Istio 安全 mTLS认证 PeerAuthentication
这里定义了访问www.ck8s.com可以使用http也可以使用https访问,两种方式都可以访问。
那么是否可以强制使用mtls方式去访问?
mTLS认证 PeerAuthentication
PeerAuthentication的主要作用是别人在和网格里的pod进行通信的时候,是否要求mTLS
mTLS (mutual TLS,双向TLS): 让客户端和服务器端通信的时候都必须进行TLS认证默认情况下,在网格内部默认启用了mTLS了。
PERMISSIVE:工作负载接受双向TLS和纯文本流量。
当没有Sidecar的工作负载无法使用双向TLS时,此模式适合用在迁移过程。
通过使用sidecar注入迁移工作负载后,应该将模式切换为STRICT。
STRICT:工作负载仅接受双向TLS通信。
在网格里面所有的pod, 不管是istio使用到的pod,还是普通创建的pod1 pod2,都会通过mtls来进行通信,也就是互相认证。
istio本身有一个CA,网格里面都有envoy配置的sidecar,它们内部的通信就是通过mtls。
对于网格之外的主机,网格外面的主机和pod通信的时候并没有要求使用tls认证。
strict意思就是不管哪个客户端,只要和网格内部的主机通信,那么必须得使用tls认证。
如果有多个端口可以指定对哪些端口不使用mtls,其他端口都必须使用mtls。
上面其实就演示了网格之外的主机要和pod通信的时候必须得要建立这样一个mtls的通信。