开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

GKE上的Istio是否为相互TLS的每个服务创建不同的服务帐户

GKE上的Istio是一个开源的服务网格解决方案，用于管理和连接在Kubernetes集群中运行的微服务。它提供了一种简化和增强微服务之间通信的方式，并提供了流量管理、安全性、可观察性等功能。

在GKE上使用Istio时，它确实为每个服务创建了不同的服务账户，并为它们之间的通信提供了相互TLS（Transport Layer Security）的加密。相互TLS是指在服务之间建立安全的通信连接，确保数据在传输过程中的机密性和完整性。

通过为每个服务创建不同的服务账户，Istio可以实现服务间的身份验证和授权。每个服务账户都有自己的证书和私钥，用于加密和解密通信中的数据。这样可以确保只有经过身份验证的服务才能相互通信，并且数据不会被未经授权的服务访问。

相互TLS的优势包括：

安全性增强：相互TLS提供了端到端的加密，保护了数据在传输过程中的安全性，防止数据被窃取或篡改。
身份验证和授权：每个服务账户都有自己的证书，可以用于验证服务的身份，并根据需要进行授权，确保只有经过授权的服务才能相互通信。
细粒度的访问控制：通过相互TLS，可以对每个服务之间的通信进行细粒度的访问控制，限制服务之间的交互，提高系统的安全性。
简化配置和管理：Istio提供了自动化的证书管理和密钥轮换，简化了证书的配置和管理过程，减少了运维的工作量。

应用场景包括：

微服务架构：对于使用微服务架构的应用，可以使用Istio的相互TLS功能来保护服务之间的通信，提高系统的安全性。
多租户环境：在多租户环境中，不同租户的服务之间可能需要进行通信，相互TLS可以确保租户之间的通信是安全的，并且数据不会被其他租户访问。
遗留应用的现代化：对于需要将遗留应用进行现代化改造的场景，可以使用Istio的相互TLS功能来保护遗留应用与其他服务之间的通信。

腾讯云提供了一系列与Istio相关的产品和服务，包括腾讯云容器服务 TKE、腾讯云服务网格 TCM、腾讯云API网关等。您可以通过以下链接了解更多信息：

腾讯云容器服务 TKE：https://cloud.tencent.com/product/tke
腾讯云服务网格 TCM：https://cloud.tencent.com/product/tcm
腾讯云API网关：https://cloud.tencent.com/product/apigateway

请注意，以上答案仅供参考，具体的产品选择和配置应根据实际需求和情况进行决策。

相关搜索:MicroProfile——为 Istio 创建的微服务编程模型为helm的gcp服务帐户创建密钥为每个请求创建不同的Api资源是否正确？Google Cloud的服务如何在GKE上为Anthos运行，并连接到不同组织的不同项目上的Firestore？运行在不同命名空间上的服务的基于Gke路由的入口是否可以使用不同的服务帐户运行sidecar 在GKE上，是否可以只有一个入口将流量路由到不同命名空间上的不同服务？为同一服务的每个组件提供不同的值 Cloud scheduler不接受我为计划作业创建的服务帐户使用Spring Web服务为每个请求提供不同的ClientInterceptor google kubernetes engine (GKE)创建的IP暴露为服务后无法访问是否可以使用Unicorn为每个单独的服务器设置不同数量的工作进程？Google Analytics -服务帐户是否必须从托管Google Analytics帐户的Google配置文件创建？如何使用cognito创建用户帐户，但使用不同的服务进行验证？入口控制器是否同时支持云运行服务和GKE上的私有集群？在连接到GCE外部NFS服务器的GKE上创建Kubernetes Persistent Volume 是否将OData服务定义创建为EDMX的YAML整数？如何高效地为每个微服务的独立测试创建API模拟？让powershell中的每个循环在不同的服务器上并行运行在Rstudio服务器中为每个用户使用不同版本的R

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

idou老师教你学istio：如何为服务提供安全防护能力

将单体应用程序分解为一个个服务，为大型软件系统的开发和维护带来了诸多好处，比如更好的灵活性、可伸缩性和可复用性。但这也带来了一些安全问题：

05

使用NATS实现服务网格功能，第2部分：安全性

继续我的第一篇文章关于服务网格的概念和讨论，接下来我将关注NATS 2.0和服务网格在安全领域的概念。服务网格的安全部分包括端到端加密（相互TLS）、身份验证、授权策略以及服务之间的服务到服务访问控制。有了NATS 2.0和NKeys、JWT以及操作员-帐户-用户安全模型的引入，我相信可以使用NATS，实现更安全的通信基础设施。在这篇文章中，我们将详细讨论这个问题，并将NATS模型与主流服务网格的安全模型进行比较和对比。

