1

我有一个 Kubernetes 应用程序,并且正在设置 istio sidecar。是否可以为 API 子集和其他使用简单 TLS 的子集配置 istio MTLS?

4

1 回答 1

1

正如我在评论中提到的,您应该可以使用目标规则来做到这一点,因为您可以使用tls 设置模式来更改特定主机的 mtls。

从文档中查看以下示例:

例如,以下规则将客户端配置为使用双向 TLS 连接到上游数据库集群。

apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
  name: db-mtls
spec:
  host: mydbserver.prod.svc.cluster.local
  trafficPolicy:
    tls:
      mode: MUTUAL
      clientCertificate: /etc/certs/myclientcert.pem
      privateKey: /etc/certs/client_private_key.pem
      caCertificates: /etc/certs/rootcacerts.pem

以下规则将客户端配置为在与域匹配 *.foo.com 的外部服务通信时使用 TLS。

v1alpha3v1beta1
apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
  name: tls-foo
spec:
  host: "*.foo.com"
  trafficPolicy:
    tls:
      mode: SIMPLE

以下规则将客户端配置为在与评级服务通信时使用 Istio 双向 TLS。

v1alpha3v1beta1
apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
  name: ratings-istio-mtls
spec:
  host: ratings.prod.svc.cluster.local
  trafficPolicy:
    tls:
      mode: ISTIO_MUTUAL
于 2021-04-12T09:28:54.313 回答