Получение 403 Forbidden от envoy при попытке скручивания между модулями с включенной коляской
Я использую установку Kubernetes / Istio, и мой список подов и сервисов приведен ниже:
NAME READY STATUS RESTARTS AGE
hr--debug-deployment-86575cffb6-wl6rx 2/2 Running 0 33m
hr--hr-deployment-596946948d-jrd7g 2/2 Running 0 33m
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
hr--debug-service ClusterIP 10.104.160.61 <none> 80/TCP 33m
hr--hr-service ClusterIP 10.102.117.177 <none> 80/TCP 33m
Пытаюсь свернуться в hr--hr-service из hr--debug-deployment-86575cffb6-wl6rx
pasan@ubuntu:~/product-vick$ kubectl exec -it hr--debug-deployment-86575cffb6-wl6rx /bin/bash
Defaulting container name to debug.
Use 'kubectl describe pod/hr--debug-deployment-86575cffb6-wl6rx -n default' to see all of the containers in this pod.
root@hr--debug-deployment-86575cffb6-wl6rx:/# curl hr--hr-service -v
* Rebuilt URL to: hr--hr-service/
* Trying 10.102.117.177...
* Connected to hr--hr-service (10.102.117.177) port 80 (#0)
> GET / HTTP/1.1
> Host: hr--hr-service
> User-Agent: curl/7.47.0
> Accept: */*
>
< HTTP/1.1 403 Forbidden
< date: Thu, 03 Jan 2019 04:06:17 GMT
< server: envoy
< content-length: 0
<
* Connection #0 to host hr--hr-service left intact
Не могли бы вы объяснить, почему я получаю сообщение 403, запрещенное посланником, и как я могу устранить его?
Развертывание модели машинного обучения с помощью Flask - Angular в Kubernetes
Kubernetes - это портативная, расширяемая платформа с открытым исходным кодом для управления контейнерными рабочими нагрузками и сервисами, которая...
2
0
1 510
1
Перейти к ответу
Данный вопрос помечен как решенный
Ответы 1
Ответ принят как подходящий
Если у вас есть внедренная коляска envoy, это действительно зависит от того, какой тип политика аутентификации у вас есть между вашими службами. Вы используете MeshPolicy или Policy?
Вы также можете попробовать отключить аутентификацию между вашими службами для отладки. Примерно так (если ваша политика определена так):
apiVersion: "authentication.istio.io/v1alpha1"
kind: "Policy"
metadata:
name: "hr--hr-service"
spec:
targets:
- name: hr--hr-service
peers:
- mTLS:
mode: PERMISSIVE
Другие вопросы по теме
CakePHP: почтовый запрос Ajax выдает ошибку 403 (все разрешения предоставлены)
Как решить проблему с логированием, когда GKE ответил "403 неавторизовано"
Node.js https не работает, тогда как браузер, curl и wget работают успешно?
Не запрашивается авторизация при попытке доступа к защищенному видеопотоку в <img /> - tag = 403
Получение 403 Forbidden при переходе по URL-адресу с PhantomJS
GetConversationMembersAsync возвращает 403 (запрещено)
POSTMAN-NEWMAN: 403 Запрещенное сообщение об ошибке
При использовании веб-API с ключом api возникает следующая ошибка: удаленный сервер возвратил ошибку: (403) Запрещено
API Jenkins возвращает 403 на HTTPURLConnector
403 с помощью `scripts.run` с клиентом API Google Python
Похожие вопросы
Экземпляр Multi Go использует один общедоступный канал
Как сгенерировать yaml-файл kubernetes с помощью генератора шаблонов?
Контекст безопасности Kubernetes runAsUser
Kubectl cp: данные потеряны?
Есть ли у Helm ограничение на размер своей истории?
Ошибка Kubernetes: невозможно подключиться к серверу: наберите tcp 127.0.0.1:8080
Kubernetes: удалить метку - неизвестный сокращенный флаг: 'c' в -цвете
Неверный доступ по адресу: 0 для Mongo v4.0.5
Kubernetes API получает IP-адрес конечной точки службы, когда доступен
Не удалось отправить экземпляр транзакции и получить уведомления в течение периода ожидания. undefined [ткань1.0 k8s]
В моем сценарии 403 был выпущен самой службой, и посланник просто повторил это. Поэтому я хотел бы добавить это как еще один возможный сценарий ошибки 403.