Istio:authn tls-check 和外部服务

【问题标题】:Istio: authn tls-check and external servicesIstio:authn tls-check 和外部服务
【发布时间】:2018-10-28 18:30:46
【问题描述】:

在我的 istio 网格中,我配置了 mTLS,并且我正在使用一些外部到网格和外部到集群的服务:我可以通过创建禁用 TLS 的 trafficPolicy 来很好地连接到它们,但无论我做什么,我都无法让 authn tls-check 感到高兴,因为它总是显示 CONFLICT 与 mTLS 中的服务器和 HTTP 中的客户端。

据我了解,这种情况下的“服务器”在网格外部,我似乎无法创建适用于它的策略来告诉 istio 该服务器未使用 mTLS(显然,因为它是在网格之外):是否有人能够进行设置,以便您为 mTLS 网格提供外部服务,并且 auth tls-check 显示 OK, 服务器和客户端都禁用了 mTLS?

【问题讨论】:

    标签: istio mtls


    【解决方案1】:

    您应该使用 http 协议为您的外部服务创建一个ServiceEntry,然后您应该能够调用它。您无需设置 trafficPolicy。

    apiVersion: networking.istio.io/v1alpha3
kind: ServiceEntry
metadata:
  name: external-svc-myservice
spec:
  hosts:
  - myservice.com
  location: MESH_EXTERNAL
  ports:
  - number: 80
    name: http
    protocol: HTTP
  resolution: DNS

    【讨论】:

    • 感谢您的回答,但正如我所说的,我可以连接到它,按照文档所述配置它没有问题,我只是想弄清楚是否有可能让 istioctl authn tls-check 到不打印 CONFLICT,为此我认为您需要一个政策,不是吗?
    • 我认为没有冲突,因为 mTLS 是为“mesh internal”请求配置的,这是一个“mesh external”服务。所以我认为这可能是 istioctl 中的一个错误。我建议打开一个 Istio 问题。
    猜你喜欢
    • 2019-02-02
    • 2018-03-03
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2021-01-19
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode