无法查看kiali仪表板

Question

我安装了发布版本1.6.9，包括以下步骤

Install Istio Version 1.6.9
wget https://github.com/istio/istio/releases/download/1.6.9/istio-1.6.9-linux-amd64.tar.gz
tar -xzvf istio-1.6.9-linux-amd64.tar.gz
cd istio-1.6.9
cd bin/
sudo mv istioctl /usr/local/bin/
istioctl --version
istioctl install --set profile=demo

我想访问基亚利仪表板，但我不知道如何访问！

我能看到卡利在吊舱里奔跑：

kubectl get pods -n istio-system
NAME                                    READY   STATUS    RESTARTS   AGE
grafana-5dc4b4676c-wcb59                1/1     Running   0          32h
istio-egressgateway-5889bb8976-stlqd    1/1     Running   0          32h
istio-ingressgateway-699d97bdbf-w6x46   1/1     Running   0          32h
istio-tracing-8584b4d7f9-p66wh          1/1     Running   0          32h
istiod-86d4497c9-xv2km                  1/1     Running   0          32h
kiali-6f457f5964-6sssn                  1/1     Running   0          32h
prometheus-5d64cf8b79-2kdww             2/2     Running   0          32h

我也能看到嘉利的服务：

kubectl get svc -n istio-system
NAME                        TYPE           CLUSTER-IP       EXTERNAL-IP                                                                    PORT(S)                                                                      AGE
grafana                     ClusterIP      10.100.101.71    <none>                                                                         3000/TCP                                                                     32h
istio-egressgateway         ClusterIP      10.100.34.75     <none>                                                                         80/TCP,443/TCP,15443/TCP                                                     32h
istio-ingressgateway        LoadBalancer   10.100.84.203    a736b038af6b5478087f0682ddb4dbbb-1317589033.ap-southeast-2.elb.amazonaws.com   15021:31918/TCP,80:32736/TCP,443:30611/TCP,31400:30637/TCP,15443:31579/TCP   32h
istiod                      ClusterIP      10.100.111.159   <none>                                                                         15010/TCP,15012/TCP,443/TCP,15014/TCP,853/TCP                                32h
jaeger-agent                ClusterIP      None             <none>                                                                         5775/UDP,6831/UDP,6832/UDP                                                   32h
jaeger-collector            ClusterIP      10.100.84.202    <none>                                                                         14267/TCP,14268/TCP,14250/TCP                                                32h
jaeger-collector-headless   ClusterIP      None             <none>                                                                         14250/TCP                                                                    32h
jaeger-query                ClusterIP      10.100.165.216   <none>                                                                         16686/TCP                                                                    32h
kiali                       ClusterIP      10.100.159.127   <none>                                                                         20001/TCP                                                                    32h
prometheus                  ClusterIP      10.100.113.255   <none>                                                                         9090/TCP                                                                     32h
tracing                     ClusterIP      10.100.77.39     <none>                                                                         80/TCP                                                                       32h
zipkin                      ClusterIP      10.100.247.201   <none>                                                                         9411/TCP

我还可以看到秘密也被部署如下：

kubectl get secrets
NAME                                       TYPE                                  DATA   AGE
default-token-ghz6r                        kubernetes.io/service-account-token   3      8d
sh.helm.release.v1.aws-efs-csi-driver.v1   helm.sh/release.v1                    1      6d
[centos@ip-10-0-0-61 ~]$ kubectl get secrets -n istio-system
NAME                                               TYPE                                  DATA   AGE
default-token-z6t2v                                kubernetes.io/service-account-token   3      32h
istio-ca-secret                                    istio.io/ca-root                      5      32h
istio-egressgateway-service-account-token-c8hfp    kubernetes.io/service-account-token   3      32h
istio-ingressgateway-service-account-token-fx65w   kubernetes.io/service-account-token   3      32h
istio-reader-service-account-token-hxsll           kubernetes.io/service-account-token   3      32h
istiod-service-account-token-zmtsv                 kubernetes.io/service-account-token   3      32h
kiali                                              Opaque                                2      32h
kiali-service-account-token-82gk7                  kubernetes.io/service-account-token   3      32h
prometheus-token-vs4f6                             kubernetes.io/service-account-token   3      32h

