kubernetes - GKE 上的 Istio 是否为相互 TLS 的每个服务创建不同的服务帐户
问题描述
要启用 Mutual TLS,服务网格中的每个服务都需要具有不同的身份和客户端证书。
GKE 上的 Istio 是否为相互 TLS 的每个服务创建不同的服务帐户?
解决方案
答案是不。更多信息可以在这里查看。
默认情况下,GKE 上的 Istio 不会为启用了双向 TLS 的每个服务创建不同/多个服务帐户。当 Citadel 实例注意到在命名空间中创建了 ServiceAccount 时,它必须决定是否应该为该 ServiceAccount 生成 istio.io/key-and-cert secret。您只需要检查是否有分配给服务帐户的机密。
在Citadel 如何确定是否创建服务帐户机密部分下,有一个表格将向您显示决策过程。
此外,在相互 TLS 身份验证部分中,您将看到客户端使用 mTLS 调用服务器的分步过程。
推荐阅读
- python - 从其他两个数据框的列创建一个新的数据框
- python - 如何多次运行 random.randint 函数?
- c++ - C26495 变量 'Employee::age' 未初始化。始终初始化成员变量(type.6)
- javascript - KeyDown 和 keyUp 不保存多个键
- axios - 从 Axios 错误拦截器参数中获取完整的 url
- asp.net - GitHub 操作无法发布到 Azure
- java - 如何获取 Java 应用程序的性能指标
- go - 使用 dynamodb 触发器的 aws-lambda 中的 IncompatibleDynamoDBTypeError
- java - Apache POI 克隆表损坏了 excel 文件
- ios - 当应用程序在 ios 上处于后台时,不显示本机推送通知