如何使用启用 `mtls` 的基于 Istio 的服务?
How to consume Istio-based Service that enables `mtls`?
目前,我想介绍 istio 作为我们微服务的服务网格框架。我玩过一段时间(< 1 周),我的理解是 Istio 确实提供了一种简单的方法来保护服务与服务之间的通信。 Istio 的大部分(或全部?)docs/article 提供了一个示例,客户端和服务器如何将 istio-proxy(envoy)安装为 sidecar 容器,如何使用 mtls 方法建立安全通信。
但是,由于我们现有的客户(我没有任何控制权)使用我们的服务(将迁移到使用 istio)没有 istio,我仍然不太了解我们如何应该做得更好。
- 是否有任何教程或示例可以更好地提供我的用例?
- 非基于 istio 的客户端如何使用
mtls 来消费我们基于 istio 的服务?考虑使用基本的 curl 命令来模拟这样的事情。
- 另外,我正在考虑将特定的服务帐户(kubernetes、gcp iam 服务帐户等)分发给客户端,以限制客户端在调用我们的服务时的权限。我有很多关于这些东西的问题:gcp iam 服务帐户、istio、rbac、mtls、jwt 令牌等有助于保护我们的服务 API?
有什么建议吗?
您想通过 public 互联网上的 SSL 将第三方添加到网络外部的 Istio 网格中吗?
我认为 Istio 并不是真正用于联合外部服务,但您可以在网络边缘放置一个 istio 入口网关代理,用于路由进出您的应用程序。
https://istio.io/docs/tasks/traffic-management/ingress/
如果你正在构建微服务,那么你肯定有一个端点或网关,这对我来说似乎更明智,试试 Apigee 或其他东西。
目前,我想介绍 istio 作为我们微服务的服务网格框架。我玩过一段时间(< 1 周),我的理解是 Istio 确实提供了一种简单的方法来保护服务与服务之间的通信。 Istio 的大部分(或全部?)docs/article 提供了一个示例,客户端和服务器如何将 istio-proxy(envoy)安装为 sidecar 容器,如何使用 mtls 方法建立安全通信。
但是,由于我们现有的客户(我没有任何控制权)使用我们的服务(将迁移到使用 istio)没有 istio,我仍然不太了解我们如何应该做得更好。
- 是否有任何教程或示例可以更好地提供我的用例?
- 非基于 istio 的客户端如何使用
mtls来消费我们基于 istio 的服务?考虑使用基本的curl命令来模拟这样的事情。 - 另外,我正在考虑将特定的服务帐户(kubernetes、gcp iam 服务帐户等)分发给客户端,以限制客户端在调用我们的服务时的权限。我有很多关于这些东西的问题:gcp iam 服务帐户、istio、rbac、mtls、jwt 令牌等有助于保护我们的服务 API?
有什么建议吗?
您想通过 public 互联网上的 SSL 将第三方添加到网络外部的 Istio 网格中吗?
我认为 Istio 并不是真正用于联合外部服务,但您可以在网络边缘放置一个 istio 入口网关代理,用于路由进出您的应用程序。
https://istio.io/docs/tasks/traffic-management/ingress/
如果你正在构建微服务,那么你肯定有一个端点或网关,这对我来说似乎更明智,试试 Apigee 或其他东西。