0


Istio 安全 mTLS认证 PeerAuthentication

这里定义了访问www.ck8s.com可以使用http也可以使用https访问,两种方式都可以访问。

那么是否可以强制使用mtls方式去访问?

mTLS认证 PeerAuthentication


PeerAuthentication的主要作用是别人在和网格里的pod进行通信的时候,是否要求mTLS

mTLS (mutual TLS,双向TLS): 让客户端和服务器端通信的时候都必须进行TLS认证默认情况下,在网格内部默认启用了mTLS了。

PERMISSIVE:工作负载接受双向TLS和纯文本流量。

当没有Sidecar的工作负载无法使用双向TLS时,此模式适合用在迁移过程。

通过使用sidecar注入迁移工作负载后,应该将模式切换为STRICT。

STRICT:工作负载仅接受双向TLS通信。

在网格里面所有的pod, 不管是istio使用到的pod,还是普通创建的pod1 pod2,都会通过mtls来进行通信,也就是互相认证。

istio本身有一个CA,网格里面都有envoy配置的sidecar,它们内部的通信就是通过mtls。

对于网格之外的主机,网格外面的主机和pod通信的时候并没有要求使用tls认证。

strict意思就是不管哪个客户端,只要和网格内部的主机通信,那么必须得使用tls认证。

如果有多个端口可以指定对哪些端口不使用mtls,其他端口都必须使用mtls。

上面其实就演示了网格之外的主机要和pod通信的时候必须得要建立这样一个mtls的通信。

标签: istio

本文转载自: https://blog.csdn.net/qq_34556414/article/details/132017017
版权归原作者 富士康质检员张全蛋 所有, 如有侵权,请联系我们删除。

“Istio 安全 mTLS认证 PeerAuthentication”的评论:

还没有评论