Блог

Я хотел бы включить MTLS между службами в одном пространстве имен K8S. Интересно, смогу ли я сделать это без использования сервисной сетки? Я рассматривал cert-manager, но все примеры, которые я видел, включали входной ресурс, который мне не нужен, поскольку мои сервисы не доступны за пределами кластера.Спасибо

Использование для этого сервисной сетки, такой как Istio или Linkerd, в настоящее время является единственным общим решением для этого.

Это должно быть возможно сделать и с помощью приложения library for you, библиотека обычно должна поддерживать управление сертификатами. Сервисные сетки обычно используют EnvoyProxy в качестве коляски, в нем реализованы новые API-интерфейсы «control plane» для управления, называемые протоколами xDS — это то, что обычно требуется для реализации вашей библиотеки. Кроме того, вам нужен интерфейс плоскости управления для управления службами.

Недостатком выполнения этого в библиотеке является то, что это будет зависеть от языка. Но плюсом является то, что он будет более производительным.

Недавно Google пошел по этому пути с помощью Traffic Director — сервиса без прокси mesh