503激活MTLS策略时的响应

Question

我是istio的新手，并尝试在我的测试集群上的istio网格中设置mTLS。我已经使用Helm设置了一个wordpress应用程序(这个版本被称为"exasperated-whippet")，并且正在使用curl从一个高山测试pod请求内容。

没有任何mTLS设置，一切都可以正常工作。

当我创建此目标规则时：

apiVersion: "networking.istio.io/v1alpha3"
kind: "DestinationRule"
metadata:
  name: "exasperated-whippet-wordpress-mtls-dr"
spec:
  host: exasperated-whippet-wordpress
  trafficPolicy:
    tls:
      mode: ISTIO_MUTUAL

请求仍然可以正常地到达服务，并且Kiali向流量添加了一个锁徽章，它应该表示流量是加密的(对吗？)。

但是，一旦我添加了此策略as described in the Mutual TLS Migration documentation

apiVersion: "authentication.istio.io/v1alpha1"
kind: "Policy"
metadata:
  name: "exasperated-whippet-wordpress-mtls-policy"
spec:
  targets:
  - name: exasperated-whippet-wordpress
  peers:
  - mtls:
        mode: STRICT

流量崩溃了，我得到了503个响应。

我是不是漏掉了什么？

Answer 1

我自己找到了答案。

该错误是由于Wordpress的就绪和活性探测造成的。在启用了严格的策略后，他们的流量没有被sidecar容器重写，当后端如预期的那样失败时，看起来mTLS根本就不工作了。

启用probe rewrite功能最终解决了这个问题。