Temos nosso aplicativo em execução no cluster aks e usando o gráfico helm do cert-manager em um namespace separado para permitir a criptografia da geração de certificados. O namespace argocd é para lidar com implantações.
Precisamos habilitar o mTLS. Isso exige que o istio também seja rotulado nos namespaces argocd,cert-manager?
E já temos a entrada do azure appgateway para rotear o tráfego para as implantações em execução em nosso namespace, portanto, não habilitamos a entrada do istio.
Depois que habilitei a opção estrita em nível global, o roteamento não está funcionando da entrada do gateway de aplicativo do Azure para nosso aplicativo.
kubectl apply -n istio-system -f - <<EOF
apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
name: default
spec:
mtls:
mode: STRICT
EOF
E obtendo 502 gateway ruim.
Se eu remover a peerauthentication acima ou alterar para PERMISSIVE. Então ele consegue acessar a página sem erro 502.
O que fazer para implementar o modo estrito, mas sem entrada do istio.
kubectl edit peerauthentication -n istio-system
peerauthentication.security.istio.io/default edited