АШ
Имена портов не причем 😉
Size: a a a
2019 October 23
АШ
Если у gateway 3 порта, каждый из них ждёт одинаковый hosts. Как virtual service выбрать конкретный порт? Очевидно hosts и gateways недостаточно. Есть какой-нибудь port selector или как это правильно делается? Благодарю.
АШ
Возможно надо много gateways, на каждый по порту? Не возникнет ли коллизий?
AK
Gateway внутри может иметь много servers и все они могут слушать любые порты и домены
AK
Далее virt service просто совпадениям хостов также коннектится к нужным
HK
привет всем. подскажите, можно ли в зависиости от юзер-агента добавлять нужный хедер? если да, то как?
AK
Можно
AK
Можно посмотреть в сторону фильтров
HK
можете пример привести плз?
2019 October 24
HC
Huan Karlos
привет всем. подскажите, можно ли в зависиости от юзер-агента добавлять нужный хедер? если да, то как?
Копать в сторону EnvoyFilters, а там куда гугл приведёт.
HK
Спасибо
HC
ну похоже что надо специально плясать, вот похожая грабля https://github.com/istio/istio/issues/7679
Это был пророческий месседж. Теперь вот предстоит поплясать с данным солюшеном.
D
Дело все таки было в SNI)
А можно подробнее при чем он оказался. Sni параметры в вирчуалсервисе не надо указывать, потому что под капотом голый http. Или sni это только относительно курла?
АШ
Только относительно curl. Т.е. конфигурация судя по всему была рабочей. У меня сформировалась гипотеза, что hosts сопоставляется после распаковки tls, по этому не мог без SNI (поправьте к). Пришел запрос в tls, ищем hosts=sni, распаковываем tls, отдаем в virtual service, он уже роутит по http (если у нас на gateway стоит simple TLS), пакует в свой tls (у меня mTLS), отдает на целевой side car.
D
Ок. Все мне ясно стало теперь)
Спасибо!
Спасибо!
АШ
Кстати, попутный вопрос: inside_app_1 -https-> sidecar_1 -mTLS-> sidecar_2 -https-> inside_app_2 это ок, outside_app_3 -https-> gateway -mTLS-> sidecar_2 -http-> inside_app_2 почему приходит http?! Так и не мог заставить передать тот же входящий https
D
так если в конечном приложении http, вроде все логично.
ну либо я схему не понял 🙂
ну либо я схему не понял 🙂
АШ
В данном случае конечное приложение nginx
АШ
Он не даст h2 без tls...
DZ
Только относительно curl. Т.е. конфигурация судя по всему была рабочей. У меня сформировалась гипотеза, что hosts сопоставляется после распаковки tls, по этому не мог без SNI (поправьте к). Пришел запрос в tls, ищем hosts=sni, распаковываем tls, отдаем в virtual service, он уже роутит по http (если у нас на gateway стоит simple TLS), пакует в свой tls (у меня mTLS), отдает на целевой side car.
история не про курл в частности, а про https в целом: sni изначально идёт в незашифрованом видет (потому и на проксях можно не раскрывая ssl узнать домен и заблокировать)
только собираются внедрить шифрование в том числе для sni
только собираются внедрить шифрование в том числе для sni