两个 kubernetes 集群之间的 mTLS

2024-01-08

我正在尝试在两个 kubernetes 集群中的两个应用程序之间获取 mTLS，而无需使用 Istio 的方式（通过其入口网关），我想知道以下内容是否可行（对于 Istio、Likerd、Consul...）。

假设我们有一个 k8s 集群 A 和一个应用程序 A.A.集群 B 带有应用程序 B.B.，我希望它们与 mTLS 进行通信。

集群 A 具有用于 nginx 入口控制器的 letEncrypt 证书，以及用于其应用程序的网格（无论什么）。
集群 B 具有来自我们的根 CA 的自签名证书。
集群 A 和 B 服务网格具有由我们的根 CA 签名的不同证书。
流量从互联网流向集群 A 入口控制器 (HTTPS)，再从那里流向应用程序 A.A.
流量到达应用程序 A.A. 后，该应用程序想要与应用程序 B.B. 通信。
应用程序 A.A.和 B.B. 通过入口（使用其入口控制器）公开端点。
TLS 证书以端点结尾并且是通配符。

您认为 mTLS 在这种情况下会起作用吗？

基本上是这个blog https://www.portshift.io/blog/secure-multi-cluster-connectivity/?fbclid=IwAR22fqPDRaEdNdj8m7G2hNl2Y7S8lpxJDf5G8eBwnDAj3hnh4S1tcp8qBQk来自 portshift 回答你的问题。

答案取决于您的集群是如何构建的，因为

Istio 提供了一些在多个 kubernetes 集群中部署服务网格的选项，更多相关信息here https://stackoverflow.com/a/60149783/11977760.

因此，如果您有单网格部署

您可以在完全连接的多集群网络上部署单个服务网格（控制平面），并且所有工作负载都可以直接相互访问，而无需 Istio 网关，无论它们在哪个集群上运行。

BUT

如果您有多重网格部署

通过多网格部署，您可以获得更高程度的隔离和可用性，但它会增加设置的复杂性。原本独立的网格使用 ServiceEntries、Ingress Gateway 松散耦合在一起，并使用公共根 CA 作为安全通信的基础。从网络角度来看，唯一的要求是入口网关可以相互访问。给定网格中的每个服务需要访问不同网格中的服务，都需要远程网格中的 ServiceEntry 配置。

在多网格部署中，随着环境的增长和多样化，安全性可能会变得复杂。集群之间的服务身份验证和授权存在安全挑战。本地的Mixer https://istio.io/docs/reference/config/policy-and-telemetry/（服务策略和遥测）需要使用相邻集群中服务的属性进行更新。否则，当这些服务到达其集群时，它将无法对其进行授权。为了实现这一点，每个 Mixer 需要了解相邻集群中的工作负载身份及其属性Citadel https://istio.io/docs/concepts/security/需要使用相邻集群的证书进行更新，以允许集群之间的 mTLS 连接。

跨多网格控制平面的粒度工作负载身份（mTLS 证书）和服务属性的联合可以通过以下方式完成：

Kubernetes 入口：将来自集群外部的 HTTP 和 HTTPS 路由公开给services https://kubernetes.io/docs/concepts/services-networking/service/集群内。流量路由由入口资源上定义的规则控制。 Ingress 可以终止 SSL / TLS，并提供基于名称的虚拟托管。然而，它需要一个入口控制器 https://kubernetes.io/docs/concepts/services-networking/ingress-controllers满足 Ingress 规则

服务网格网关：Istio 服务网格提供了不同的配置模型，Istio网关 https://istio.io/docs/reference/config/networking/v1alpha3/gateway/。网关允许将监控和路由规则等 Istio 功能应用于进入集群的流量。入口 gateway https://istio.io/docs/reference/config/networking/v1alpha3/gateway/描述了一个在网格边缘运行的负载均衡器，用于接收传入的 HTTP/TCP 连接。它配置公开的端口、协议等。入口流量的流量路由是使用 Istio 路由规则配置的，与内部服务请求的方式完全相同。

您认为 mTLS 在这种情况下会起作用吗？

根据以上信息

如果您有单一网格部署

应该是可以的，没有任何问题。
如果您有多重网格部署

它应该可以工作，但是由于您不想使用 istio gateway 那么唯一的选择是Kubernetes 入口 https://kubernetes.io/docs/concepts/services-networking/ingress/.

