我当前在部署helm/rabbitmq-ha
时遇到问题。当Istio
设置为Strict
时它不起作用,而仅当Istio
设置为Permissive
时它起作用。最初的问题似乎是因为rabbitmq使用podip on port epmd for local redirection
而不是localhost/127.0.0.1
导致mtls连接失败。我通过"授权"这个端口(换句话说,不需要mtls(暂时解决了这个问题。不幸的是,我收到了其他错误。我很好奇rabbitmq的配置是否有类似于redis的集群公告ip变量的内容。我知道pod ip很可能在两个不同rabbitmqpod的特使之间重定向时丢失。我认为这可能导致了额外的错误?若有人用Strict Permission
成功地将helm/rabbitmq-ha
放置在Istio
上,请告诉我。
使用Istio mTLS运行RabbitMQ有三个不同的问题。
-
- 状态集pod发现
-
- 用于POD IP通信的双向TLS
-
- 无头服务DNS条目无法参与MTLS
所有这些都经过了很好的描述,并且在这个github项目中都有解决方案。
希望这能有所帮助。