NoServerCertificateVerificationPortLevel

消息名称NoServerCertificateVerificationPortLevel
消息代码IST0129
描述DestinationRule 中未设置 caCertificates,这会导致对给定端口的流量不会验证所提供的服务器证书。
级别警告

当目标规则中未设置caCertificates,但流量策略需要它时,会显示此消息。

示例

您将收到此消息

Error [IST0129] (DestinationRule db-tls.default) DestinationRule default/db-tls in namespace default has TLS mode set to SIMPLE but no caCertificates are set to validate server identity for host: mydbserver.prod.svc.cluster.local at port number:443

当您的集群具有以下目标规则时

apiVersion: networking.istio.io/v1
kind: DestinationRule
metadata:
  name: db-tls
spec:
  host: mydbserver.prod.svc.cluster.local
  trafficPolicy:
    portLevelSettings:
      - port:
          number: 443
        tls:
          mode: SIMPLE
          clientCertificate: /etc/certs/myclientcert.pem
          privateKey: /etc/certs/client_private_key.pem
          sni: my-nginx.mesh-external.svc.cluster.local
          # caCertificates not set

在此示例中,目标规则db-tls 指定了 TLS,但未设置 CA 证书文件。

如何解决

  • 提供 CA 证书的文件名
  • 更改流量策略,使证书不再需要