我当前在部署helm/rabbitmq-ha时遇到问题。当Istio设置为Strict时它不起作用,而仅当Istio设置为Permissive时它起作用。最初的问题似乎是因为rabbitmq使用podip on port epmd for local redirection而不是localhost/127.0.0.1导致mtls连接失败。我通过"授权"这个端口(换句话说,不需要mtls(暂时解决了这个问题。不幸的是,我收到了其他错误。我很好奇rabbitmq的配置是否有类似于redis的集群公告ip变量的内容。我知道pod ip很可能在两个不同rabbitmqpod的特使之间重定向时丢失。我认为这可能导致了额外的错误?若有人用Strict Permission成功地将helm/rabbitmq-ha放置在Istio上,请告诉我。
使用Istio mTLS运行RabbitMQ有三个不同的问题。
-
- 状态集pod发现
-
- 用于POD IP通信的双向TLS
-
- 无头服务DNS条目无法参与MTLS
所有这些都经过了很好的描述,并且在这个github项目中都有解决方案。
希望这能有所帮助。