我在 Kubernetes 集群上运行服务,出于安全目的,我开始了解名为 istio 的服务网格。目前,我已经在 istio-system 命名空间中启用了 Mtls,我可以看到 Sidecars 正在 bookinfo 服务的 pod 内运行。但是在通过 Wireshark 在 pod 之间捕获流量时,我可以看到我在 Wireshark 中的上下文路由仍在 HTTP 中。我认为它应该在 TLS 中并加密。
注意:我使用 istio-1.6.3 和定义的网关和入口(Kubernetes 入口)到服务。
这是屏幕截图: Wireshark 图像
正如我在评论中提到的,AFAIK 它按设计工作,如果您想查看 tls,您可以尝试本教程中提到的内容。
看到与 QOTM 服务的未加密通信仅通过环回适配器进行,这只是 TLS 验证过程的一部分。理想情况下,您希望看到在集群周围流动的加密流量。您可以通过删除“http”过滤器来执行此操作,而是添加一个显示过滤器以仅显示具有 QOTM Pod 的目标 IP 地址和目标端口 20000 的 TCP 流量,您可以看到 Envoy sidecar 正在侦听通过之前发布的 kubectl describe 命令。
嗨@jt97 我可以在 kiali 仪表板中看到锁定徽章,我在某处读到这是那里正在发生加密的表示。
确切地说,有关于那个的github问题。
希望您觉得这个有帮助。
