InvalidExternalControlPlaneConfig

3分で読めます

メッセージ名	InvalidExternalControlPlaneConfig
メッセージコード	IST0163
説明	外部コントロールプレーン上のイングレスゲートウェイのアドレスが無効です
レベル	警告

このメッセージは、外部コントロールプレーン上のイングレスゲートウェイに提供されたアドレスが無効な場合に発生します。アドレスが無効になる理由はいくつかあります。ホスト名アドレスの形式が正しくない、ホスト名をDNSルックアップでIPアドレスに解決できない、ホスト名がゼロ個のIPアドレスに解決されるなどです。

例

このメッセージが表示されるのは

Warning [IST0163] (MutatingWebhookConfiguration istio-sidecar-injector-external-istiod testing.yml:28) The hostname () that was provided for the webhook (rev.namespace.sidecar-injector.istio.io) to reach the ingress gateway on the external control plane cluster is blank. Traffic may not flow properly.
Warning [IST0163] (ValidatingWebhookConfiguration istio-validator-external-istiod testing.yml:1) The hostname () that was provided for the webhook (rev.validation.istio.io) to reach the ingress gateway on the external control plane cluster is blank. Traffic may not flow properly.

クラスターに、webhook URLが欠落している以下のValidatingWebhookConfigurationおよびMutatingWebhookConfigurationがある場合（わかりやすくするために短縮しています）

apiVersion: admissionregistration.k8s.io/v1
kind: ValidatingWebhookConfiguration
metadata:
  name: istio-validator-external-istiod
webhooks:
- admissionReviewVersions:
  - v1beta1
  - v1
  clientConfig:
    url:
  name: rev.validation.istio.io

---
apiVersion: admissionregistration.k8s.io/v1
kind: ValidatingWebhookConfiguration
metadata:
  name: istiod-default-validator
webhooks:
- admissionReviewVersions:
  - v1beta1
  - v1
  clientConfig:
    url: https://test.com:15017/validate
  failurePolicy: Ignore
  name: validation.istio.io

---
apiVersion: admissionregistration.k8s.io/v1
kind: MutatingWebhookConfiguration
metadata:
  name: istio-sidecar-injector-external-istiod
webhooks:
- admissionReviewVersions:
  - v1beta1
  - v1
  clientConfig:
    url:
  failurePolicy: Fail
  name: rev.namespace.sidecar-injector.istio.io
- admissionReviewVersions:
  - v1beta1
  - v1
  clientConfig:
    url: https://test.com/inject/cluster/your-cluster-name/net/network1
  failurePolicy: Fail
  name: rev.object.sidecar-injector.istio.io
- admissionReviewVersions:
  - v1beta1
  - v1
  clientConfig:
    url: https://test.com/inject/cluster/your-cluster-name/net/network1
  failurePolicy: Fail
  name: namespace.sidecar-injector.istio.io
- admissionReviewVersions:
  - v1beta1
  - v1
  clientConfig:
    url: https://test.com/inject/cluster/your-cluster-name/net/network1
  failurePolicy: Fail
  name: object.sidecar-injector.istio.io

このメッセージが表示されるのは

Warning [IST0163] (ValidatingWebhookConfiguration istio-validator-external-istiod testing.yml:1) The hostname (https://thisisnotarealdomainname.com:15017/validate) that was provided for the webhook (rev.validation.istio.io) to reach the ingress gateway on the external control plane cluster cannot be resolved via a DNS lookup. Traffic may not flow properly.

クラスターに、DNSルックアップ中に解決できないホスト名を使用している以下のValidatingWebhookConfigurationおよびMutatingWebhookConfigurationがある場合（わかりやすくするために短縮しています）

apiVersion: admissionregistration.k8s.io/v1
kind: ValidatingWebhookConfiguration
metadata:
  name: istio-validator-external-istiod
webhooks:
- admissionReviewVersions:
  - v1beta1
  - v1
  clientConfig:
    url: https://thisisnotarealdomainname.com:15017/validate
  name: rev.validation.istio.io

---
apiVersion: admissionregistration.k8s.io/v1
kind: ValidatingWebhookConfiguration
metadata:
  name: istiod-default-validator
webhooks:
- admissionReviewVersions:
  - v1beta1
  - v1
  clientConfig:
    url: https://test.com:15017/validate
  failurePolicy: Ignore
  name: validation.istio.io

---
apiVersion: admissionregistration.k8s.io/v1
kind: MutatingWebhookConfiguration
metadata:
  name: istio-sidecar-injector-external-istiod
webhooks:
- admissionReviewVersions:
  - v1beta1
  - v1
  clientConfig:
    url: https://test.com/inject/cluster/your-cluster-name/net/network1
  failurePolicy: Fail
  name: rev.namespace.sidecar-injector.istio.io
- admissionReviewVersions:
  - v1beta1
  - v1
  clientConfig:
    url: https://test.com/inject/cluster/your-cluster-name/net/network1
  failurePolicy: Fail
  name: rev.object.sidecar-injector.istio.io
- admissionReviewVersions:
  - v1beta1
  - v1
  clientConfig:
    url: https://test.com/inject/cluster/your-cluster-name/net/network1
  failurePolicy: Fail
  name: namespace.sidecar-injector.istio.io
- admissionReviewVersions:
  - v1beta1
  - v1
  clientConfig:
    url: https://test.com/inject/cluster/your-cluster-name/net/network1
  failurePolicy: Fail
  name: object.sidecar-injector.istio.io

解決方法

構成が無効な理由に応じて、これらの無効な構成を解決する方法はいくつかあります。

webhook構成にURLが定義されていない場合は、ホスト名を使用する有効なURLを追加すると、この警告メッセージが解決されます。その方法については、こちらをご覧ください。

ホスト名が DNS ルックアップによって IP アドレスに解決できない場合は、ローカルマシンで dig <your-hostname> を実行して、DNS 解決が行われるかどうかを確認できます。ローカルマシンが DNS ルックアップによってホスト名を解決できる場合、クラスターでは解決できない可能性があります。DNS トラフィックをブロックするセキュリティルールがあると、ルックアップの解決に失敗する可能性があります。新しい DNS レコードが Web 全体に伝播するには、DNS プロバイダーと特定の設定によっては最大 72 時間かかる場合があります。

ホスト名が 0 個の IP アドレスに解決される場合は、Webhook URL が正しいホスト名を使用していることと、DNS プロバイダーがホスト名を解決するための IP アドレスを少なくとも 1 つ正しく持っていることを確認してください。