В своей сетке я подключаюсь к сторонним сервисам через TLS (в частности, Strimzi's Kafka, который является в том же кластере k8, но без коляски Istio). Обычно я бы установил центр сертификации, необходимый для службы Java, но после завершения работы Istio я не знаю, как это сделать. Если я помещу публичный сертификат в секрет, могу ли я получить от службы обнаружения секретов (SDS) помощь в управлении им на прокси-сервере Envoy (что-то вроде Secure Ingress SDS, но внутри сетки)?
Я читал эту документацию, но, похоже, она касается замены сгенерированных сертификатов, чего я не хочу делать (мне нравится автоматическое обслуживание внутри кластера). https://istio.io/docs/tasks/security/plugin-ca-cert/
Я также добавил сторонние центры сертификации в качестве монтирования к / etc, как указано в этом ответе, но они не подобраны Envoy в виде сертификатов (проверено через журналы и инструмент istioctl).
Как добавить в Istio Citadel дополнительные центры сертификации, чтобы они доставлялись на прокси Envoy в пакете безопасности?
security.selfSigned=false? Если служба находится за пределами сетки, я подумал, что вы можете использовать настройку Egress, например Создание TLS со шлюзом. Извините, если я неправильно понял вашу точку зрения. - person Ryota schedule 11.10.2019