【发布时间】:2020-11-02 12:11:04
【问题描述】:
我在 Kubernetes 集群上运行服务,出于安全目的,我开始了解名为 istio 的服务网格。 目前,我已经在 istio-system 命名空间中启用了 Mtls,我可以看到 Sidecars 在 bookinfo 服务的 pod 内运行。 但是在通过 Wireshark 在 pod 之间捕获流量时,我可以看到我在 Wireshark 中的上下文路由仍在 HTTP 中。我认为它应该是 TLS 并加密的。
注意:我正在使用 istio-1.6.3 和定义的网关和入口(Kubernetes 入口)到服务。
这是屏幕截图: Wireshark image
【问题讨论】:
-
你好,据我检查here,它按设计工作。如果您想查看 tls,您可以尝试上面教程中提到的内容,
You can do this by removing the “http” filter, and instead adding a display filter to only show TCP traffic with a destination IP address of your Pod and a target port of 20000, which you can see that the Envoy sidecar is listening on via the earlier issued kubectl describe command。你可以试试,让我知道这是否有效? -
嗨@jt97 我可以在 kiali 仪表板中看到锁定徽章,我在某处读到这是那里正在发生加密的表示。我对如何在不同的命名空间中创建不同的虚拟服务感到困惑。如果我需要公开相同的服务。那么VS应该是什么?网关如何识别应该去哪个命名空间请求?
-
你好@hardik dadhich,我已经发布了一个答案来回答你的问题。关于第二个关于不同命名空间中不同虚拟服务的问题,您应该根据 stackoverflow 规则创建一个带有新问题的新线程,one question per post,因为它可以帮助具有适当标题的其他用户。
标签: kubernetes wireshark istio kiali