pods 之间的 kubernetes TLS 通信(更轻的解决方案)
kubernetes TLS communication between pods (lighter solution)
我正在为我的集群添加安全性。要求之一是 pods 之间的通信是安全的。
我发现最可行的选择是实施“服务网格”。我看到 Calico、Istio、Linkerd 都是不错的选择。但我不知道哪个是最轻的,因为它们中的任何一个都有很多我并不真正需要的组件。
如有其他推荐,欢迎提出。
我阅读了:
- What is pod to pod encryption in kubernetes? And How to implement pod to pod encryption by using mTLS in kubernetes?
- https://medium.com/@santhoz/nginx-sidecar-reverse-proxy-for-performance-http-to-https-redirection-in-kubernetes-dd9dbe2fd0c7
Calico 是一个覆盖网络和 CNI 实现。据我所知,它不会自动加密 pods 之间的通信。
Linkerd 和 Istio 是服务网格,它们实现 CNI 以使用 CNI 提供程序(如 calico)加密流量,但不需要 CNI 提供程序。
Linkerd 将 automatically 使用开箱即用的 mTLS 加密流量。
我认为 Istio 最近添加了该功能。
Linkerd 更容易安装和使用,它的代理是 faster and uses fewer resources。
我正在为我的集群添加安全性。要求之一是 pods 之间的通信是安全的。
我发现最可行的选择是实施“服务网格”。我看到 Calico、Istio、Linkerd 都是不错的选择。但我不知道哪个是最轻的,因为它们中的任何一个都有很多我并不真正需要的组件。
如有其他推荐,欢迎提出。
我阅读了:
- What is pod to pod encryption in kubernetes? And How to implement pod to pod encryption by using mTLS in kubernetes?
- https://medium.com/@santhoz/nginx-sidecar-reverse-proxy-for-performance-http-to-https-redirection-in-kubernetes-dd9dbe2fd0c7
Calico 是一个覆盖网络和 CNI 实现。据我所知,它不会自动加密 pods 之间的通信。
Linkerd 和 Istio 是服务网格,它们实现 CNI 以使用 CNI 提供程序(如 calico)加密流量,但不需要 CNI 提供程序。
Linkerd 将 automatically 使用开箱即用的 mTLS 加密流量。
我认为 Istio 最近添加了该功能。
Linkerd 更容易安装和使用,它的代理是 faster and uses fewer resources。