Настройте istio как для tls, так и для MTLS

Question

Настройте istio как для tls, так и для MTLS

У меня есть приложение Kubernetes, и у меня настроена коляска istio. Можно ли настроить istio MTLS для подмножества API и других API с помощью простого TLS?

2

istio istio-sidecar

Источник

user3898856 30 мар '21 в 20:46

1 ответ

Другие вопросы по тегам istio istio-sidecar

user11977760 12 апр '21 в 12:28 2021-04-12 12:28 · Answer 1 · 2021-04-12 12:28

Как я уже упоминал в комментариях, вы должны иметь возможность сделать это с помощью правил назначения , так как вы можете использовать режим настроек tls для изменения mtls для определенных хостов.

Взгляните на приведенные ниже примеры из документации :

Например, следующее правило настраивает клиента на использование взаимного TLS для подключений к вышестоящему кластеру базы данных.

      apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
  name: db-mtls
spec:
  host: mydbserver.prod.svc.cluster.local
  trafficPolicy:
    tls:
      mode: MUTUAL
      clientCertificate: /etc/certs/myclientcert.pem
      privateKey: /etc/certs/client_private_key.pem
      caCertificates: /etc/certs/rootcacerts.pem

Следующее правило настраивает клиента на использование TLS при разговоре со сторонней службой, домен которой совпадает с *.foo.com.

      v1alpha3v1beta1
apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
  name: tls-foo
spec:
  host: "*.foo.com"
  trafficPolicy:
    tls:
      mode: SIMPLE

Следующее правило настраивает клиент для использования Istio Mutual TLS при разговоре со службами оценки.

      v1alpha3v1beta1
apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
  name: ratings-istio-mtls
spec:
  host: ratings.prod.svc.cluster.local
  trafficPolicy:
    tls:
      mode: ISTIO_MUTUAL