我可以在 Istio 上禁用 mTLS,这样我的 sidecar 将在没有证书的情况下启动吗?

问题描述 投票:0回答:1

在引入 istiod 之前,我们正在将一些服务从相当旧的版本转移到使用 istio 1.15(及更高版本)。在我们的旧集群上,TLS 默认情况下处于禁用状态,因此我们的服务都不需要证书。 现在,在这个新版本中,默认情况下启用 TLS,有些服务很乐意为此创建证书,有些则不然。 那些没有证书且启用了 sidecar 代理的服务将不会在我们较新的集群上运行,因为它正在查找的证书不存在/未安装: 

failed to start SDS server: failed to start workload secret manager failed to find root CA cert for CA: root CA file for CA does not exist ./etc/certs/root-cert.pem
我正在尝试完全禁用 TLS 以使每个人都满意,但没有成功。

我尝试使用适用于这些服务的设置覆盖 IstioOperator,但随后 ingressgateway 无法启动: 

controlPlaneAuthPolicy: NONE
我已经在网格范围内创建了一个 PeerAuthentication 策略,但这并不能阻止 pod sidecar 在启动时寻找证书。

我之前从未真正使用过 istio,因此我们将不胜感激。

istio istio-sidecar
1个回答
0
投票

我发布此消息的第二次我就明白了。 我们使用的是第 3 方证书,因此要切换回使用 istio 作为 CA,而不是完全禁用 mTLS,我在 istio 操作员 CRD 中修改了这两个设置:

# Was set to true hence the error above.
mountMtlsCerts: false

# Was set to custom
pilotCertProvider: istiod
最新问题
© www.soinside.com 2019 - 2024. All rights reserved.