【发布时间】:2019-01-21 07:12:12
【问题描述】:
目前,我想引入 istio 作为我们微服务的服务网格框架。我曾经玩过它(mtls 方法建立安全通信。
但是,由于我们现有的客户(我没有任何控制权)使用我们的服务(将迁移到使用 istio)没有 istio,我仍然不太了解我们应该怎么做更好。
- 是否有任何教程或示例可以更好地提供我的用例?
- 非基于 istio 的客户端如何使用
mtls来使用我们基于 istio 的服务?考虑使用基本的curl命令来模拟这样的事情。 - 另外,我正在考虑向客户端分配一个特定的服务帐户(kubernetes、gcp iam 服务帐户等),以在调用我们的服务时限制客户端的权限。我对这些事情有很多疑问:gcp iam 服务帐户、istio、rbac、mtls、jwt 令牌等有助于保护我们的服务 API?
有什么建议吗?
【问题讨论】:
-
也许这个演示可以帮助你一点这可能对你有帮助slideshare.net/Pivotal/connecting-all-abstractions-with-istio
-
感谢您的链接。我已经从 istio 文档本身理解了这个概念。但是关于我们如何利用 gcp 服务帐户来精细控制对我们服务的精细访问的示例有点缺失(例如:假设客户端位于集群外部,因此超出我们的控制范围,我们如何告诉客户端:请使用此机制这是使用基本 http 客户端 buildinh 块通过身份验证机制调用我们的服务的示例(没有 istio))
标签: kubernetes google-cloud-platform jwt istio