Tenemos nuestra aplicación ejecutándose en el clúster aks y utilizando el gráfico de timón del administrador de certificados en un espacio de nombres separado para permitir cifrar la generación de certificados. El espacio de nombres argocd es para manejar implementaciones.
Necesitamos habilitar mTLS, ¿eso requiere que istio también esté etiquetado en los espacios de nombres argocd y cert-manager?
Y ya tenemos el ingreso de Azure Appgateway para enrutar el tráfico a las implementaciones que se ejecutan en nuestro espacio de nombres, por lo que no habilitamos el ingreso de Istio.
Una vez que habilité la opción estricta a nivel global, el enrutamiento no funciona desde el ingreso de la puerta de enlace de la aplicación Azure a nuestra aplicación.
kubectl apply -n istio-system -f - <<EOF
apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
name: default
spec:
mtls:
mode: STRICT
EOF
Y obteniendo 502 puerta de enlace incorrecta.
Si elimino la autenticación de pares anterior o la cambio a PERMISIVA. Entonces podrá acceder a la página sin error 502.
Qué hacer para que esto implemente el modo estricto pero sin ingreso a istio.
kubectl edit peerauthentication -n istio-system
peerauthentication.security.istio.io/default edited