istio - 如何将 3rd 方证书颁发机构从秘密中添加到 Istio 的 Citadel?
问题描述
在我的网格中,我通过 TLS 连接到第 3 方服务(特别是Strimzi 的 Kafka,它在同一个 k8 集群中,但没有 Istio sidecar)。通常我会安装 Java 服务所需的证书颁发机构,但是随着 Istio 的终止,我不知道该怎么做。如果我将公共证书放在一个秘密中,我是否可以让秘密发现服务 (SDS) 帮助在 Envoy 代理上管理它(类似于Secure Ingress SDS,但用于网格内)?
我已经阅读了这个文档,但它似乎是关于替换生成的证书,我不想这样做(我喜欢集群内的自动维护)。 https://istio.io/docs/tasks/security/plugin-ca-cert/
我还添加了第 3 方 CA 作为该答案中指定的 /etc 的挂载,但 Envoy 并未将它们作为证书拾取(通过日志和 istioctl 工具检查)。
如何向 Istio Citadel 添加额外的证书颁发机构,以便将它们交付给安全捆绑包中的 Envoy 代理?
解决方案
推荐阅读
- swiftui - 从一个列表到第二个列表
- python - 如何在 tensorflow 2.0 中使用额外输入进行自定义损失
- javascript - 如何在 SocketIO 中获取 Socket 对象的 'id' 属性?
- c++ - 如何为类型列表谓词创建 C++20 概念?
- json - 过滤对象或数组
- jquery - 从 JQuery/Javascript 中的 JSON 对象中删除带有 NULL 的元素
- java - JavaFX中标签的自动换行符
- python - 当我使用 QtGui.QIntValidator() 时,它将最大文本长度设置为 10 个整数?
- azure - 无法将键值导入应用服务证书
- python - 如何使用 python、pandas 将列值添加到另一列的字典中