# DestinationRule — port 443 트래픽에 TLS origination(SIMPLE) 적용. # # 이 DR이 있어야 Envoy가 upstream(backend nginx)으로 나갈 때 평문이 아니라 TLS로 승격한다. # cluster type(STRICT_DNS/LOGICAL_DNS)은 ServiceEntry.resolution이 결정하고, 여기선 # 그 cluster의 transport(TLS)만 얹는다. # # insecureSkipVerify:true — 랩이라 CA 검증 생략(배관 최소화). backend는 self-signed # 인증서만 있으면 된다. prod에서는 caCertificates(파일) 또는 credentialName(secret, # Istio 1.30 sidecar 지원)로 CA를 핀하고 sni/subjectAltNames로 신원 검증할 것. # # outlierDetection 없음(기본) — DNS resolution 거동만 순수 관측. Mode2 복구 데모에서는 # 44-destinationrule-tls-outlier.yaml 로 교체한다. apiVersion: networking.istio.io/v1beta1 kind: DestinationRule metadata: name: gslb-tls-origination namespace: dns-lab spec: exportTo: ["."] host: gslb.lab.internal trafficPolicy: portLevelSettings: - port: { number: 443 } tls: mode: SIMPLE sni: gslb.lab.internal insecureSkipVerify: true