我对istio相当陌生,并尝试在测试集群的istio网格中设置mTLS。我已经使用Helm设置了一个wordpress应用(该版本称为“激怒的whippet”),并使用curl从高山测试吊舱中请求内容。
没有任何mTLS设置,一切正常。
创建此目标规则时:
apiVersion: "networking.istio.io/v1alpha3"
kind: "DestinationRule"
metadata:
name: "exasperated-whippet-wordpress-mtls-dr"
spec:
host: exasperated-whippet-wordpress
trafficPolicy:
tls:
mode: ISTIO_MUTUAL
请求仍然可以正常到达服务,而Kiali为流量添加了一个锁徽章,该徽章应表示流量已加密(对吗?)。
但是,一旦我添加了此政策as described in the Mutual TLS Migration documentation:
apiVersion: "authentication.istio.io/v1alpha1"
kind: "Policy"
metadata:
name: "exasperated-whippet-wordpress-mtls-policy"
spec:
targets:
- name: exasperated-whippet-wordpress
peers:
- mtls:
mode: STRICT
交通崩溃,我得到了503条回复。
我在这里想念东西吗?
答案 0 :(得分:1)
我自己找到了答案。
该错误是由于Wordpress的就绪性和活跃性调查所致。在启用严格的策略之后,它们的流量没有被sidecar容器重写,并且当仅后端发生故障时,mTLS似乎根本无法工作。
启用probe rewrite功能最终将其修复。