ssl - Istio 服务网格 TLS 配置-6ren

ssl - Istio 服务网格 TLS 配置

转载作者：行者123 更新时间：2023-12-04 22:39:55

25

4

我正在尝试从 http 转换在 k8s 上运行的 Istio 服务网格至https但偶然发现了很多问题。我真的不明白这样做所需的所有步骤是什么。
据我所知，有 2 种流量需要在网格中使用 TLS:

内部服务之间 : 翻阅 Istio 文档让我知道 Istio 会以某种方式自动在服务之间配置 mTLS，因此所有服务都可以安全地进行通信，而无需任何额外配置。但是，我仍然不明白他们是如何实现这个 mTLS 的。它与普通 TLS 有何不同？mTLS 在另一种流量(外部客户端到内部服务)中的角色是什么？

从外面的客户到里面的服务 : 这就是我不知道该怎么办的地方。我知道为了让服务拥有 TLS，它需要由受信任的 CA 提供的 TLS 证书。但是，由于外部客户端不会直接与内部服务对话，而只能通过 Istio 入口网关。我需要为每个服务提供证书还是只为入口网关提供证书？我的所有服务现在都为 HTTP 公开端口 80 .我是否需要将它们全部转换为端口 443 和 HTTPS还是只有入口网关就足够了？

关于证书，如果我现在只使用自签名证书，我可以只使用 openssl 创建证书和 key 并从中创建 secret (也许使用 kubed 在命名空间之间同步)，那么所有服务都使用相同的证书和 key 吗？到处都建议我使用 cert-manager .但是，我不知道是否值得努力？
如果有人能用一些插图来解释，我将非常感激。

最佳答案

一般来说，如果您需要对 Istio 相关问题的良好解释(也有图片)，我建议您查看文档。您可以在 540 topics 附近找到与 Istio 中的 TLS 相关。
Istio 是一个有据可查的服务。在这里您可以找到有关 Understanding TLS Configuration 的更多信息.您还可以找到关于 Mutual TLS Migration 的好文章.

However I still don't understand deeply how they implement this mTLS, how does it differ from normal TLS and what is mTLS role in the other kind of traffic (client outside to service inside).

双向 TLS，或简称 mTLS，是 mutual authentication 的一种方法。 . mTLS 通过验证他们都拥有正确的私有(private) key 来确保网络连接每一端的各方都是他们声称的身份。 .各自内的信息 TLS certificates提供额外的验证。您可以阅读更多信息 here .另外你也可以看到关于 HTTP Traffic的页面(这种情况下需要 mTLS)。

All of my services are now exposing port 80 for HTTP. Do I need to convert all of them to port 443 and HTTPS or just the ingress gateway is enough?

可以创建 Ingress Gateway without TLS Termination :

The Securing Gateways with HTTPS task describes how to configure HTTPS ingress access to an HTTP service. This example describes how to configure HTTPS ingress access to an HTTPS service, i.e., configure an ingress gateway to perform SNI passthrough, instead of TLS termination on incoming requests.

编辑(添加更多解释和文档链接):

Service mesh uses a proxy to intercept all your network traffic, allowing a broad set of application-aware features based on configuration you set.

Istio securely provisions strong identities to every workload with X.509 certificates. Istio agents, running alongside each Envoy proxy, work together with istiod to automate key and certificate rotation at scale. The following diagram shows the identity provisioning flow.

Peer authentication: used for service-to-service authentication to verify the client making the connection. Istio offers mutual TLS as a full stack solution for transport authentication, which can be enabled without requiring service code changes.

支持的对等认证模式: Permissive , Strict , 和 Disable .
为了回答这个问题:

All of my services are now exposing port 80 for HTTP. Do I need to convert all of them to port 443 and HTTPS or just the ingress gateway is enough?

我们完全可以告知客户，使用 Istio Gateway 可以使用纯 HTTP、TLS 终止或 PASSTHROUGH TLS 模式将 Istio 服务网格中的服务公开到外部。可以改进传入的 TLS 终止(使用受信任的 CA 批准的 TLS 证书或使用带有 Istio 网关的 cert-manger)。您可以阅读有关此主题的更多信息 here .

关于ssl - Istio 服务网格 TLS 配置，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/69256498/

