Как port-forward избегает mtls

Question

У меня есть istio, настроенный с глобально включенным mtls. Я проверил это, врезавшись в банк без коляски посланника и выполнив команду завитка на http, что не удалось. Затем запустите curl на HTTPS с помощью сертификатов Istio, что сработало.

Когда я перенаправляю в службу, например, kubectl port-forward svc/my-svc 8080:80 Я могу получить доступ к своему приложению, перейдя на http://localhost:8080 Я ожидаю, что это не сработает, так как mtls соблюдается. Как работает этот port-forward с kubernetes? Идет ли он напрямую к узлу, минуя коляску?

Answer 1

Я обнаружил, что Istio работает параллельно со стандартными сетевыми службами Kubernetes и не влияет на трафик в случае port-forwarding.

Istio сетевой службысоздаст правило iptables точно так же, как kubectl port-forward или любая другая стандартная команда.

К сожалению, я не нашел официальной документации с объяснением того, как она работает.