istio permite conexiones inseguras entre servicios
La inyección automática de istio está habilitada en el clúster, pero los servicios creados a través de statefulset no se pueden inyectar.
Esto conduce a conexiones que no son de confianza cuando los servicios inyectados por istio acceden a servicios con estado. No se puede acceder al servicio.
Puede permitir conexiones inseguras especificando el host a continuación.
apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
name: consul
namespace: test
spec:
host: test-consul.test.svc.cluster.local
trafficPolicy:
tls:
mode: DISABLE
Por supuesto, también puede inyectar manualmente el servicio statefulset. De esta forma, istio se hace cargo del tráfico para lograr una conexión segura.
específico:
kubectl get pod test-consul -n test -o yaml > test-consul.yaml
istioctl kube-inject -f test-consul.yaml | kubectl apply -f -
Problemas conocidos: el
registro del cónsul no puede inyectar istio. Después de la inyección, el servicio se cierra pero el registro del servicio todavía está allí y la inspección de monitoreo también puede pasar.