我可以通过以下方式与同一命名空间中的另一个服务通信:
curl http://myservice1:8080/actuator/info
在吊舱内。
该应用程序未配置 TLS,我很好奇我是否可以通过虚拟服务访问该 pod,以便我可以使用此 Istio 功能:
curl https://myservice1:8080/actuator/info
我们有 Istio virtualservice 和网关。对 pod 的外部访问由它管理并且工作正常。如果可能,我们只是想通过https 到达另一个 pod,而无需重新配置应用程序。
【问题讨论】:
标签: istio envoyproxy
如何通过 istio 安全地与 k8s 服务通信?
回答标题下的问题-会有很多可能,但你应该在开头Understanding TLS Configuration:
Istio 最重要的功能之一是能够锁定和保护进出网格和在网格内的网络流量。但是,配置 TLS 设置可能会令人困惑,并且是错误配置的常见来源。本文档试图解释在 Istio 中发送请求时涉及的各种连接以及如何配置它们相关的 TLS 设置。请参阅TLS configuration mistakes,了解一些最常见的 TLS 配置问题的摘要。
有许多不同的方法来保护您的连接。这完全取决于您的具体需求和设置。
我们有 istio 虚拟服务和网关,对 pod 的外部访问由它管理并正常工作。如果可能,我们只是想通过 https 访问另一个 pod,而无需重新配置应用程序
至于虚拟服务和网关,您将找到一个示例配置in this article。您可以找到single host 和multiple hosts 的指南。
如果可能,我们只是想通过 https 访问另一个 pod,而无需重新配置应用程序。
在这里您很可能可以申请outbound configuration:
虽然入站配置了预期的流量类型和处理方式,但出站配置控制网关将发送的流量类型。这是由
DestinationRule中的 TLS 设置配置的,就像默认情况下来自 sidecars 或 auto mTLS 的外部出站流量一样。唯一的区别是您在配置时应该小心考虑
Gateway设置。例如,如果Gateway配置了 TLSPASSTHROUGH而DestinationRule配置了 TLS 发起,那么您最终将得到 double encryption。这可行,但通常不是所需的行为。绑定到网关的
VirtualService也需要注意ensure it is consistent 的Gateway定义。
【讨论】: