kubernetes 포드에서 외부 서비스로의 상호 TLS 통신을 설정해야합니다. 내 시스템이 istio 시스템으로 실행 중입니다.
이것에 대한 참조를 찾았습니다.
https://istio.io/docs/reference/config/networking/v1alpha3/destination-rule/#TLSSettings
apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
name: external-mtls
spec:
host: *.external.com
trafficPolicy:
tls:
mode: MUTUAL
clientCertificate: /etc/certs/myclientcert.pem
privateKey: /etc/certs/client_private_key.pem
caCertificates: /etc/certs/rootcacerts.pem
이 문서에 따르면, 내가해야 할 일은 MUTUAL 모드 (ISTIO_MUTUAL 아님)를 설정하고 인증서 파일을 설정하는 것입니다. 보시다시피 clientCertificate , privateKey , caCertificates 는 로컬 파일 경로입니다.
특사 프록시의 디스크에 있어야한다고 생각합니다. 하지만 내 인증서 파일을 Envoy Proxy의 볼륨에 넣는 방법을 찾을 수 없었습니다.
어떻게 할 수 있습니까?
해결책을 찾았습니다.
kubectl create secret generic my-cert --from-file=cert1.crt --from-file=cert2.crt
annotations:
sidecar.istio.io/userVolumeMount: '[{"name":"my-cert", "mountPath":"/etc/my-cert", "readonly":true}]'
sidecar.istio.io/userVolume: '[{"name":"my-cert", "secret":{"secretName":"my-cert"}}]'
이러한 주석 및 기타 주석에 대한 문서 : https://preliminary.istio.io/docs/reference/config/annotations/
끝난. Envoy 프록시 포드에 마운트됩니다.
Эта статья взята из Интернета, укажите источник при перепечатке.
Если есть какие-либо нарушения, пожалуйста, свяжитесь с[email protected] Удалить.
я говорю два предложения