kubernetes Istio mTLS说明

oxcyiej7  于 2023-08-03  发布在  Kubernetes
关注(0)|答案(1)|浏览(127)

我是Istion的新手。最近我从其他Stack overflow帖子中看到,Istio Side汽车和主容器之间的通信没有加密。但是,如果我在IngressGateway级别的Istio中执行TLS直通,并在Istio Mesh中强制执行mTLS,那么到达应用程序侧车代理的TLS流量会发生什么?代理是否(总是)剥离TLS并将非SSL流量传递到我的后端kubernetes Service?还是我的代理将TLS流量按原样传递给应用程序连接器?(如果是这样,这与我学到的东西相矛盾)
1.由于Istio Side car和主容器的流量没有加密,这是否意味着我必须在使用Istio服务网格时在k8s服务定义文件中始终公开一个非SSL端口作为容器端口?
谢啦,谢啦
我还没有尝试过任何POC,因为我仍然对这些结构感到困惑。

s71maibg

s71maibg1#

如果您想使用TLS Passthrough,则其应用程序容器负责处理TLS。所以在这种情况下,在istio网关中,你需要在下面提到

servers:
  - port:
      number: 443
      name: https
      protocol: HTTPS
    tls:
      mode: PASSTHROUGH

字符串
此外,在虚拟服务和服务定义中,它必须是HTTPS详细信息。详细说明请参考istio documentation
如果TLS终止,请参考以下istio documentation。此外,必须创建PeerAuthentication、DestinationRule资源沿着网关和虚拟服务资源。

相关问题