注入Istio Sidecar后内部gRPC路由超时

Question

我目前正在尝试在GKE上的Kubernetes集群中部署Istio Service Mesh。当我使用kubectl apply -f <(istioctl kube-inject -f <service-name>.yaml注入Istio sidecar时，下游服务不能使用gRPC连接。当Istio sidecar在HTTP服务中运行时，不会出现此问题。

gRPC服务的配置文件如下：

apiVersion: extensions/v1beta1
kind: Deployment
metadata:
  name: <service name>
  namespace: default
  labels:
    app: <service-name>
    version: v1
spec:
  minReadySeconds: 30
  replicas: 1
  template:
    metadata:
      labels:
        app: <service-name>
    spec:
      containers:
      - name: <service-name>
        image: gcr.io/project/service-name
        ports:
        - containerPort: 5011
          name: grpc
        resources:
          requests:
            memory: "10Mi"
            cpu: "100m"
          limits:
            memory: "100Mi"
            cpu: "250m"
        readinessProbe:
          tcpSocket:
            port: 5011
          initialDelaySeconds: 5
          periodSeconds: 10
        livenessProbe:
          tcpSocket:
            port: 5011
          initialDelaySeconds: 15
          periodSeconds: 20
---
apiVersion: v1
kind: Service
metadata:
  name: <service-name>
  namespace: default
spec:
  selector:
    app: <service-name>
  ports:
  - port: 5011
    targetPort: 5011
    name: grpc

Istio正在下游服务中运行，不会向上游服务显示任何传出请求。如果我在不使用Istio的情况下重新部署上游服务，则gRPC调用成功，并且日志显示传出请求。

Answer 1

我设法解决了这个问题。问题是上游gRPC服务正在向Datastore发出请求，而Istio没有配置为让到Google Cloud服务的流量脱离网格，因此请求超时。我通过运行以下命令解决了这个问题

helm template install/kubernetes/helm/istio <the flags you used to install Istio> 
--set global.proxy.includeIPRanges="<cluster IP ranges>" 
-x templates/sidecar-injector-configmap.yaml | kubectl apply -f -