GKE 上的 ClusterIP 服务是否需要 mTLS?
Is mTLS necessary for ClusterIP services on GKE?
如果我有一个 GKE 集群,其中包含一些仅通过 ClusterIP 服务公开的 GRPC 微服务,是否有必要使用 mTLS/Istio?如果服务仅在同一个 VPC 上相互通信,这似乎有些过分,但我讨厌在代码库中看到 "withInsecure"。我们正在为我们的前端使用 GKE Ingress 终止 TLS,但看起来不安全的 VPC 内部流量应该没问题。
虽然不是必须的,但是绝对推荐使用。通过这种方式,您可以在网格内部进行加密,这在生产环境中受到赞赏,如果您使用 Istio,您将对您的微服务有深刻的洞察力和可观察性,因为 Istio 拥有 Prometheus、Grafana 和 Kiali 作为审计工具,可以简化网格的管理.
如果您计划部署 Istio,您一定要查看他们的 Getting Started guide。
GKE 实际上有一个 Istio 插件,你可以检查 here 安装 Istio 1.2.10,你只需要为你的应用程序设置配置。
如果我有一个 GKE 集群,其中包含一些仅通过 ClusterIP 服务公开的 GRPC 微服务,是否有必要使用 mTLS/Istio?如果服务仅在同一个 VPC 上相互通信,这似乎有些过分,但我讨厌在代码库中看到 "withInsecure"。我们正在为我们的前端使用 GKE Ingress 终止 TLS,但看起来不安全的 VPC 内部流量应该没问题。
虽然不是必须的,但是绝对推荐使用。通过这种方式,您可以在网格内部进行加密,这在生产环境中受到赞赏,如果您使用 Istio,您将对您的微服务有深刻的洞察力和可观察性,因为 Istio 拥有 Prometheus、Grafana 和 Kiali 作为审计工具,可以简化网格的管理.
如果您计划部署 Istio,您一定要查看他们的 Getting Started guide。 GKE 实际上有一个 Istio 插件,你可以检查 here 安装 Istio 1.2.10,你只需要为你的应用程序设置配置。