为 tls 和 MTLS 配置 istio

【问题标题】:Configure istio for both tls and MTLS为 tls 和 MTLS 配置 istio
【发布时间】:2021-03-30 17:46:13
【问题描述】:

我有一个 Kubernetes 应用程序,并且正在设置 istio sidecar。是否可以使用简单的 TLS 为 API 子集和其他 API 配置 istio MTLS?

【问题讨论】:

  • 如果我理解正确,您应该可以使用destination rules 来做到这一点,因为您可以使用tls settings mode 来更改特定主机的 mtls。如果这能回答您的问题,请告诉我。
  • 我相信如果您花 5 分钟阅读文档,您就会知道答案。

标签: istio istio-sidecar


【解决方案1】:

正如我在 cmets 中提到的,您应该可以使用 destination rules 来执行此操作,因为您可以使用 tls settings mode 更改特定主机的 mtls。

看看下面来自documentation的例子:

例如,以下规则将客户端配置为使用双向 TLS 连接到上游数据库集群。

apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
  name: db-mtls
spec:
  host: mydbserver.prod.svc.cluster.local
  trafficPolicy:
    tls:
      mode: MUTUAL
      clientCertificate: /etc/certs/myclientcert.pem
      privateKey: /etc/certs/client_private_key.pem
      caCertificates: /etc/certs/rootcacerts.pem

以下规则将客户端配置为在与域匹配 *.foo.com 的外部服务通信时使用 TLS。

v1alpha3v1beta1
apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
  name: tls-foo
spec:
  host: "*.foo.com"
  trafficPolicy:
    tls:
      mode: SIMPLE

以下规则将客户端配置为在与评级服务通信时使用 Istio 双向 TLS。

v1alpha3v1beta1
apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
  name: ratings-istio-mtls
spec:
  host: ratings.prod.svc.cluster.local
  trafficPolicy:
    tls:
      mode: ISTIO_MUTUAL

【讨论】:

    猜你喜欢
    • 2019-06-06
    • 2021-11-14
    • 1970-01-01
    • 1970-01-01
    • 2023-03-23
    • 2020-02-09
    • 2020-01-03
    • 2020-05-07
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode