kubernetes - Istio + Helm + Tiller 安装 - 如何保护一切?
问题描述
我在 3 节点集群中安装了 K8s。我想以安全的方式安装 Istio。我的问题是:通过 Helm 安装 Istio 时(如文档中的建议),我是否需要按照文档中的建议安全地安装 Helm(RABC 和 TSL/SSL )?
这个问题的原因是两个文档之间的信息冲突。Istio 文档说只做一个简单的helm init --service-account tiller
. 然而,在 Helm 文档中,建议通过 Helm 的所有安全性。换句话说:Istio 是否涵盖 Helm 不安全的安装?
解决方案
根据有关通过 Helm 部署 Istio 图表的文档,默认情况下,实施步骤不会涵盖对您的Tiller
服务的任何安全配置。因此,如果您考虑使用与开发环境无关的集群,最好的解决方案是将安全配置应用于 Helm 图表。
一般来说,Istio 安全实现涵盖三个概念:身份验证策略、相互 TLS 身份验证和授权策略。
基本上,通过 Helm 图表安装 Istio 网格默认情况下使用global.mtls.enabled
Helm 模板中的现有参数启用相互 TLS 身份验证。
推荐阅读
- r - 如何使用 modelssummary 函数在一个系数上方的回归表中添加文本行?
- python - 使用 readline() 轮询文件的更改适用于 macOS 但不适用于 Debian 9
- bash - 检查一个文件是否已更改,而另一个文件是否未使用 grep 进行 Git 预提交
- typescript - 中继:接收错误时如何使用发出的类型 -> 类型 '"%future added value"' 不可分配给类型
- javascript - MongoDB 组合集合 - 不填充
- html - 拆分网页文本和img帮助CSS / HTML
- python - 检查有序字典中是否存在值
- git - 如何签出远程 git 分支?或者将远程分支与不同的 git 目录分支链接?
- python - python readlines() 只看到一行
- c++ - 在 if 语句中使用 switch case