Если вы звоните изнутри сетки, я бы сказал, что она работает нормально, посмотрите здесь и здесь а>.
Взаимный TLS в Istio
Istio предлагает взаимный TLS как решение для межсетевой аутентификации.
Istio использует шаблон sidecar, что означает, что каждый контейнер приложения имеет дополнительный прокси-контейнер Envoy, работающий рядом с ним в том же модуле.
Когда служба получает или отправляет сетевой трафик, он всегда сначала проходит через прокси Envoy.
Когда mTLS включен между двумя сервисами, прокси-серверы Envoy на стороне клиента и на стороне сервера проверяют идентичность друг друга перед отправкой запросов.
Если проверка прошла успешно, то прокси на стороне клиента шифрует трафик и отправляет его на прокси на стороне сервера.
Прокси-сервер на стороне сервера расшифровывает трафик и перенаправляет его локально в фактическую службу назначения.
![введите описание изображения здесь](https://i.stack.imgur.com/7LXQ3.png)
Я использую istio 1.6.8, думаю, он по умолчанию включает mTLS.
Да, он включен по умолчанию, начиная с версии istio 1.5. Есть связанные документы об этом.
Автоматический взаимный TLS теперь включен по умолчанию. Трафик между колясками автоматически настраивается как взаимный TLS. Вы можете отключить это явно, если беспокоитесь о накладных расходах на шифрование, добавив опцию - set values.global.mtls.auto = false во время установки. Для получения дополнительных сведений см. автоматический взаимный TLS..
Есть ли какой-либо четкий процесс доказательства того, что он действительно использует mTLS?
Я бы сказал, есть 3 способа
Вы можете изменить его со строгого на разрешающий и вызывать его извне меша, он должен работать. Затем измените его на строгий и вызовите снова, это не должно работать. В обоих случаях вы должны иметь возможность вызывать его из модуля внутри меша.
Если вы хотите увидеть это наглядно, так как у киали должно быть что-то вроде замка, когда включен mtls, есть github issue по этому поводу.
![введите описание изображения здесь](https: // i.stack.imgur.com/df2HG.png )
Об этом уже упоминалось в banzaicloud, и вы упомянули, что в комментариях вы можете проверить метку метрики политики безопасности подключения. Istio присваивает этой метке значение duplic_tls, если запрос действительно был зашифрован.
Дайте мне знать, если возникнут еще вопросы.
person
Jakub
schedule
29.09.2020
connection_security_policy
метрику. Наконец-то удалось проверить с помощью Prometheus, и он установлен наmutual_tls
, хотя я не применил указанную выше политику. Я использую istio 1.6.8, думаю, он по умолчанию включает mTLS. Есть ли какой-либо четкий процесс доказательства того, что он действительно использует mTLS? - person Grimlock   schedule 29.09.2020