Istio:不允许打电话入网钩地址失败

Question

在为样例bookinfo应用程序创建网关时，我得到了以下错误

发生内部错误:未能调用接纳not钩子"pilot.validation.istio.io"：不允许Post https://istio-galley.istio-system.svc:443/admitpilot?timeout=30s：Address

我使用两个节点组(每个有两个实例)创建了一个EKS集群，其中一个具有t2.media，另一个具有t2.aws帐户中的大型实例，使用了两个带有/26子网的子网，这些子网都是由EKS提供的默认VPC-CNI。

但是，随着多个服务的运行，集群正在增长，我开始面临I不可用的问题(按照docs默认的vpc-cni驱动程序将pods视为EC2实例)。

为了避免同样的情况，我按照下面的帖子将网络从默认更改为编织。

https://medium.com/codeops/installing-weave-cni-on-aws-eks-51c2e6b7abc8

因为同样的原因，我解决了IP的不可用性问题，

现在从vpc-cni重新配置到编织。

我开始按照使用Istio配置的服务网格的主题行获得上述问题。

有几个服务运行在网状网内，还集成了kiali，prometheus，jaeger与之相同。

我试着看了一下Github (https://github.com/istio/istio/issues/9998)和docs (https://istio.io/docs/ops/setup/validation/)，但是没有得到一个正确的有效答案。

如果有人面临这一问题，并对此有部分/全面的解决办法，请允许我这样做。

Answer 1

这“似乎”与从AWS CNI转向编织有关。CNI使用VPC的IP范围，weave使用它自己的地址范围(用于pods)，因此可能还有来自AWS CNI的iptables规则。

发生内部错误:未能调用接纳not钩子"pilot.validation.istio.io"：不允许Post https://istio-galley.istio-system.svc:443/admitpilot?timeout=30s：Address

上面的消息意味着，无论istio-galley.istio-system.svc解析到什么地址，在K8s集群内部，都不是一个有效的IP地址。所以我也会试着看看这决定了什么。(可能与coreDNS有关)。

您还可以尝试以下这些步骤；

基本上，(引用)

• 删除ds aws-节点-n kube-系统
• 删除每个节点上的/etc/cni/net.d/10-aws.conist
• 编辑实例安全组以允许在6873,6874端口上的UDP，TCP
• 冲洗iptables，nat，mangle，过滤器
• 重新启动kube-代理吊舱
• 应用编织网守护集
• 删除现有的豆荚，以便在编织豆荚的地址空间重新创建。

此外，您可以尝试重新安装所有从一开始使用编织。

希望能帮上忙！