为什么ASM内的服务能够访问外部数据库，但认证会失败

问题原因

由于您对集群外部TCP服务（数据库）使用Kubernetes ExternalName类型的Sevice进行了DNS别名声明，业务服务在加入服务网格后，因为缺少集群IP和外部TCP服务做映射，会按照TCP服务对应的端口进行匹配，这样有可能会将业务服务对数据库A的请求路由到数据库B，而这两个数据库登录信息不一样，导致认证失败。

解决方案

方案一：升级ASM的版本

升级ASM至1.11及以上版本，可以解决该问题。具体操作，请参见升级ASM实例版本。

方案二：使用服务条目

您可以在ASM中创建服务条目，使得网格内的服务通过访问服务条目来访问指定IP的数据库。您也可以将服务条目创建到您指定服务的命名空间下，从而限定服务条目作用范围。

1. 登录ASM控制台。
2. 在左侧导航栏，选择服务网格 > 网格管理。
3. 在网格管理页面，找到待配置的实例，单击实例的名称或在操作列中单击管理。
4. 在网格详情页面左侧导航栏选择集群与工作负载管理 > 服务条目，然后在右侧页面单击使用YAML创建。
5. 在创建页面设置命名空间为istio-system ，选择任意模板，将YAML文本框中的内容替换为以下内容，单击创建。

apiVersion: networking.istio.io/v1beta1kind: ServiceEntrymetadata:  name: mysql-demospec:  addresses:  - 172.1.xx.xx  endpoints:  - address: 172.1.xx.xx  hosts:  - test-mysql.com  location: MESH_EXTERNAL  ports:  - name: tcp    number: 3306    protocol: TCP  resolution: STATIC

• addresses：设置为数据库的IP地址。
• number：设置为数据库的端口。