ssl - 通过 Istio 入口网关的 TLS 握手失败(tlsMode=passthrough)-6ren

ssl - 通过 Istio 入口网关的 TLS 握手失败(tlsMode=passthrough)

转载作者：行者123 更新时间：2023-12-04 22:36:14

24

4

从外部客户端到 Kubernetes 集群内的服务器的 TLS 握手失败。这是关于理解原因。
我已经配置了一个 Istio 入口网关以通过在端口 15433 上接收到的 TLS，并将其路由到端口 433 上的服务器。
入口网关日志显示客户端尝试 TLS 握手时的事件，但不显示服务器日志，也不显示 istio-proxy 日志。
TLS 客户端 :

openssl s_client \ 
        -connect [redacted]-[redacted].us-west-2.elb.amazonaws.com:15443 \ 
        -servername myservice.mynamespace \ 
        -CAfile /path/to/ca.cert \ 
        -cert /path/to/cert.pem \ 
        -key /path/to/cert.key <<< "Q"

日志

CONNECTED(00000006) 
140090868934296:error:140790E5:SSL routines:ssl23_write:ssl handshake failure:s23_lib.c:177: 
--- 
no peer certificate available 
--- 
No client certificate CA names sent 
--- 
SSL handshake has read 0 bytes and written 298 bytes 
--- 
New, (NONE), Cipher is (NONE) 
Secure Renegotiation IS NOT supported 
Compression: NONE 
Expansion: NONE 
No ALPN negotiated 
SSL-Session: 
    Protocol  : TLSv1.2 
    Cipher    : 0000 
    Session-ID:  
    Session-ID-ctx:  
    Master-Key:  
    Key-Arg   : None 
    PSK identity: None 
    PSK identity hint: None 
    SRP username: None 
    Start Time: 1600987862 
    Timeout   : 300 (sec) 
    Verify return code: 0 (ok)

Istio 入口网关日志:

"- - -" 0 - "-" "-" 298 0 1069 - "-" "-" "-" "-" "192.168.101.136:443" outbound|443||myservice.mynamespace.svc.cluster.local 192.168.115.141:42350 192.168.115.141:15443 192.168.125.206:23298 myservice.mynamespace -

其中 192.168.101.136 是 myservice pod 的 IP，192.168.115.141 是 ingressgateway pod 的 IP。
根据 IP，这意味着客户端连接已到达网关，网关似乎已应用虚拟服务路由并记录它正在将其转发到 pod。看起来很正常，除了 pod 上的 istio-proxy 没有显示任何事件或服务器日志(尽管服务器没有记录传输层发生的事情)。
AFAIK 服务器已正确配置为 TLS，因为以下端口转发的 TLS 握手成功:

kubectl port-forward -n mynamespace service/myservice 4430:443 &
openssl s_client \
        -connect localhost:4430 \
        -CAfile /path/to/ca.cert \ 
        -cert /path/to/cert.pem \ 
        -key /path/to/cert.key <<< "Q"
# I get back a TLS session ID, looks good.

所以这说明 istio 的网关或者虚拟服务配置有问题。
网关:

apiVersion: networking.istio.io/v1alpha3
kind: Gateway
metadata:
  name: mygateway
  namespace: mynamespace
spec:
  selector:
    istio: ingressgateway
  servers:
    - port:
        number: 15443
        name: tls-passthrough
        protocol: TLS
      tls:
        mode: PASSTHROUGH
      hosts:
      - "*"

虚拟服务:

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: myservice
  namespace: mynamespace
spec:
  hosts:
  - "*" 
  gateways:
  - mygateway
  tls:
    - match:
      - port: 15443
        sniHosts:
        - myservice.mynamespace
      route:
      - destination:
          host: myservice
          port:
            number: 443

Kubernetes 服务:

apiVersion: v1
kind: Service
metadata:
  name: myservice
  namespace: mynamespace
  labels:
    app: myservice
spec:
  selector:
    app: myservice
  ports:
    - protocol: TCP
      port: 443
      targetPort: 443
      name: grpc-svc

