第 9 章 启用 mutual Transport Layer Security


您可以将 Red Hat OpenShift Service Mesh 用于应用程序,以自定义复杂微服务数组之间的通信安全性。Mutual Transport Layer Security(mTLS)是一个协议,可让双方相互验证。

9.1. 关于 mutual Transport Layer Security(mTLS)

在 OpenShift Service Mesh 3 中,您可以使用 Istio 资源而不是 ServiceMeshControlPlane 资源来配置 mTLS 设置。

在 OpenShift Service Mesh 3 中,您可以使用 PeerAuthenticationDestinationRule 资源配置 STRICT mTLS 模式。您可以通过 Istio Workload Minimum TLS Version 配置来设置 TLS 协议版本。

查看以下 Istio 资源和概念来正确配置 mTLS 设置:

PeerAuthentication
定义 sidecar 接受的 mTLS 流量类型。在 PERMISSIVE 模式中,接受明文和 mTLS 流量。在 STRICT 模式中,只允许 mTLS 流量。
DestinationRule
配置 sidecar 发送的 TLS 流量类型。在 DISABLE 模式中,sidecar 发送纯文本。在 SIMPLEMUTUALISTIO_MUTUAL 模式 中,sidecar 建立 TLS 连接。
自动 mTLS
确保所有 inter-mesh 流量默认通过 mTLS 加密,无论 PeerAuthentication 模式配置是什么。auto mTLS 由全局网格配置字段 启用AutoMtls 控制,在 OpenShift Service Mesh 2 和 3 中默认启用。mTLS 设置在 sidecar 代理之间完全运行,不需要更改应用程序或服务代码。

默认情况下,PeerAuthentication 设置为 PERMISSIVE 模式,允许 Service Mesh 中的 sidecar 接受纯文本和 mTLS 加密的流量。

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat