Шлюз приложений Azure, ISTIO и TLS

Question

Я имею дело с SSL-соединением между брандмауэром веб-приложений Azure и кластером Kubernetes через ISTIO.

Соединение клиента с Azure WAF уже зашифровано TLS.

AsНасколько я понимаю, я должен снова зашифровать данные в WAF.Могу ли я использовать те же сертификаты, которые я уже использовал для подключения к WAF?

Здесь я буду действовать, как описано в этой статье: application-gateway-end-to-end-ssl-powershell

Затем я должен поместить те же сертификаты в Istios Ingress Gateway.Как упомянуто здесь: Настройка входного шлюза TLS

> cat <<EOF | kubectl apply -f -
>  
> 
>    apiVersion: networking.istio.io/v1alpha3
>     kind: Gateway
>     metadata:
>       name: mygateway
>     spec:
>       selector:
>         istio: ingressgateway # use istio default ingress gateway
>       servers:
>       - port:
>           number: 443
>           name: https
>           protocol: HTTPS
>         tls:
>           mode: SIMPLE
>           serverCertificate: /etc/istio/ingressgateway-certs/tls.crt
>           privateKey: /etc/istio/ingressgateway-certs/tls.key
>         hosts:
>         - "httpbin.example.com"
>     EOF

Это правильно до сих пор?

Answer 1

Для меня наконец-то это сработало.У меня сложилась ситуация, когда Application Gateway развернут со своей собственной VirtualNetwork и Subnet.Поэтому я сделал Vnet Peering и подумал, что этого будет достаточно.Но это не так.После нескольких дней борьбы я обнаружил, что моя подсеть VirtualNetwork такая же, как и сеть докеров внутри AKS.Когда я заново создал ApplicationGateway с новой подсетью, которая не покрывает какую-либо часть подсети Docker, она сработала.

Answer 2

вам нужно использовать тот же сертификат, который вы указали в шлюзе приложений (так, как ожидает шлюз приложений сертификатов) в шлюзе istio.ваша конфигурация шлюза выглядит корректной, если сертификат одинаковый, а хост одинаковый.