我在 3 节点集群中安装了 K8s。我想以安全的方式安装 Istio。我的问题是:通过 Helm 安装 Istio 时(如文档中的建议(,我是否需要按照文档中的建议安全地安装 Helm(RABC 和 TSL/SSL(?
此问题的原因是两个文档之间的信息冲突。Istio 文档只说要做一个简单的helm init --service-account tiller。但是,在 Helm 文档中,建议检查 Helm 的所有安全性。换句话说:Istio 是否涵盖了 Helm 不安全的安装?
根据有关通过 Helm 图表部署 Istio 的文档,默认情况下,实现步骤不会涵盖Tiller服务的任何安全配置。因此,如果您考虑使用与开发环境无关的集群,最好的解决方案是将安全配置应用于 Helm 图表。
一般来说,Istio 安全实现涵盖三个概念:身份验证策略、双向 TLS 身份验证和授权策略。
基本上,通过 Helm 图表安装 Istio 网格默认使用 Helm 模板中的现有参数global.mtls.enabled启用相互 TLS 身份验证。