【问题标题】:Kubernetes TLS all the way to the podKubernetes TLS 一直到 pod
【发布时间】:2019-06-26 12:04:02
【问题描述】:

我刚开始使用 Istio 并保护服务到服务的通信,有两个问题:

  1. 使用 nginx ingress 时,Istio 是否会使用 TLS 保护从入口控制器到服务的数据?
  2. 是否可以通过 TLS 一直到 Pod 进行保护?

【问题讨论】:

    标签: kubernetes istio


    【解决方案1】:
    1. 通过将“Envoy”作为 sidecar 容器部署到 (a) NGINX POD 和 (b) Application POD,istio 将确保这两个服务通过 TLS 相互通信。

    2. 事实上,这就是使用 Istio 背后的全部想法,即使用 ENVOY side-car 保护 POD 之前的所有通信方式。 Envoy 将拦截所有进出 POD 的流量,并与对等 Envoy 对应方执行 TLS 通信。

    所有这些都是以透明的方式完成的,即对应用程序容器透明。执行 TLS 层作业的责任,例如。握手、加密/解密、对等点发现等都被卸载到特使边车。

    【讨论】:

    • 所以如果我有两个 Pod 和 Envoy 作为 Sidecar,是否会使用 TLS(如果已配置)?
    • 是的。你需要确保两个 Pod 都有 envoy 作为额外的容器。
    • 非常感谢,真的帮助解决了这个令人困惑的问题 :) 如果安全性依赖于第三方会发生这种情况... :D
    • 但在某种程度上,它对开发人员很有帮助,因为管理证书的所有超载以及 Pod 频繁进出的瞬态环境也是集中管理的。此外,应用程序逻辑不需要关心安全传输层的细节。我同意将所有安全方面集中在第三方上的说法可能是不正确的。
    • 是的,这就是我的意思。但是,您不必担心应用程序中的 TLS,这一点很好。顺便说一句,如果您使用 Istio 打开(例如在 Java 中)HttpsUrlConnection 会发生什么?
    猜你喜欢
    • 2020-04-20
    • 2020-08-12
    • 1970-01-01
    • 2020-01-16
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2022-10-04
    • 2020-07-27
    相关资源
    最近更新 更多