更新:
实际上来自客户端的 TLS 流量确实到达了服务器 pod，我已经通过执行 tcpdump port 443 确认了这一点。在服务器 pod 上运行 openssl s_client 命令时查看数据包。不清楚为什么 pod 上的 istio-proxy 没有显示这一点，这并不能解释握手失败的原因。
我注意到别的东西。路过 -msg标记为 openssl s_client ，我看不到任何返回，在 >>>"之后没有 "<<<"，但 tcpdump 显示服务器 pod 将数据包发送回网关。

最佳答案

我的配置中有 2 个错误:

在我的 Kubernetes 服务的配置中。不幸的是，我的 TCP 端口 443 的名称是 grpc-svc这打破了 TLS 直通。将此端口重命名为 tcp-svc解决问题。

我不应该使用入口端口 15443，这似乎是为其他东西保留的。在 ingressgateway 上打开另一个端口 9444，然后在网关上配置端口 9444，就像我在我的问题中配置端口 15443 一样(即配置 TLS 直通)，然后将虚拟服务配置为路由 9444，就像我配置虚拟服务一样我的问题中 15433 的路线。

做这两个允许 openssl s_client从外部客户端通过入口成功与 kubernetes 服务进行 TLS 握手。

关于ssl - 通过 Istio 入口网关的 TLS 握手失败(tlsMode=passthrough)，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/64056166/

24

4

0

文章推荐： azure - .Net Core 微服务 : using HTTPS on Kubernetes on Azure (AKS)

文章推荐： ios - 带有 VNRecognizedObjectObservation 的 boundingBox 框架不正确

文章推荐： .net - WebApp 的 APEX 限制

encryption - TLS over TLS 可能吗？
是否可以使用 OpenSSL 或其他工具通过 TLS 建立 TLS 连接？如果可能，每个级别的证书是否需要不同？最佳答案这在理论上应该工作得很好，但我不能确定 OpenSSL 或其他东西是否会轻
java - SSLContext.getInstance ("TLS") 是否也支持 TLS v1.1 和 TLS v1.2 ？
在我的 java 代码中，我正在使用命令创建 SSL 上下文的一个实例 SSLContext ctx = SSLContext.getInstance("TLS"); 但是在我的 tomcat 服务器
java - SSLContext.getInstance ("TLS") 是否也支持 TLS v1.1 和 TLS v1.2？
在我的 java 代码中，我正在使用命令创建一个 SSL 上下文实例 SSLContext ctx = SSLContext.getInstance("TLS"); 但在我的 tomcat 服务器中，
ssl - Hyperledger Fabric - 调用错误/TLS 握手失败，错误为 tls : first record does not look like a TLS handshake
范围:这是一个具有一个 channel 的网络，该 channel 由 3 个组织组成，每个组织 1 个 anchor 节点，每个组织 1 个 CA 和每个组织 1 个 MSP。我在我的 Hyper
ssl - 当 TLS 和 SSL 不同并且 TLS 与 SSL 相比是新的时，为什么 IIS 不显示启用 tls 的特定设置
无法找到用于在 iis 上启用/禁用 tls 的特定设置。启用/禁用 ssl 是否与启用/禁用 tls 相同？我浏览了一些博客，发现 SSL 是 TLS 的前身，旧版本的 SSL 已被弃用。但我无法
ssl - 是否应该仅在 TLS 握手期间执行相互 TLS？
最近，我一直在为基于物联网的项目评估不同的 API 网关 (API GW) 选项。这样做的目的是找到一个足够好的解决方案来执行设备和 API GW 的相互 TLS (mTLS) 身份验证。我尝试过的
c# - 打开 TLS 1.0、TLS 1.1、TLS 1.2 ... Asp.NET IIS 10.0
几个月来，我的 Web 应用程序在不同版本的 IE/Firefox/Chrome 上运行良好。我的应用程序在 IIS 10.0 上运行。当我从 Windows 7 框 (IE 11.0.***) 中点
java - 如何强制 java 服务器只接受 tls 1.2 并拒绝 tls 1.0 和 tls 1.1 连接
我有一个在 Java 7 上运行的 HTTPS 网络服务。我需要进行更改，以便此服务仅接受 TLS1.2 连接并拒绝 SSL3、TLS1.0 和 TLS1.1。我添加了以下 Java 参数，使 TL
internet-explorer - IE TLS 阻止如何在 tomcat 6 和 java 6 中从 TLS 1.0 移动到 TLS 1.2
我在资源管理器不显示网站时遇到问题:“无法显示此页面。在高级设置中打开 TLS 1.0、TLS 1.1 和 TLS 1.2”。我在 chrome 中调试了证书并说“连接是使用 aes_128_cbc
ssl - TLS 握手失败，错误为 tls : first record does not look like a TLS handshake server=Orderer remoteaddress=192. 168.144.4:43496
我正在与 5 个订购者、1 个组织和 2 个同行建立我的网络。还有 1 个 cli 和 1 个 ca。我从 1 个排序者扩展到 5 个实现 Raft 的排序者。这就是为什么我想扩展我的网络并对多个对
k8s TLS bootstrap解析-k8s TLS bootstrap流程分析
当k8s集群开启了TLS认证后，每个节点的kubelet组件都要使用由kube-apiserver的CA签发的有效证书才能与kube-apiserver通信；当节点非常多的时候，为每个节点都单独签署证
ssl - 尝试进行 TLS 调用时 TLS 握手失败的原因
我正在尝试使用 pjsip 安装中的 pjsua 程序在两个虚拟机之间进行安全调用。我通过以下方式在每个节点上启动程序: pjsua-x86_64-unknown-linux-gnu --use-tl
security - Java gRPC - TLS - 如何在客户端设置双向 TLS？
我开发的软件应用程序使用 gRPC 在客户端和服务器之间建立双向流。我只在 java 中寻找类似于这张票的答案的东西:How to enable server side SSL for gRPC?
certificate - 由于 TLS 解密错误导致 TLS 握手失败
我正在尝试调试与 TLS 相关的问题。TLS 在两个应用程序客户端 A 和服务器 B 之间设置。A 和 B 都交换了证书，我已经验证证书具有正确的扩展名，并且还通过其根 CA 成功验证。叶证书的根 C
security - 即使在客户端禁用 TLS 1.2 后，Java 1.8 客户端和以 FIPS 模式运行的 Java 1.7 TLS 1.1 服务器之间的 TLS 握手失败
“Java 1.7 TLS 1.1 服务器”和“Java 1.8 客户端”之间的 SSL/TLS 握手在我的环境中失败，服务器端出现以下异常: java.security.NoSuchAlgorith
docker - 我是否尝试连接到没有 TLS 的启用 TLS 的守护程序？
我正在尝试了解 Docker ，但我不断收到神秘的(对我而言)错误消息。可能最简单的例子是尝试打印我安装的 Docker 版本: $ sudo docker version Client versi
wordpress - 如何禁用 TLS 1.0 和 1.1 以在 Apache 中为 Wordpress Bitnami Amazon-Ligthsail 实例仅启用 TLS 1.2 和 TLS 1.3？
这是我第一次使用 Amazon Lighsail、Wordpress Multisite、Bitnami甚至使用 Let's Encrypt；现在似乎一切正常，除了我的虚拟主机文件中的 SSL 指令。
ssl - MariaDB 启用 TLS 但仍然允许没有 TLS 的连接
我有一个 MariaDB "M"。在同一台机器上有一个应用程序“A”，它可以访问它。在不同的服务器上，另一个应用程序“B”也在访问它。现在我想在 MariaDB 上启用 TLS 以保护连接 B ->
python - 我怎样才能最轻松地通过 python 的 TLS 代理命令制作 TLS？
我正在寻找通过代理连接到一些 HTTPS/TLS 站点，其中到代理本身的连接也是通过 HTTPS/TLS 建立的，来自一个高度依赖请求的 python 应用程序。 urllib3(因此 request
ssl - TLS - 通常在哪里为 MQTT 代理执行 tls 握手？
现在我正在努力改变 EMQtt 和 Erlang MQTT 代理，以便我可以使用预共享 key 而不是非对称方法执行 TLS 握手。到目前为止，我几乎遍历了源代码中的每个文件，但找不到任何加密函数。

首页

博学

6Ren·AI

商城

ssl - 通过 Istio 入口网关的 TLS 握手失败(tlsMode=passthrough)