端口转发如何避免 mtls

【问题标题】:How does port-forward avoid mtls端口转发如何避免 mtls
【发布时间】:2018-09-12 13:38:48
【问题描述】:

我已经设置了全局启用 mtls 的 istio。我已经通过在没有特使边车的情况下猛击一个罐子来验证它,并在 http 上运行 curl 命令,但失败了。然后使用 Istio 证书在 HTTPS 上运行 curl,这很有效。

当我端口转发到服务时,eq kubectl port-forward svc/my-svc 8080:80 我可以通过转到 http://localhost:8080 来访问我的应用程序 我希望这不起作用,因为正在执行 mtls。 这个与 Kubernetes 的端口转发是如何工作的?它是否直接进入节点,从而绕过sidecar?

【问题讨论】:

  • 端口转发到使用nsenter的pause容器的进程
  • How kubectl port-forward works?的可能重复
  • 嗨@Akar,我在询问之前阅读了那里的答案,但它没有回答这种情况。 IE。转发到 pod 不够具体,因为对于 istio,它位于 pod 中,应该拦截所有流量。
  • 可以分享一下pod部署和my-svc服务的配置吗?

标签: kubernetes portforwarding istio


【解决方案1】:

我发现 Istio 与标准 Kubernetes 网络服务并行工作,并且在 port-forwarding 的情况下不会影响流量。

Istio 网络服务将创建与 kubectl port-forward 或任何其他标准命令完全相同的 iptables 规则。

很遗憾,我没有找到任何官方文档来解释它是如何工作的。

【讨论】:

    猜你喜欢
    • 2018-01-27
    • 1970-01-01
    • 2021-04-06
    • 2021-04-30
    • 2011-08-29
    • 2013-01-16
    • 2011-11-24
    • 2019-12-25
    • 2014-07-09
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode