版本的限制，目前有一 些应用程序与 Service Mesh 还不兼容。详参阅社区的相关链接。 OSSM-1655 Kiali 仪表板在 SMCP 中启用 mTLS 后显示错误。 在 SMCP 中启用 spec.security.controlPlane.mtls 设置后，Kiali 控制台会显示以下错误消息 No subsets defined。 OSSM-1505 只有在 OpenShift Container 上部署的网格不兼容。 MAISTRA-1959 迁移到 2.0 Prometheus 提取（spec.addons.prometheus.scrape 设置为 true）在启用 mTLS 时无法正常工作。另外，当禁用 mTLS 时，Kiali 会显示无关的图形数据。 可通过将端口 15020 从代理配置中排除来解决这个问题，例如： MAISTRA-1314 Red Hat OpenShift Service 提供服务发现、配置和证书管理。它将高级别路由规则转换为 Envoy 配置，并在运行时将其传播到 sidecar。 Istiod 可以充当证书颁发机构 (CA)，在 data plane 中生成支持安全 mTLS 通信的证书。您还 可以使用外部 CA 来实现这一目的。 OpenShift Container Platform 4.8 Service Mesh 28 Istiod 负责将 sidecar

CA 选项支持。(TRACING-3462) 修复了在使用 oc adm catalog mirror CLI 命令时对断开连接的环境的支持。(TRACING-3523) 修复了没有部署网关时的 mTLS。(TRACING-3510) 1.1.4.3. 已知 已知问题 问题 目前，当与 Tempo Operator 一起使用时，Jaeger UI 只显示在最后 15 分钟内发送了 trace 的服 (s390x)架构中会失败。(TRACING-3545) 目前，在未部署网关时，Tempo 查询前端服务不得使用内部 mTLS。这个问题不会影响 Jaeger Query API。解决办法是禁用 mTLS。(TRACING-3510) 临时 临时解决方案 解决方案 禁用 mTLS，如下所示： 1. 运行以下命令，打开 Tempo Operator ConfigMap 进行编辑： OpenShift Container Platform 4.14 分布式追踪 分布式追踪 6 1 安装 Tempo Operator 的项目。 2. 通过更新 YAML 文件来禁用 Operator 配置中的 mTLS： 3. 运行以下命令来重启 Tempo Operator pod： 缺少在受限环境中运行 Tempo Operator 的镜像。Red Hat OpenShift distributed tracing

resources: requests: cpu: 10m memory: 128Mi limits: mtls: enabled: false disablePolicyChecks: true policyCheckFailOpen: false imagePullSecrets: 用来抓取 Istio 镜像的中心。 有效的镜像仓库。 maistra/ or registry.redhat.io/op enshift-service- mesh/ mtls 控制是否默认在服务间启 用/禁用传输层安全 (mTLS) 。 true/false false imagePullSecrets 如果对提供 Istio 镜像的 registry 的访问是安全 的，在这里列出一个 imagePullSecret githubusercontent.com/Maistra/istio/maistra- 1.1/samples/bookinfo/networking/destination-rule-all-mtls.yaml 第 第 4 章 章 第二天 第二天 55 4.3.4. 验证 Bookinfo 安装 在配置应用程序前，请确定它已被成功部署。 先决条件 先决条件 安装了 OpenShift

以下示例配置客户端 TLS 身份验证： 相应地替换 、 和 。 以下示例显示了一个 TLS 验证配合，使用 selfsigned-mtls-bundle 作为 name 值，ca.crt 为 ca key 值，client.crt 为 cert key 值，client.key 为 keySecret key 值： basicAuth: secret: name: selfsigned-mtls-bundle key: ca.crt cert: secret: name: selfsigned-mtls-bundle key: client.crt keySecret: name: selfsigned-mtls-bundle key: client.key apiVersion: v1 kind: ConfigMap metadata: name: cluster-monitoring-config namespace: openshift-monitoring data: config

ThanosQuerierConfig 资源的 enableCORS 参数的 值设置为 true 来启用它们。(OCPBUGS-11889) 网 网络 在以前的版本中，当在入口控制器上配置客户端 mutual TLS (mTLS)时，CA 捆绑包中的证书颁 发机构(CA)证书需要超过 1 MB 的证书撤销列表(CRL)，因为大小限制而无法更新 CRL 配置映 射。由于缺少 CRL，具有有效客户端证书的连接可能会被拒绝，并显示以下错误：unknown NoExecute 效果。因此，无论指定了哪些效 果，canary pod 都会调度到 infra 节点上。(OCPBUGS-9274) 在以前的版本中，当在入口控制器上配置客户端 mutual TLS (mTLS)时，如果任何客户端证书颁 发机构(CA)证书包含证书撤销列表(CRL)分布点，则不同 CA 发布的 CRL 和 CRL 过期，发布 CA 和发布 CA 间的不匹配会导致下载不正确的 CRL。因此，CRL

章 LOGGING 发 发行注 行注记 记 47 在这个版本中，您可以使用用户名和密码来验证与外部 Elasticsearch 实例的日志转发连接。例 如，如果无法使用 mutual TLS (mTLS)，因为第三方运行 Elasticsearch 实例，您可以使用 HTTP 或 HTTPS 并设置包含用户名和密码的 secret。如需更多信息，请参阅将日志转发到外部 Elasticsearch 户名和密 名和密码 码的 的 secret 您可以使用包含用户名和密码的 secret 来验证与外部 Elasticsearch 实例的安全连接。 例如，如果无法使用 mutual TLS (mTLS) 密钥，因为第三方运行 Elasticsearch 实例，您可以使用 HTTP 或 HTTPS 并设置包含用户名和密码的 secret。 1. 创建类似于以下示例的 Secret YAML 文件。将

统 105 10 （可选）添加额外的服务器。如果您指定了两个或者两个以上的服务器，forward 会以轮循 （round-robin）顺序使用这些服务器节点。 要使用 Mutual TLS（mTLS）身份验证，请参阅 Fluentd 文档来获取有关客户端证书、密钥参数 和其他设置的信息。 2. 在 openshift-logging 项目中创建名为 secure-forward 的配置映射：

输出示例 7.3.1.3. 配置 mutual TLS 身份验证 您可以通过设置 spec.clientTLS 值，将 Ingress Controller 配置为启用 mutual TLS (mTLS) 身份验 证。clientTLS 值将 Ingress Controller 配置为验证客户端证书。此配置包括设置 clientCA 值，这是对配 置映射的引用。配置映射包含 PEM 编码的 CA 分发点，Ingress Operator 会下载并管理基于每个 提供的证书中指定的 HTTP URI X509v3 CRL 分 分发 发点 点的 CRL 配置映射。Ingress Controller 在 mTLS/TLS 协商过程中使用此配置映射。不提供有效证书的请求将被拒绝。 先决条件 先决条件 您可以使用具有 cluster-admin 角色的用户访问集群。 您有一个 PEM 编码的 CA 证书捆绑包。

1.3. 配置 配置 mutual TLS 身份 身份验证 验证 您可以通过设置 spec.clientTLS 值，将 Ingress Controller 配置为启用 mutual TLS (mTLS) 身份验 证。clientTLS 值将 Ingress Controller 配置为验证客户端证书。此配置包括设置 clientCA 值，这是对配 置映射的引用。配置映射包含 PEM 编码的 CA