設定をマージして処理する。
もし対象のNamespaceが異なる場合、独立した設定として処理する。
デフォルトでtrueである。
apiVersion: apps/v1
kind: Deployment
metadata:
name: istiod
namespace: istio-system
spec:
template:
containers:
- name: discovery
env:
- name: ENABLE_DEFERRED_CLUSTER_CREATION
value: true
▼ ENABLE_ENHANCED_RESOURCE_SCOPING¶
meshConfig.discoverySelectorsキーを使用できるようにする。
デフォルトでtrueである。
apiVersion: apps/v1
kind: Deployment
metadata:
name: istiod
namespace: istio-system
spec:
template:
containers:
- name: discovery
env:
- name: ENABLE_ENHANCED_RESOURCE_SCOPING
value: true
▼ ENABLE_ENHANCED_DESTINATIONRULE_MERGE¶
リクエストがある場合にのみ、Envoyのクラスターを作成する。
実際に使用されていないEnvoyのクラスターを作成しないことにより、ハードウェアリソースを節約できる。
デフォルトでtrueである。
apiVersion: apps/v1
kind: Deployment
metadata:
name: istiod
namespace: istio-system
spec:
template:
containers:
- name: discovery
env:
- name: ENABLE_ENHANCED_DESTINATIONRULE_MERGE
value: true
▼ ENABLE_INBOUND_RETRY_POLICY¶
istio-proxyコンテナがインバウンド通信をアプリコンテナに送信するときの再試行を設定する。
今後は、宛先istio-proxyコンテナがアプリコンテナに対してリトライできるようになる。
istio-proxyコンテナ間の問題の切り分けがしやすくなる。
デフォルトでtrueである。
falseの場合、送信元istio-proxyコンテナから宛先istio-proxyコンテナへ通信時に、送信元istio-proxyコンテナしかリトライできない。
apiVersion: apps/v1
kind: Deployment
metadata:
name: istiod
namespace: istio-system
spec:
template:
containers:
- name: discovery
env:
- name: ENABLE_INBOUND_RETRY_POLICY
value: true
▼ PILOT_TRACE_SAMPLING¶
分散トレースの収集率を設定する。
基本的には100% (値は1) を設定する。
apiVersion: apps/v1
kind: Deployment
metadata:
name: istiod
namespace: istio-system
spec:
template:
containers:
- name: discovery
env:
- name: PILOT_TRACE_SAMPLING
value: 1
▼ PILOT_CERT_PROVIDER¶
istio-proxyコンテナに設定するSSL証明書のプロバイダーを設定する。
apiVersion: apps/v1
kind: Deployment
metadata:
name: istiod
namespace: istio-system
spec:
template:
containers:
- name: discovery
env:
- name: PILOT_CERT_PROVIDER
value: istiod
| 設定値 | 説明 |
|---|---|
istiod |
Istiodが提供するSSL証明書を使用する。 |
kubernetes |
KubernetesのSecretで管理するSSL証明書を使用する。 |
none |
SSL証明書を使用しない。 |
▼ PILOT_JWT_PUB_KEY_REFRESH_INTERVAL¶
アクセストークンの検証の間隔を設定する。
apiVersion: apps/v1
kind: Deployment
metadata:
name: istiod
namespace: istio-system
spec:
template:
containers:
- name: discovery
env:
- name: PILOT_JWT_PUB_KEY_REFRESH_INTERVAL
value: 20m0s
defaultConfig.proxyMetadata¶
▼ BOOTSTRAP_XDS_AGENT¶
apiVersion: v1
kind: ConfigMap
metadata:
name: istio-mesh-cm
namespace: istio-system
data:
mesh: |
defaultConfig:
proxyMetadata:
BOOTSTRAP_XDS_AGENT: true
▼ ENABLE_DEFERRED_CLUSTER_CREATION¶
pilot-discoveryコマンドでも設定できるため、そちらを参照せよ。
apiVersion: v1
kind: ConfigMap
metadata:
name: istio-mesh-cm
namespace: istio-system
data:
mesh: |
defaultConfig:
proxyMetadata:
ENABLE_DEFERRED_CLUSTER_CREATION: true
▼ EXCLUDE_UNSAFE_503_FROM_DEFAULT_RETRY¶
pilot-discoveryコマンドでも設定できるため、そちらを参照せよ。
apiVersion: v1
kind: ConfigMap
metadata:
name: istio-mesh-cm
namespace: istio-system
data:
mesh: |
defaultConfig:
proxyMetadata:
EXCLUDE_UNSAFE_503_FROM_DEFAULT_RETRY: true
▼ ENABLE_INBOUND_RETRY_POLICY¶
pilot-discoveryコマンドでも設定できるため、そちらを参照せよ。
apiVersion: v1
kind: ConfigMap
metadata:
name: istio-mesh-cm
namespace: istio-system
data:
mesh: |
defaultConfig:
proxyMetadata:
ENABLE_INBOUND_RETRY_POLICY: true
▼ EXIT_ON_ZERO_ACTIVE_CONNECTIONS¶
ServiceからPod内のistio-proxyへのリクエストがなくなったら、istio-proxyコンテナを終了させるか否かを設定する。
デフォルトでfalseである。
apiVersion: v1
kind: ConfigMap
metadata:
name: istio-mesh-cm
namespace: istio-system
data:
mesh: |
defaultConfig:
proxyMetadata:
EXIT_ON_ZERO_ACTIVE_CONNECTIONS: false
▼ ISTIO_META_CERT_SIGNER¶
デフォルトで"" (空文字) である。
apiVersion: v1
kind: ConfigMap
metadata:
name: istio-mesh-cm
namespace: istio-system
data:
mesh: |
defaultConfig:
proxyMetadata:
ISTIO_META_CERT_SIGNER: ""
▼ ISTIO_META_DNS_AUTO_ALLOCATE¶
IPアドレスが設定されていないServiceEntryに対して、IPアドレスを自動的に設定する。
デフォルトでfalseである。
apiVersion: v1
kind: ConfigMap
metadata:
name: istio-mesh-cm
namespace: istio-system
data:
mesh: |
defaultConfig:
proxyMetadata:
ISTIO_META_DNS_AUTO_ALLOCATE: false
▼ ISTIO_META_DNS_CAPTURE¶
istio-proxyでDNSのキャッシュを作成するか否かを設定する。
デフォルトでfalseである。
apiVersion: v1
kind: ConfigMap
metadata:
name: istio-mesh-cm
namespace: istio-system
data:
mesh: |
defaultConfig:
proxyMetadata:
ISTIO_META_DNS_CAPTURE: false