#istio #istio-sidecar
Вопрос:
Сценарий:
- В рамках 1 службы Azure Kubernetes (AKS) запущено 2 службы .NET: Service1 и Service2
- Как Сервис1, так и Сервис2 прослушивают HTTP:80 и HTTPS:443
- Обе службы запускают Istio и прокси-сервер Istio
Для обеспечения шифрования трафика между службами в одном кластере с помощью mutualTLS,
Нужно ли службе 1 вызывать службу 2 HTTPS:443 конечная точка ?
Или
Вызов Службы 2 HTTP:80 достаточно ли этого, и истио справится с остальным ?
Комментарии:
1. все зашифровано. независимо от порта. Предполагая, что вы не включили MTLS на уровне портов.
Ответ №1:
При использовании Istio (если у вас нет очень строгих требований к безопасности, что маловероятно) приложения обычно не должны инициировать HTTPS-соединения.
Позвольте Istio выполнять автоматические MTLS. На самом деле, вы теряете функции Istio, когда приложения инициируют HTTPS.
В этом случае трафик шифруется за пределами Istio, и вы теряете такие функции, как телеметрия, поскольку прокси-серверы не могут считывать трафик.
Также возможно, чтобы Istio инициировал HTTPS-соединения для внешних вызовов (вне сети). Это известно как возникновение TLS. Однако для этого требуется немного конфигурации, и клиентские библиотеки, которые сами запускают HTTPS-соединения, не работают с этим