Добрый день. Есть такой вопрос:
Есть кластер Кубера с istio sidecar, который контролирует исходящий трафик. Есть некоторые запросы, которые приложения должны отправлять не напрямую, а через внешний прокси сервер.
Вот эта (
https://istio.io/latest/docs/tasks/traffic-management/egress/http-proxy/) инструкция рассказывает как разрешить доступ к домену через прокси, но в данном случае в поде, из которого идет запрос, необходимо настраивать параметры *_PROXY.
Если возможность, чтобы поды (точнее контейнеры с приложением) ничего не знали про PROXY-сервер, но при исполнении запроса istio-proxy перенаправлял этот запрос на внешний проки?
Получилось настроить трафик через внешний прокси, так, чтобы поды не знали о прокси.
HTTP - работает нормально
HTTPS - ловится ошибка: "curl: (35) OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection"
Настройка:
apiVersion: networking.istio.io/v1alpha3
kind: ServiceEntry
metadata:
name: proxy
spec:
hosts:
- proxy.external.ru
ports:
- number: 3128
name: tcp
protocol: TCP
resolution: DNS
location: MESH_EXTERNAL
---
apiVersion: networking.istio.io/v1alpha3
kind: ServiceEntry
metadata:
name: wikipedia-org
spec:
hosts:
- wikipedia.org
ports:
- number: 80
name: http
protocol: HTTP
resolution: DNS
location: MESH_EXTERNAL
---
apiVersion: networking.istio.io/v1alpha3
kind: ServiceEntry
metadata:
name: wikipedia-org-https
spec:
hosts:
- wikipedia.org
ports:
- number: 443
name: https
protocol: HTTPS
resolution: DNS
location: MESH_EXTERNAL
---
apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
name: wikipedia-org
namespace: test
spec:
hosts:
- wikipedia.org
gateways:
- mesh
http:
- match:
- gateways:
- mesh
port: 80
route:
- destination:
host: proxy.external.ru
port:
number: 3128
tls:
- match:
- gateways:
- mesh
port: 443
sniHosts:
- wikipedia.org
route:
- destination:
host: proxy.external.ru
port:
number: 3128
Подскажите как ошибку серта пофиксить?
