elasticsearch - 选择性 Istio mTLS 是否可行?
问题描述
我在 Kubernetes 1.15.9 上运行了 Istio 1.4.0。我正在尝试实现以下目标,但我阅读 Istio 文档的次数越多,我就越感到困惑。让我用一种简单的方式来说明。
第一件事是,我想拥有 mTLS 以获得最大的服务(如果可能的话)。
我有一个在 9300 上公开了服务的 elasticsearch-master pod。我有一个在 9200 和 9300 上公开了服务的 elasticsearch-data pod。当我启用了 Istio 的默认自动 mTLS 时,这两个 pod 都工作得很好,并且是一个健康的 ES集群启动。我认为这是因为 ES 主节点和数据节点通过端口 9300 进行通信。另外,我不想从 K8S 集群外部访问任何这些 ES pod。
现在,我想启动一个在 5601 上公开服务的 Kibana pod。当我在启用 Istio 的默认自动 mTLS 的情况下启动 Kibana pod 时,它无法启动。因为它无法连接到 9200 上的 elasticsearch-data 服务。我收到各种 SSL 错误(可能是因为整个 mTLS 的事情?)。我不知道是否有可能与整个 Istio 的 Automatic mTLS 启用连接。另外,我想从 K8S 集群外部访问这个 Kibana。
感谢你的帮助。谢谢。
- 阿吉特
解决方案
Kibanahttp仅使用 URL。但是为了使 elasticsearch 主节点和节点相互通信,我必须将端口9300放在 Istio 的排除列表中。
推荐阅读
- python - 如何让实例自行删除?
- c++ - 为什么我们在重载“>>”和“<<”时需要通过引用传递?
- java - 如何在 selenium 自动化测试期间模拟离线互联网连接,然后使用 BrowserMobProxy 再次打开它?
- spring-cloud-config - 我可以从 Hashicorp Vault 获取 Spring Cloud Config Server 的 encrypt.key 吗?
- amazon-web-services - 由于 aws-auth ConfigMap 问题,无法更新 EKS NodeGroup
- java - 你能强制一个函数不返回前一个堆栈,而只是在 Java Servlet 中发送重定向吗?
- javascript - 使用语言服务器查找范围内的所有函数
- reactjs - ReactJS - 在文件之间传递 useState 的替代方法
- firebase-authentication - 为什么我的 gmail 登录无法通过 firebase
- html - 有没有办法在使用 jQuery/HTML 的网站上捕获视频内容并将其保存到文件中