通過wireshark驗證Istio中啟用的MTLS
[英]Verify MTLS enabled in Istio through wireshark
問題描述
我在 Kubernetes 集群上運行服務,出於安全目的,我開始了解名為 istio 的服務網格。 目前,我已經在 istio-system 命名空間中啟用了 Mtls,我可以看到 Sidecars 正在 bookinfo 服務的 pod 內運行。 但是在通過 Wireshark 在 pod 之間捕獲流量時,我可以看到我在 Wireshark 中的上下文路由仍在 HTTP 中。 我認為它應該在 TLS 中並加密。
注意:我使用 istio-1.6.3 和定義的網關和入口(Kubernetes 入口)到服務。
這是屏幕截圖: Wireshark 圖像
1 個解決方案
解決方案1
0 2020-07-15 08:58:31
正如我在評論中提到的,AFAIK 它按設計工作,如果您想查看 tls,您可以嘗試本教程中提到的內容。
看到與 QOTM 服務的未加密通信僅通過環回適配器進行,這只是 TLS 驗證過程的一部分。 理想情況下,您希望看到在集群周圍流動的加密流量。 您可以通過刪除“http”過濾器來實現此目的,而是添加一個顯示過濾器以僅顯示 TCP 流量,其目標 IP 地址為您的 QOTM Pod,目標端口為 20000,您可以看到 Envoy sidecar 正在偵聽通過之前發布的 kubectl describe 命令。
嗨@jt97 我可以在 kiali 儀表板中看到鎖定徽章,我在某處讀到這是那里正在發生加密的表示。
確切地說,有關於此的github 問題。
希望您覺得這個有幫助。
使用istio ingress訪問服務時,啟用mTLS時會出現503錯誤
[英]Accessing service using istio ingress gives 503 error when mTLS is enabled
使用Istio啟用MTL時,如何通過暴露的NodePort訪問服務?
[英]How can I access my service's through exposed NodePort when I enable mtls with Istio?
由於證書 mTLS 上的路徑無效,Istio Sidecar 代理無法啟動
[英]Istio Sidecar proxy fails to start due to Invalid path on certs mTLS
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
在全局啟用 istio 和 mTLS 的情況下公開虛擬服務
如何使 Redis 與啟用 mTLS 的 Istio 集群一起工作?
選擇性 Istio mTLS 是否可行?
使用istio ingress訪問服務時,啟用mTLS時會出現503錯誤
Istio mTLS 中的 TLS 版本和密碼
使用Istio啟用MTL時,如何通過暴露的NodePort訪問服務?
如何在 kube.netes 中調試與 istio 的 mTLS 通信?
為什么在 istio 中啟用 mTLS 有兩種不同的方式?
bookinfo 示例應用程序的 Istio mTLS 問題
由於證書 mTLS 上的路徑無效,Istio Sidecar 代理無法啟動
相關標簽