我希望它能回答你的问题。如果您还有其他问题，请告诉我。

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

Kubernetes

istio

linkerd

mtls

ServiceMesh

两个 kubernetes 集群之间的 mTLS 的相关文章

如何使用fabric8 java客户端获取kubernetes服务帐户访问令牌？

我已经在本地计算机中配置了 minikube 并将在外部使用 kubernetes 我已经在 kubernetes 中创建了一个服务帐户并使用它的秘密我可以使用以下命令获取访问令牌 kubectl get secret
获取 Pod 处于挂起状态的平均时间

我正在尝试使用 prometheus 计算 pod 在 grafana 中处于挂起状态的平均时间我可以使用此查询生成一个图表以获取一段时间内处于挂起状态的 Pod 数量 sum kube pod status phase phase P
更新 DaemonSet，无需像部署那样停机

我想在任何节点上运行应用程序每个节点应始终至少有一个实例但允许更多实例主要是在更新期间防止该 pod 和节点停机 Kubernetes 部署更新通常通过启动一个新的 Pod 来进行一旦可用旧的 Pod 就会被终止这很完美但就
如何更改 Kubernetes 中的文件系统观察程序限制 (fs.inotify.max_user_watches)

我在用着pm2 https github com Unitech pm2查看保存我的应用程序服务器的 NodeJS 程序源代码的目录该程序在 Kubernetes 集群中运行但是我收到此错误 ENOSPC System limit f
microk8s加入节点没有效果

我确实命令 om 主节点 microk8s add node From the node you wish to join to this cluster run the following microk8s join 192 168 0
kubectl exec 失败并出现错误“无法使用 TTY - 输入不是终端或正确类型的文件”

我正在使用以下命令运行詹金斯管道 kubectl exec it kafkacat 5f8fcfcc57 2txhc kafkacat b cord kafka C t BBSim OLT 0 Events o s 1585031458 它
Windows 持久卷上的 Kubernetes

Windows minikube 是否支持带有主机路径的持久卷如果是这样语法是什么 I tried apiVersion v1 kind PersistentVolume metadata name kbmongo002 labels
Docker For Windows CE：Kubernetes：无法连接到服务器 eof

我根本找不到无法连接到服务器 eof 的解决方案希望我们能解决这个问题并在将来搜索解决此问题时对某人有所帮助我试图在屏幕截图中包含所有信息如果需要更多信息请告诉我我已尝试添加所需的信息如果您还需要或希望我尝试其他内容请告诉
Kubernetes 集群中的 Websocket 连接与 nginx-ingress

我正在尝试在 Kubernetes 集群中运行的服务器上建立一个简单的 Websocket 连接 Websocket 连接能够在我的本地测试计算机上建立但在使用 nginx ingress 部署到 GKE 后我无法将客户端连接到服务器
如何在 minikube VM 中挂载 Host 文件夹

我有一个用例我需要 kubernetes 下的 Docker 容器来访问主机路径我使用的是 minikube 容器能够访问 minikube VirtualBox VM 中的文件夹但我不知道如何让它访问主机本身上的文件夹我在主机上执
Kubernetes NetworkPolicy 限制服务的出口流量

是否可以仅允许特定服务的出口流量这是我天真的尝试 kind NetworkPolicy metadata name default deny all egress namespace default spec podSelector eg
更新到版本 2.1.1.0 Edge（或稳定版）后，Windows 版 Docker 停留在“Kubernetes 正在启动”状态

我最近在 Windows 10 计算机上将 Docker for Desktop 更新到最新的 Edge 通道版本 2 1 1 0 不幸的是更新后 Kubernetes 不再工作因为它始终停留在 Kubernetes 正在启动到目前为
带有 Helm Charts 的蓝绿部署

我们可以使用 Helm Charts 来部署应用程序 helm install name the release helm the service helm namespace myns 而我们冷滚动升级部署使用 helm upgrad
Kubernetes，无法访问其他节点服务

我正在 3 个带有 CentOS 7 的 VirtualBox 虚拟机 1 个 master 和 2 个 minions 中使用 Kubernetes 不幸的是安装手册说的是这样的every service will be accessib
Helm 查找始终为空

在部署 Kubernetes 应用程序时我想检查资源是否已存在如果是这样则不应渲染要存档此行为查找功能 https helm sh docs chart template guide functions and pipelines
kubernetes kubectl 中的生成器是什么？

当我想通过运行生成 yaml 时kubectl 它表示我应该表示 generator something命令内的标志例如要通过以下方式获取部署模板kubectl 我应该运行以下命令 kubectl run generator deplo
Kubernetes 的调度器是如何工作的？

Kubernetes 的调度器是如何工作的我的意思是说Kubernetes的调度器看起来很简单我最初的想法是这个调度器只是一个简单的准入控制系统而不是真正的调度器是这样正确的吗我找到了一个简短的描述但信息并不丰富 kuberne
如何使用 kubectl cp 通过列表过滤器自动将文件从本地系统复制到 kubernetes Pod

我的 kubernetes 系统中有许多 pod 随机名称为 wordpress xxx xx 这里列出了pods https i stack imgur com k7Jxw png 我想使用一个命令kubectl cp另一种是将文件从一个
未找到证书管理器证书并且未创建挑战

我跟着https docs cert manager io en venafi tutorials quick start index html https docs cert manager io en venafi tutorials
将 Kubernetes 抓取目标添加到不在 Kubernetes 中的 Prometheus 实例

I run 普罗米修斯 https prometheus io 本地为 http localhost 9090 targets docker run name prometheus d p 127 0 0 1 9090 9090 prom

随机推荐

typescript：使用推断永远不会得到不同的结果

我做了一些演示来重现我的问题他们来了问题1 为什么打字g get 2 1 type f never extends infer S1 infer S2 S1 extends never 1 2 3 why 2 type g never
如何使用 Feign 客户端设置请求头？

