第 9 章 启用 mutual Transport Layer Security
您可以将 Red Hat OpenShift Service Mesh 用于应用程序,以自定义复杂微服务数组之间的通信安全性。Mutual Transport Layer Security(mTLS)是一个协议,可让双方相互验证。
9.1. 关于 mutual Transport Layer Security(mTLS) 复制链接链接已复制到粘贴板!
复制链接链接已复制到粘贴板!
在 OpenShift Service Mesh 3 中,您可以使用 Istio
资源而不是 ServiceMeshControlPlane
资源来配置 mTLS 设置。
在 OpenShift Service Mesh 3 中,您可以使用 PeerAuthentication
和 DestinationRule
资源配置 STRICT
mTLS 模式。您可以通过 Istio Workload Minimum TLS Version 配置来设置 TLS 协议版本。
查看以下 Istio
资源和概念来正确配置 mTLS 设置:
PeerAuthentication
-
定义 sidecar 接受的 mTLS 流量类型。在
PERMISSIVE
模式中,接受明文和 mTLS 流量。在STRICT
模式中,只允许 mTLS 流量。 DestinationRule
-
配置 sidecar 发送的 TLS 流量类型。在
DISABLE
模式中,sidecar 发送纯文本。在SIMPLE
、MUTUAL
和ISTIO_MUTUAL
模式 中,sidecar 建立 TLS 连接。 自动 mTLS
-
确保所有 inter-mesh 流量默认通过 mTLS 加密,无论
PeerAuthentication
模式配置是什么。auto mTLS
由全局网格配置字段启用AutoMtls
控制,在 OpenShift Service Mesh 2 和 3 中默认启用。mTLS 设置在 sidecar 代理之间完全运行,不需要更改应用程序或服务代码。
默认情况下,PeerAuthentication
设置为 PERMISSIVE
模式,允许 Service Mesh 中的 sidecar 接受纯文本和 mTLS 加密的流量。