阿里云Kubernetes容器服务Istio实践之常见问题分析

在使用阿里云Kubernetes容器服务Istio 1.0的过程中，如果遇到以下类似问题，请参考具体的问题分析。 我们会持续更新遇到的问题及其解决方法。

集群内无法访问集群之外的 URL问题

缺省情况下，Istio 服务网格内的 Pod，由于其 iptables 将所有外发流量都透明的转发给了 Sidecar，所以这些集群内的服务无法访问集群之外的 URL，而只能处理集群内部的目标。

可以通过定义 ServiceEntry 来调用外部服务；或者简单的对 Istio 进行配置，要求其直接放行对特定 IP 范围的访问。

具体可参见官方介绍。

Tiller版本问题

如果在安装中遇到类似如下提示： Can't install release with errors: rpc error: code = Unknown desc = Chart incompatible with Tiller v2.7.0， 那么说明当前集群的Tiller版本较低，需要升级。

具体升级的方法如下：

 helm init --tiller-image registry.cn-hangzhou.aliyuncs.com/acs/tiller:v2.9.1 --upgrade

CRD版本问题

如果在第一次创建Istio 1.0时，出现如下提示信息，根据Istio官方文档， 需要升级 Custom Resource Definitions。

升级方法：
在下载的Istio安装包中，可以找到新版本CRD的YAML文件，通过kubectl apply命令可以完成更新。

可以通过此处下载CRD文件。

kubectl apply -f install/kubernetes/helm/istio/templates/crds.yaml -n istio-system

按照官方文档，如果使用的Helm版本为 2.10.0之前的，会遇到上述CRD问题。

此外，如果启用了certmanager，还需要通过如下命令按照相关CRD：

kubectl apply -f install/kubernetes/helm/istio/charts/certmanager/templates/crds.yaml

子账户权限问题

如果在安装中遇到类似如下提示，那么说明当前使用的账号权限不具备安装Istio，请切换到主账号或者赋予账号足够权限，如自定义角色中cluster-admin （具体参见https://help.aliyun.com/document_detail/87656.html）。

Error from server (Forbidden): error when retrieving current configuration of:
Resource: "apiextensions.k8s.io/v1beta1, Resource=customresourcedefinitions", GroupVersionKind: "apiextensions.k8s.io/v1beta1, Kind=CustomResourceDefinition"

卸载Istio

如果使用的Helm版本早于2.9.0，则需要手工清除Job资源：

kubectl -n istio-system delete job --all

清除CRD的话，则需要执行如下命令：

kubectl delete -f install/kubernetes/helm/istio/templates/crds.yaml -n istio-system

总结

在使用阿里云Kubernetes容器服务Istio 1.0的过程中，如果遇到以下类似问题，请参考具体的问题分析。 我们会持续更新遇到的问题及其解决方法。敬请关注。