Наше приложение работает в кластере aks и использует cert-manager helm chart в отдельном пространстве имен для генерации сертификатов lets encrypt. Пространство имен argocd предназначено для обработки развертываний.
Нам необходимо включить mTLS. Требуется ли для этого, чтобы istio также был помечен в пространствах имен argocd, cert-manager?
И у нас уже есть Azure AppGateway Ingress для маршрутизации трафика к развертываниям, работающим в нашем пространстве имен, поэтому мы не включили Istio Ingress.
После включения строгой опции на глобальном уровне маршрутизация не работает от входа шлюза приложений Azure до нашего приложения.
kubectl apply -n istio-system -f - <<EOF
apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
name: default
spec:
mtls:
mode: STRICT
EOF
И получаю ошибку 502 bad gateway.
Если я удалю указанную выше peer-authentication или изменю ее на PERMISSIVE. Тогда он сможет получить доступ к странице без ошибки 502.
Что нужно сделать, чтобы реализовать строгий режим, но без istio ingress.
kubectl edit peerauthentication -n istio-system
peerauthentication.security.istio.io/default edited