Istio 1.24 → 1.25 업그레이드 후 mTLS 인증서 갱신이 실패합니다

Question

운영 중인 Istio 1.24를 1.25로 업그레이드한 뒤, citadel이 발급하던 워크로드 인증서 갱신이 일부 namespace에서 실패합니다.

로그에는 "failed to validate trust bundle"이 떨어지고, Pod 로그에는 x509: certificate signed by unknown authority가 종종 나옵니다.

전체는 아니고 일부 namespace만 영향 받는 게 이상합니다. 어떻게 진단해야 하나요?

김영삼 · Accepted Answer

Istio 1.25에서 root CA 자동 회전 메커니즘이 변경됐습니다. 일부 namespace에서만 발생한다는 것은 trust domain 또는 cacert 분리 운영의 잔재 때문일 가능성이 큽니다.1) trust bundle 동기화 상태 확인# 모든 namespace의 trust bundle 비교
for ns in $(kubectl get ns -o name | cut -d/ -f2); do
  echo "=== $ns ==="
  kubectl get configmap istio-ca-root-cert -n $ns -o jsonpath='{.data.root-cert\.pem}' | openssl x509 -noout -fingerprint -sha256 2>/dev/null
done모든 namespace의 fingerprint가 동일해야 합니다. 다르면 trust bundle 동기화가 깨진 상태입니다.2) Multi-root 운영 여부 확인kubectl get secre

댓글 0