我在我的Linux主机上运行了上述所有命令，我希望如果我在我的Linux和SG上打开端口20001，我应该能够访问它的管理/管理凭证吗？如下所示：

http://10.100.159.127:20001/

我的第二个问题是ISTIO，因为这个软件是运行在我的上还是在我的CLuster上？我的感觉是它正在本地Bastion Server上运行，但是由于我们使用了以下命令

kubectl label ns default istio-injection=enabled
kubectl get ns
kubectl label ns jenkins istio-injection=enabled
kubectl label ns spinnaker istio-injection=enabled

在这些名称空间中运行的任何豆荚都会自动注入特使代理荚，对吗？

我做了以下几件事：

nohup istioctl dashboard kiali &

在SG级和OS级打开端口.仍然无法访问Kiali仪表盘

http://3.25.217.61:40235/kiali
[centos@ip-10-0-0-61 ~]$ wget http://3.25.217.61:40235/kiali
--2020-09-11 15:56:18--  http://3.25.217.61:40235/kiali
Connecting to 3.25.217.61:40235... failed: Connection refused.

curl ifconfig.co
3.25.217.61

sudo netstat -nap|grep 40235
tcp        0      0 127.0.0.1:40235         0.0.0.0:*               LISTEN      29654/istioctl
tcp6       0      0 ::1:40235               :::*                    LISTEN      29654/istioctl

真的，无法理解到底是怎么回事.

Answer 1

只需运行istioctl dashboard kiali。

Istioctl将创建一个代理。现在使用管理员/管理凭据登录。

要回答第二个问题: Istio正在您的集群上运行，并且配置为istioctl，安装在您的堡垒上。

通过将名称空间标记为istio-injection=enabled，sidecar将自动注入。如果有必要，您可以通过这样的注释来禁用豆荚的注入：

spec:
  selector:
    matchLabels:
      ...
  template:
    metadata:
      labels:
        ...
      annotations:
        sidecar.istio.io/inject: "false"

更新

要访问没有istioctl/kubectl代理的kiali，您有三个选项。正如您正确地发现的，它取决于kiali服务类型：

1. ClusterIP (默认)

若要使用默认值，请设置从网关到kiali服务的路由。这是使用VirtualService和DestinationRule完成的。您可以通过例如<ingress-gateway-loadbalancer-id>.amazonaws.com/kiali访问kiali。

1. NodePort

通过在istio安装上设置相应的值并通过<ingress-gateway-loadbalancer-id>.amazonaws.com:20001/kiali访问kiali，您可以将类型更改为NodePort。

1. LoadBalancer

通过在istio安装上设置相应的值，可以将类型更改为LoadBalancer。第二个弹性负载均衡器将在aws上创建，而kiali服务将具有外部ip，就像ingressgateway服务所做的那样。现在可以通过<kiali-loadbalancer-id>.amazonaws.com/kiali访问它了。

我推荐选项1，这是生产的最佳实践，您不必深入研究istio安装配置，这在一开始可能会令人难以接受。

Answer 2

通过以下命令检查端口及其类型是否为kiali服务。

kubectl get svc -n istio-system

如果类型为NodePort，则可以检查localhost：( kiali服务端口)，否则，如果类型为clusterIP，则必须通过转发来公开它。

通过Kubernetes端口转发或通过网关公开Kiali。以下转发命令在本地主机端口20001上公开Kiali：

kubectl -n istio-system port-forward svc/kiali 20001:20001 &

然后检查localhost:20001是否为kiali仪表板。

Answer 3

使用Kubernetes：https://{domain还是入口ip}/kiali

kubectl get ingress kiali -n istio-system -o jsonpath='{.status.loadBalancer.ingress[0].ip}'

或(任何类型的平台)

oc port-forward svc/kiali 20001:20001 -n istio-system

kubectl port-forward svc/kiali 20001:20001 -n istio-system

kubectl  port-forward  $(kubectl get pod -n istio-system -l app=kiali   -o jsonpath='{.items[0].metadata.name}')   -n istio-system 20001