我是Istion的新手。最近我从其他Stack overflow帖子中看到,Istio Side汽车和主容器之间的通信没有加密。但是,如果我在IngressGateway级别的Istio中执行TLS直通,并在Istio Mesh中强制执行mTLS,那么到达应用程序侧车代理的TLS流量会发生什么?代理是否(总是)剥离TLS并将非SSL流量传递到我的后端kubernetes Service?还是我的代理将TLS流量按原样传递给应用程序连接器?(如果是这样,这与我学到的东西相矛盾)
1.由于Istio Side car和主容器的流量没有加密,这是否意味着我必须在使用Istio服务网格时在k8s服务定义文件中始终公开一个非SSL端口作为容器端口?
谢啦,谢啦
我还没有尝试过任何POC,因为我仍然对这些结构感到困惑。
1条答案
按热度按时间s71maibg1#
如果您想使用TLS Passthrough,则其应用程序容器负责处理TLS。所以在这种情况下,在istio网关中,你需要在下面提到
字符串
此外,在虚拟服务和服务定义中,它必须是HTTPS详细信息。详细说明请参考istio documentation。
如果TLS终止,请参考以下istio documentation。此外,必须创建PeerAuthentication、DestinationRule资源沿着网关和虚拟服务资源。