25

4

0

文章推荐： c++ - 从 SSL_CTX 创建 boost asio ssl 上下文

文章推荐： python - 在 Windows 上为 docker 容器安装 SSL CA 证书

文章推荐： Couchbase 7 SSL 连接问题

ssl - 子域适用于非 SSL 但不适用于 SSL
我在 Cloudflare 的域名服务器上有一个域名 example.com。该域指向我的专用服务器的 IP 地址，该服务器运行 CentOS/WHM/cPanel。该站点可访问 - 一切都很好。我
ssl - 在同一端口上支持 SSL 和非 SSL
我正在努力将 SSL 支持添加到我们现有的应用程序中，并已开始考虑向后兼容性。与我读过的其他帖子不同的一个特殊情况是服务器可能不一定使用 SSL 代码更新。所以我将有一个 SSL 客户端连接到一个对
ssl - 将 SSL 重定向到另一个 SSL
我有几个 https://*.rest-service.mydomain.com。随着服务数量的增加，我觉得管理 SSL 证书的成本很高。我为 *.mydomain.com 购买了通配符证书。新添加
ssl - 什么是反向 SSL？以及如何进行反向 SSL？
我的客户要求我在他的网站上做反向 ssl。但我是这个学期的新手。谁能帮我解决这个问题。请描述或引用如何做。最佳答案查看 this wiki article . In the case of se
ssl - 使用还是不使用 SSL？为什么总是使用 SSL？
关闭。这个问题是opinion-based .它目前不接受答案。想改进这个问题？更新问题，以便 editing this post 可以用事实和引用来回答它. 去年关闭。 Improve this
ssl - 需要 TortoiseHg SSL 但已激活 SSL
我连接到我的网络服务器上的存储库，但是当我尝试推送我的更改时，它显示:“错误 403:需要 ssl”，但在我的存储库设置中我已经激活了 ssl 选项。有什么建议吗？最佳答案当您连接到存储库时，您
ssl - 当我在进行 SSL 调用时需要使用 SSL 私钥
抱歉，如果这听起来像是转储问题，我已经阅读了很多关于 SSL 握手和 SSL 工作原理的文章和文档。我对一件事感到困惑，如果有人能澄清我就太好了。我知道私钥要保密。但是我已经看到通过在请求中指定私钥
ssl - 对 ssl 服务器的非 ssl 请求？
随着物联网越来越主流，越来越需要从硬件发送http请求。一个主要问题是硬件微 Controller 无法发送 ssl 请求，但大多数服务器/网站/服务都在使用 ssl。所以，问题是，有没有桥(一个
ssl - 如何将 ssl 与非 ssl 内容混合？
我有一个 ssl 页面，它还从非 ssl 站点下载头像。我能做些什么来隔离该内容，以便浏览器不会警告用户混合内容吗？最佳答案只是一个想法 - 或者: 尝试在头像网站上使用 ssl url，如有必要
ssl - 没有 ssl 证书的域重定向到不同的 ssl 域
我在 Digital Ocean droplet(使用 nginx)上设置了两个域。我已经在其中一个(domain1)中安装了一个 SSL 证书，并且那个证书一切正常。第二个域 (domain2) 不
ssl - Nginx - 上游 SSL - SSL 握手中的对等关闭连接
我收到这个错误: Error frontend: 502 Bad gateway 99.110.244:443 2017/09/28 13:03:51 [error] 34080#34080: *10
ssl - 付费 SSL 证书与免费 SSL 证书
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。这个问题似乎与 help center 中定义的范围内的编程无关。 . 关闭 6 年前。 Improve
ssl - Nginx - 仅在 SSL 证书存在时启用 SSL
我遇到了一个问题，我正在构建一个 nginx 反向代理以定向到不同 url 路径上的多个微服务。该系统完全基于 docker，因此开发和生产使用相同的环境。这在安装 SSL 时给我带来了问题，因为
ssl - 要求 SSL 证书和接受 SSL 证书有什么区别？
所以我知道要求 SSL 证书和接受之间的根本区别，一个意味着您必须拥有 SSL 证书，另一个意味着您不需要。在某个网页的 IIS 管理器中，我有以下设置: 我遇到的问题是，当我设置需要 SSL 证书
ssl - 如何在不将 SSL 证书设置到具有现有 SSL 证书设置的域的情况下从 .app 域(需要 SSL)重定向？
我今天才发现 .app 域名需要 SSL 证书。我购买它是为了将 DNS 重定向到已经设置了 SSL 证书的站点，所以我的问题是是否可以设置它？我正在使用 Google Domains，在将合成临时
ssl - NGINX - SSL 握手时关闭连接，同时 SSL 握手到上游
堆栈 : react ，NGINX 1.14.0，GUnicorn，Django 2.2.8，Python 3.6.9 错误 : 在浏览器:当 React 调用 Django API(当然是在请求头中
ssl - 如何为从主机文件指向的域创建 ssl？
假设我在计算机上编辑主机文件以使 google.com 指向我的 VPS 服务器 IP，并且服务器具有通过 Apache 或 Nginx 配置的 google.com 的虚拟主机/服务器 block
ssl - IIS10 多个站点和多个 SSL 证书的 SSL 配置
我有一个场景，我正在处理用于 URL 路由的 IIS 网站配置。我已添加网站并在服务器上导入所需的证书。我的情况是(我有多个网站 URL 和两个 SSL 证书 - 如下所示): qatest1.ab
ssl - ssl 双向安全吗？
我知道服务器发送的证书无法伪造(仍然存在 MD5 冲突，但成本高昂)，但是伪造客户端又如何呢？在中间人攻击中:我们不能告诉服务器我们是合法客户端并从该服务器获取数据并对其进行操作，然后使用合法客户端公
ssl - SSL 如何在两个连接的域上工作？
我已通读相关问题，但无法完全找到我要查找的内容。我设置了一个名为“domain.com”的域，并创建了两个子域“client.domain.com”和“client-intern.domain.com

首页

博学

6Ren·AI

商城

ssl - Istio 服务网格 TLS 配置