Kubernetes 在Istio中配置用于转发客户端证书的EnvoyFilter
以下是我的配置(参考github的XFCC常见示例): 两个问题:Kubernetes 在Istio中配置用于转发客户端证书的EnvoyFilter,kubernetes,kubernetes-ingress,istio,envoyproxy,Kubernetes,Kubernetes Ingress,Istio,Envoyproxy,以下是我的配置(参考github的XFCC常见示例): 两个问题: 我的IngressGateway是在自定义命名空间“X”中配置的,我是否也应该在该命名空间中配置EnvoyFilter?还是违约?或Istio系统 我有一个场景,集群外的客户端调用我的API并在头中传递证书(我在网关上进行TLS终止,并配置了全局mtls和ISTIO_MUTUAL客户端),我需要将该证书传递给集群内的服务。不幸的是,在上述配置中,XFCC头只包含citadel内部证书的证书详细信息,而不包含客户端的证书详细信息
apiVersion: networking.istio.io/v1alpha3
kind: EnvoyFilter
metadata:
name: xfcc-forward
namespace: istio-system
spec:
configPatches:
- applyTo: NETWORK_FILTER
match:
context: GATEWAY
listener:
filterChain:
filter:
name: "envoy.http_connection_manager"
patch:
operation: MERGE
value:
typed_config:
"@type": "type.googleapis.com/envoy.config.filter.network.http_connection_manager.v2.HttpConnectionManager"
forward_client_cert_details: ALWAYS_FORWARD_ONLY
set_current_client_cert_details:
subject: true
cert: true
chain: true