我是 Istio 的新手,我想在 Istio 中为 mTLS 使用我自己的根证书。 我正在关注这个文档:https://istio.io/latest/docs/tasks/security/cert-management/plugin-ca-cert/
我按照说明进行操作,效果很好。
它在 istio-system 命名空间中创建一个名为 cacerts 的秘密来存储证书,并且 Istio 将这些证书用作 mTLS 的根证书和中间证书。
现在,我想知道两件事:
【问题讨论】:
标签: istio
如果您携带自己的证书而不是 istio 自己的自签名证书,则必须将机密文件名命名为 cacert。对于您的第二个问题,cacert 密钥是命名空间范围内的,并且只能在 istio-system 命名空间中。
【讨论】:
我能够部分解决这个问题。假设你在命名空间 istio-system 中有一个名为 customsecret 的秘密,那么你可以使用这个文件来实现:
apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
metadata:
namespace: istio-system
name: istiocontrolplane
spec:
components:
pilot:
k8s:
env:
overlays:
- apiVersion: apps/v1
kind: Deployment
name: istiod
patches:
- path: spec.template.spec.volumes.[name:cacerts].secret.secretName
value: "customsecret"
只要确保命名空间 istio-system 中存在秘密。我找不到使用 istio-system 命名空间中不存在的秘密的方法。
【讨论】: