Kubernetes TLS 一直到 pod
Kubernetes TLS all the way to the pod
我刚开始使用 Istio 并保护服务到服务的通信,有两个问题:
- 当使用 nginx ingress 时,Istio 会使用 TLS 保护从 ingress controller 到服务的数据吗?
- 是否可以使用 TLS 一直保护到 pod?
"Envoy" 部署为 sidecar 容器,即 (a) NGINX POD 和 (b) Application POD,istio 将确保这两个服务通过 TLS 与 each-other 通信。
事实上,这就是使用 Istio 背后的全部想法,即使用 ENVOY side-car 保护 POD 之前的所有通信方式。 Envoy 将拦截 POD in/out 的所有流量,并与对等 Envoy 对应方执行 TLS 通信。
所有这些都是以透明的方式完成的,即对应用程序容器透明。执行 TLS 层作业的责任 ex。握手、encryption/decryption、peer discovery 等都被卸载到 envoy sidecar。
我刚开始使用 Istio 并保护服务到服务的通信,有两个问题:
- 当使用 nginx ingress 时,Istio 会使用 TLS 保护从 ingress controller 到服务的数据吗?
- 是否可以使用 TLS 一直保护到 pod?
"Envoy" 部署为 sidecar 容器,即 (a) NGINX POD 和 (b) Application POD,istio 将确保这两个服务通过 TLS 与 each-other 通信。
事实上,这就是使用 Istio 背后的全部想法,即使用 ENVOY side-car 保护 POD 之前的所有通信方式。 Envoy 将拦截 POD in/out 的所有流量,并与对等 Envoy 对应方执行 TLS 通信。
所有这些都是以透明的方式完成的,即对应用程序容器透明。执行 TLS 层作业的责任 ex。握手、encryption/decryption、peer discovery 等都被卸载到 envoy sidecar。