2.2.37. 既知の問題

OSSM-3890 マルチテナントメッシュデプロイメントで Gateway API を使用しようとすると、次のようなエラーメッセージが生成されます。

2023-05-02T15:20:42.541034Z	error	watch error in cluster Kubernetes: failed to list *v1alpha2.TLSRoute: the server could not find the requested resource (get tlsroutes.gateway.networking.k8s.io)
2023-05-02T15:20:42.616450Z	info	kube	controller "gateway.networking.k8s.io/v1alpha2/TCPRoute" is syncing...

マルチテナントメッシュデプロイメントで Gateway API をサポートするには、すべての Gateway API カスタムリソース定義 (CRD) ファイルがクラスター内に存在する必要があります。

マルチテナントメッシュデプロイメントでは、CRD スキャンが無効になり、Istio はクラスター内にどの CRD が存在するかを検出する方法がありません。その結果、Istio はサポートされているすべての Gateway API CRD を監視しようとしますが、それらの CRD の一部が存在しない場合はエラーが生成されます。

Service Mesh 2.3.1 以降のバージョンは、v1alpha2 と v1beta1 の両方の CRD をサポートします。したがって、マルチテナントメッシュデプロイメントで Gateway API をサポートするには、両方の CRD バージョンが存在する必要があります。

回避策: 次の例では、kubectl get 操作により v1alpha2 および v1beta1 CRD がインストールされます。URL には追加の experimental セグメントが含まれており、それに応じて既存のスクリプトが更新されることに注意してください。

$ kubectl get crd gateways.gateway.networking.k8s.io ||   { kubectl kustomize "github.com/kubernetes-sigs/gateway-api/config/crd/experimental?ref=v0.5.1" | kubectl apply -f -; }

OSSM-2042 default という名前の SMCP のデプロイメントが失敗します。SMCP オブジェクトを作成し、そのバージョンフィールドを v2.3 に設定する場合、オブジェクトの名前は default にできません。名前が default の場合、コントロールプレーンはデプロイに失敗し、OpenShift は次のメッセージを含む Warning イベントを生成します。

Error processing component mesh-config: error: [mesh-config/templates/telemetryv2_1.6.yaml: Internal error occurred: failed calling webhook "rev.validation.istio.io": Post "https://istiod-default.istio-system.svc:443/validate?timeout=10s": x509: certificate is valid for istiod.istio-system.svc, istiod-remote.istio-system.svc, istio-pilot.istio-system.svc, not istiod-default.istio-system.svc, mesh-config/templates/enable-mesh-permissive.yaml

OSSM-1655 SMCP で mTLS を有効にすると、Kiali ダッシュボードにエラーが表示されます。

SMCP で spec.security.controlPlane.mtls 設定を有効にすると、Kiali コンソールにエラーメッセージ No subsets defined が表示されます。

OSSM-1505 この問題は、OpenShift Container Platform 4.11 で ServiceMeshExtension リソースを使用する場合にのみ発生します。OpenShift Container Platform 4.11 で ServiceMeshExtension を使用すると、リソースの準備が整いません。oc describe ServiceMeshExtension を使用して問題を調べると、stderr: Error creating mount namespace before pivot: function not implemented エラーが表示されます。

回避策: ServiceMeshExtension は Service Mesh 2.2 で非推奨になりました。ServiceMeshExtension から WasmPlugin リソースに移行します。詳細は、ServiceMeshExtension から WasmPlugin リソースへの移行を参照してください。

OSSM-1115 spec.proxy API の concurrency フィールドが istio-proxy に伝播されませんでした。concurrency フィールドは、ProxyConfig で設定すると機能します。concurrency フィールドは、実行するワーカースレッドの数を指定します。フィールドが 0 に設定されている場合、使用可能なワーカースレッドの数は CPU コアの数と等しくなります。フィールドが設定されていない場合、使用可能なワーカースレッドの数はデフォルトで 2 になります。

次の例では、concurrency フィールドが 0 に設定されています。

apiVersion: networking.istio.io/v1beta1
kind: ProxyConfig
metadata:
  name: mesh-wide-concurrency
  namespace: <istiod-namespace>
spec:
  concurrency: 0

OSSM-1052 Service Mesh コントロールプレーンで入力ゲートウェイのサービス ExternalIP を設定すると、サービスは作成されません。SMCP のスキーマには、サービスのパラメーターがありません。

回避策: SMCP 仕様でゲートウェイの作成を無効にして、(サービス、ロール、および RoleBinding など) ゲートウェイのデプロイメントを完全に手動で管理します。

OSSM-882 これは、Service Mesh 2.1 以前に適用されます。namespace は accessible_namespace リストにありますが、Kiali UI には表示されません。デフォルトでは、Kiali は "kube" で始まる namespace を表示しません。これらの namespace は通常内部使用のみであり、メッシュの一部ではないためです。

たとえば、'akube-a' という名前の namespace を作成し、これを Service Mesh メンバーロールに追加すると、Kiali UI は namespace を表示しません。定義された除外パターンの場合、ソフトウェアは、このパターンで始まるか、そのパターンを含む namespace を除外します。

回避策: Kiali カスタムリソース設定を変更して、設定に接頭辞としてキャレット (^) を追加します。以下に例を示します。

api:
  namespaces:
    exclude:
    - "^istio-operator"
    - "^kube-.*"
    - "^openshift.*"
    - "^ibm.*"
    - "^kiali-operator"

MAISTRA-1959 2.0 への移行 Prometheus の収集 (spec.addons.prometheus.scrape が true に設定される) は mTLS が有効になっていると機能しません。また、Kiali は、mTLS が無効になっている場合に余分なグラフデータを表示します。

この問題は、たとえば、プロキシー設定からポート 15020 を除外して対応できます。

spec:
  proxy:
    networking:
      trafficControl:
        inbound:
          excludedPorts:
          - 15020