Istio Envoy代理轉發客戶端證書信息
[英]Istio Envoy Proxy forwarding client certificate info
問題描述
我們有一個帶有Istio 1.0(帶有Envoy代理)和其他內容的Kubernetes集群。 我們使用Istio的網關來驗證客戶端證書。 我們希望將客戶證書的主題傳遞給內部服務。
這里特使的文檔中我發現了以下配置選項: forward_client_cert使傳遞頭以及其他信息的主題x-forwarded-client-cert ,但我找不到,使其能夠在Istio的方式。
有沒有人嘗試做類似的事情並且成功了? 還是Istio不支持這一點?
1 個解決方案
解決方案1
2 已采納 2019-03-21 18:15:41
這是一個較晚的答案,但是1.1.0版本支持轉發客戶端證書詳細信息。 這是https網關的默認行為,但是,您需要全局啟用雙向TLS才能起作用。 為此,請應用以下MeshPolicy對象:
apiVersion: "authentication.istio.io/v1alpha1"
kind: "MeshPolicy"
metadata:
name: "default"
spec:
peers:
- mtls: {}
應用此功能后,對入口的https調用會將X-Forwarded-Client-Cert標頭X-Forwarded-Client-Cert到服務器。
但是請記住,一旦啟用了全局mtl,群集中的服務到服務調用也必須使用tls。 這可以通過創建一個完成DestinationRule與設置模式每個服務ISTIO_MUTUAL (或MUTUAL如果你想使用自己的客戶端證書,而不是由城堡生成的那些):
apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
name: myApp
namespace: default
spec:
host: myApp
trafficPolicy:
tls:
mode: ISTIO_MUTUAL
Istio (Envoy-proxy sidecar) 正在阻止端口 8088 上的 http 流量
[英]Istio (Envoy-proxy sidecar) is blocking http traffic on port 8088
Istio 1.0不會將特使代理注入Kubernetes 1.9.3上的Pod
[英]Istio 1.0 does not inject envoy proxy to pods on Kubernetes 1.9.3
Istio envoy 代理 sidecar 與容器文件系統有什么關系嗎?
[英]Does Istio envoy proxy sidecar has anything to do with container filesystem?
對 K8s 服務所在的位置以及 Istio 的 Envoy 代理所在的位置感到困惑?
[英]Confused about where K8s Services reside and where Istio's Envoy Proxy Reside?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
Istio 特使代理問題
殺死/停止 Istio 特使代理
Istio/Envoy 邊緣代理 EnvoyFilter (1.9.0)
如何配置 istio(或 envoy)充當正向代理
Istio (Envoy-proxy sidecar) 正在阻止端口 8088 上的 http 流量
Istio 1.0不會將特使代理注入Kubernetes 1.9.3上的Pod
我希望istio envoy代理將HTTP流量轉換為https
Istio envoy 代理 sidecar 與容器文件系統有什么關系嗎?
使用 ISTIO 從客戶端證書中提取信息
對 K8s 服務所在的位置以及 Istio 的 Envoy 代理所在的位置感到困惑?
相關標簽