Как использовать mTLS без использования входа istio и входа через шлюз приложений Azure?

Наше приложение работает в кластере aks и использует диаграмму управления сертификатами-менеджером в отдельном пространстве имен для шифрования генерации сертификатов. Пространство имен argocd предназначено для управления развертываниями.

Нам нужно включить mTLS, требуется ли для этого также пометка istio в пространствах имен argocd и cert-manager?

Кроме того, у нас уже есть вход azure appgateway для маршрутизации трафика к развертываниям, работающим в нашем пространстве имен, поэтому мы не включили вход istio.

После включения строгой опции на глобальном уровне маршрутизация от входа шлюза приложений Azure до нашего приложения не работает.

      kubectl apply -n istio-system -f - <<EOF
apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: default
spec:
  mtls:
    mode: STRICT
EOF

И получаю 502 плохой шлюз.

Если я удалю вышеуказанную одноранговую аутентификацию или изменю ее на РАЗРЕШИТЕЛЬНУЮ. Тогда он сможет получить доступ к странице без ошибки 502.

Что сделать, чтобы реализовать строгий режим, но без входа по istio.

      kubectl edit peerauthentication -n istio-system
peerauthentication.security.istio.io/default edited