验证通过Wireshark在Istio中启用了MTLS
我正在Kubernetes集群上运行服务,并且出于安全目的,我了解了名为istio的服务网格。 当前,我已经在istio-system名称空间中启用了Mtl,并且可以看到Sidecars在bookinfo服务的pod中运行。 但是,当通过Pod之间的Wireshark捕获流量时,我可以看到Wireshark中的上下文路由仍在HTTP中。我以为它应该是TLS加密的。
注意:我正在使用istio-1.6.3和服务的已定义网关和入口(Kubernetes入口)。
以下是屏幕截图: Wireshark image
1 个答案:
答案 0 :(得分:0)
正如我在评论中提到的那样,AFAIK是按设计工作的,如果要查看tls,可以尝试使用本tutorial中提到的内容。
看到与QOTM服务的未加密通信仅通过环回适配器发生,这只是TLS验证过程的一部分。理想情况下,您希望查看在群集周围流动的加密流量。为此,您可以删除“ http”过滤器,而是添加一个显示过滤器,以仅显示目标IP地址为QOTM Pod且目标端口为20000的TCP流量,您可以看到Envoy边车正在监听通过早期发布的kubectl describe命令。
@ jt97您好,我可以在kiali仪表板上看到锁徽章,我在某处读到这表示加密正在发生。
是的,确实有github issue。
希望您觉得这有用。
相关问题
- Istio,具有mTLS和现有证书的定制出口
- 在群集上启用了mTLS的AWS EKS上,无法通过Istio Gateway(以ELB运行)通过HTTPS访问pod
- 如果未将Mtls用于istio身份验证,则istio授权是否有效?
- 是否可以在不启用Istio mTLS的情况下使用服务呼叫案例中的K8S ServiceAccount对服务客户端进行身份验证?
- 在Istio中启用mTLS有什么好处?
- 为什么有两种方法可以在istio中启用mTLS?
- 在Istio中正确定义mTLS身份验证策略
- 验证通过Wireshark在Istio中启用了MTLS
- ISTIO使用Bookinfo设置mTLS和JWT
- istio操作员:通过文件传递入口mTLS证书
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?