我们正在使用 Spring Cloud 框架开发一套微服务我们需要做的事情之一就是设置请求标头我知道我可以传递一个参数 RequestHeader到 Feign 方法但值需要来自另一个 bean 我不知道 SPEL 是否可以用于 Fe
如何用新数据重绘jstree树？

那么我的问题我用一些数据初始化了我的树 tree jstree core data Simple root node id node 2 text Root node with options state opened true sel
Python：将字典的项目除以取决于第一个键的值

我相信这个问题与将每个Python字典除以总值 https stackoverflow com questions 30964577 divide each python dictionary value by total value 但是
Angular4 在构造函数中调用函数

我试图在 Angular 4 的构造函数中调用模态函数但该函数被突出显示该函数未正确调用并且当加载页面时日志中不会读取错误并且模态不会按预期弹出屏幕变暗了但模式中的文本没有显示 constructor public formB
无法解析名为“存储”的 Azure 存储连接 - Azure 持久函数

我的项目包 json name azure functions version 1 0 0 description scripts start func start test echo No tests yet dependencies
C++ 中是否可以重载运算符结合性？

我正在构建一个具有稍微不对称添加的类在投诉到来之前它必然是不对称的当两个对象相加时必须发生转换需要一些时间的操作并且转换最自然地发生在正确的被加数上为了具体说明这一点这里有一个正在发生的事情的通用示例 class Foo c
停止通过疯狂的按钮点击生成的多个视图调用（Django 应用程序）

我正在基本 Django Web 应用程序中上传图像文件有一个uploadhtml 模板中的按钮被form标签一旦upload按钮被按下底层view接管并处理图像上传在我同事 Macbook 的 Chrome 浏览器中按uploa
确定映射是否包含键的值？

确定 STL 映射是否包含给定键的值的最佳方法是什么 include
使用 jQuery 获取图像 src

img src img arnold png alt Arnold 如何使用 jQuery 获取该图像的绝对路径 img attr src 给我只是 img 阿诺德 png 应该给出类似 http site com data 2011 im
使用 SSE-KMS 的 S3 分段上传

我正在尝试使用 aws java sdk 1 11 230 编写一个实用程序我可以使用 PutObjectRequest 使用 SSE KMS 编写文件如下所示 PutObjectRequest putRequest new PutOb
无法加载类型“NHibernate.ByteCode.Castle.ProxyFactoryFactory，NHibernate.ByteCode.Castle”

Well 当我阅读并尝试每个类似的主题但都没有成功时我决定发布我自己的问题我的解决方案有一个控制台应用程序和一个用于数据访问的类库 Nhibernate 配置位于控制台应用程序中的 appconfig 内我目前正在使用它进行调试因为
如何在 OS X 中获取 Bash 版本号

我正在编写一个需要 Bash 4 x 的安装脚本此安装脚本也可以在 OSX 上使用我知道在 Linux 系统上我可以通过检查来获取 Bash 版本echo BASH VERSIONenv 变量但如何在达尔文中获取 bash 版本跑步
无法在 Google 应用模拟器中添加 google 帐户

我正在尝试实现我的第一个 Android C2DM 应用程序我在添加谷歌帐户时遇到困难我的机器位于代理后面但我添加了一个包含代理端口用户名密码详细信息的 APN 我可以使用浏览器进入谷歌帐户页面我已经尝试过http和https
Java 序列化：readObject() 与 readResolve()

这本书有效的Java和其他来源提供了关于如何以及何时使用的很好的解释readObject 使用可序列化 Java 类时的方法这readResolve 另一方面方法仍然有点神秘基本上我发现的所有文件要么只提到两者之一要么只单独提到两者
如何在react.js中使用setProps

我想打电话setProps从外部myComponent能够动态更改数据myComponent 我希望在更改组件的道具后它将重新渲染自身我正在尝试以下操作 var myComponent React createClass render
AWS Elastic mapreduce 似乎没有正确地将流媒体转换为 jar

我有一个映射器和减速器当我在管道版本中运行它们时它们可以正常工作 cat data csv mapper py sort k1 1 reducer py 我使用了弹性mapreducer向导加载了输入输出引导程序等引导程序成功
Pyspark - 使用collect_list时保留空值

根据接受的答案 in pysparkcollect set或collect list与groupby https stackoverflow com questions 37580782 pyspark collect set or col
安装valgrind，启动时出现致命错误

我正在安装 Valgrind 但遇到一些问题我的平台信息 Linux xx ThinkPad X61 3 2 0 39 generic pae 62 Ubuntu SMP Wed Feb 27 22 25 11 UTC 2013 i686
两个 kubernetes 集群之间的 mTLS

我正在尝试在两个 kubernetes 集群中的两个应用程序之间获取 mTLS 而无需使用 Istio 的方式通过其入口网关我想知道以下内容是否可行对于 Istio Likerd Consul 假设我们有一个 k8s 集群 A 和一个

两个 kubernetes 集群之间的 mTLS

两个 kubernetes 集群之间的 mTLS 的相关文章

随机推荐

热门标签