istio 允许服务间不安全连接
集群中开启了自动注入istio, 但是通过 statefulset 创建的服务没办法注入。
导致istio已经注入的服务访问有状态服务时出现不可信任连接。 导致服务无法访问。
可以通过下面指定host允许不安全连接。
apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
name: consul
namespace: test
spec:
host: test-consul.test.svc.cluster.local
trafficPolicy:
tls:
mode: DISABLE
当然还可以手动注入statefulset 服务。这样istio接管流量,即可实现安全连接。
具体:
kubectl get pod test-consul -n test -o yaml > test-consul.yaml
istioctl kube-inject -f test-consul.yaml | kubectl apply -f -
已知问题:
consul 注册中心 不能注入istio 。注入后,服务已关但服务注册还在,监控检查也能通过。