istio 允許服務間不安全連接
集羣中開啓了自動注入istio, 但是通過 statefulset 創建的服務沒辦法注入。
導致istio已經注入的服務訪問有狀態服務時出現不可信任連接。 導致服務無法訪問。
可以通過下面指定host允許不安全連接。
apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
name: consul
namespace: test
spec:
host: test-consul.test.svc.cluster.local
trafficPolicy:
tls:
mode: DISABLE
當然還可以手動注入statefulset 服務。這樣istio接管流量,即可實現安全連接。
具體:
kubectl get pod test-consul -n test -o yaml > test-consul.yaml
istioctl kube-inject -f test-consul.yaml | kubectl apply -f -
已知問題:
consul 註冊中心 不能注入istio 。注入後,服務已關但服務註冊還在,監控檢查也能通過。