NoServerCertificateVerificationDestinationLevel

メッセージ名NoServerCertificateVerificationDestinationLevel
メッセージコードIST0128
説明DestinationRuleにcaCertificatesが設定されていません。これにより、提示されたサーバー証明書の検証が行われません。
レベル警告

このメッセージは、DestinationRuleにcaCertificatesが設定されていないが、トラフィックポリシーに必要な場合に発生します。

このメッセージが表示されるのは

Error [IST0128] (DestinationRule db-tls.default) DestinationRule default/db-tls in namespace default has TLS mode set to SIMPLE but no caCertificates are set to validate server identity for host: mydbserver.prod.svc.cluster.local

クラスタに次のDestinationRuleがある場合です

apiVersion: networking.istio.io/v1
kind: DestinationRule
metadata:
  name: db-tls
spec:
  host: mydbserver.prod.svc.cluster.local
  trafficPolicy:
    tls:
      mode: SIMPLE
      clientCertificate: /etc/certs/myclientcert.pem
      privateKey: /etc/certs/client_private_key.pem
      # caCertificates not set

この例では、DestinationRule `db-tls` はTLSを指定していますが、CA証明書ファイルを設定していません。

解決方法

  • CA証明書のファイル名を指定する
  • 証明書が不要になるようにトラフィックポリシーを変更する