那些遇到过的问题

小编And*_*den的帖子

如何在 Istio 中同时启用 Mutual TLS 和 gRPC TLS,以便 Istio 可以收集指标,但 gRPC 认为连接是“安全的”

这是一个“原则上”的问题,因为我试图了解 mTLS 在 Istio 中的实现方式,以及它如何与支持 mTLS 的服务(例如 gRPC)一起工作。

考虑到我有一个启用了“mtls 无处不在”的集群。这有效地在 envoy 代理之间通过 mTLS 管道建立了所有 TCP 连接的隧道,并且 envoy 和服务之间的连接是纯文本的。

但是,有些服务至少需要 TLS 连接才能使用 Envoy 代理;理想情况下是 mTLS 连接。其中之一是 gRPC,它需要 TLS 才能使用其核心 JWT 身份验证:

https://grpc.io/docs/guides/auth.html#authenticate-with-google

所以,问题变成了:

  • 是否可以让特使代理“窥探”在原始服务本身进行 mTLS 加密的连接?理想情况下使用 Citadel 提供的证书和密钥
  • 否则解决方案是创建一种新的身份验证方法,忽略它是在明文上的事实,因为它将被 Istio 使用 mTLS 吗?

<3 干杯

ssl grpc istio

And*_*den
lucky-day
7
推荐指数
1
解决办法
971
查看次数

标签 统计

grpc ×1

istio ×1

ssl ×1