03

使用 Cilium 服务网格的下一代相互身份验证

该博客描述了 Cilium 如何在不使用 Sidecar 的情况下提供服务网格。在这篇博客中，我们将扩展 mTLS 的主题，并研究 Cilium 如何提供具有出色安全性和性能特征的基于 mTLS 的无边车身份验证。

01

Kubernetes中使用mTLS保护微服务通信

微服务架构中，各服务间常有通信交互，以完成复杂业务流程，这给安全性和可扩展性带来挑战。启用双向 TLS(mTLS)可提高安全性，本文将详述 mTLS 的使用入门方法。

01

Cilium服务网格的下一代双向认证

该文为前期热门文章《eBPF将如何提供服务网格解决方案--告别sidecar》的后续。其介绍了Cilium提供非sidecar模式的服务网格的解决方案。在本篇文章中，我们将目光扩展到mTLS的主题上，并研究Cilium如何提供基于mTLS非sidecar模式的双向认证，其同时具备出色的安全性和性能优势。

02

Service Mesh安全：当入侵者突破边界，如何抵御攻击？| CNBPS 2020演讲实录

大家好，我是来自灵雀云的邢海涛，今天演讲的主题是Service Mesh安全，主要从四个方面来跟大家做一下分享。首先介绍Service Mesh 安全需求，然后详细介绍Istio的安全实现，随后介绍两款Service Mesh产品的安全特性：LinkerD 和 Alauda Service Mesh。希望通过这个演讲，让大家了解Istio的无代码侵入，灵活的安全解决方案，启发大家思考自己的安全解决方案，以及如何迁移到Istio的安全模型。

01

【译文连载】理解Istio服务网格（第七章安全）

越来越多的现代云原生应用开发体系中都会有好几个独立的开发团队，每个团队采用不同的开发迭代周期，新功能以周或天为单位迭代上线，只对他们自己的任务负责。Istio的使命是从组成整个应用的所有微服务层面，确保一定程度的连续性。Isitio的关键能力之一是实施安全约束，同时对每个服务的逻辑代码透明。有了Istio代理后，你就可以在服务之间的网络层面施加这些约束。

02

如何在Kubernetes上使用Istio Service Mesh设置Java微服务?

最初于2018年11月17日在Medium发布。自此以来，该帖子已更新，可以使用最新版本的JHipster（6.3.0）和Istio（1.3.0）。

05

认识Service Mesh(1): Deploy Istio on Kubernetes with GKE

关注容器圈的朋友一定会注意到最近一年的高频词：Service Mesh。这么绕口的词，到底是什么意思？引用一篇文章里对其的解释：

03

Kubernetes 中的渐进式交付：蓝绿部署和金丝雀部署

渐进式交付是持续交付的下一步，它将新版本部署到用户的一个子集，并在将其滚动到全部用户之前对其正确性和性能进行评估，如果不匹配某些关键指标，则进行回滚。

03

Istio 负载均衡的区域感知

Envoy/Istio 1.1 中有个有趣的新特性：负载均衡提供了区域感知的能力。简单说来，就是在分区部署的较大规模的集群，或者公有云上，Istio 负载均衡可以根据节点的区域标签，对调用目标做出就近选择。在跨区部署的应用中，原始的 Kubernetes 负载均衡可能会把来自 A 区的请求发送给远在 B 区的服务，造成高成本的跨区调用。要缩减这种损耗，通常都需要实现更多的逻辑，Istio 的区域感知特性在某种程度上提供了一种解决办法。

04

istio的安全(概念)

通过将一个单一应用划分为多个原子服务的方式，可以提供更好的灵活性，可扩展性以及重用服务的能力。然而微服务对安全有特殊的要求：

03

万字长文从 0 详解 Istio

- 前言 - 在本教程中，我们将介绍服务网格的基础知识，并了解它如何实现分布式系统架构。我们将主要关注Istio，它是服务网格的一种具体实现。在此过程中，我们将介绍Istio的核心架构。 - 什么是服务网络 - 在过去的几十年中，我们已经看到了单体应用程序开始拆分为较小的应用程序。此外，诸如Docker之类的容器化技术和诸如Kubernetes之类的编排系统加速了这一变化。尽管在像Kubernetes这样的分布式系统上采用微服务架构有许多优势，但它也具有相当的复杂性。由于分

00

使用Let’s Encrypt在Kubernetes上保护Istio的Ingress服务

这是我在kubernetes之上部署Istio系列文章中的第三篇，内容是关于我们试图通过Vamp Lamia实现的更多细节以及我们为什么选择Istio的原因，可以查看我的第一篇和第二篇文章。

02

万字长文带你入门 Istio

译文链接： https://zhuanlan.zhihu.com/p/369068128 译者：iyacontrol 来源：分布式实验

04

Istio入门(dignity)

我们将主要关注Istio，它是服务网格的一种具体实现。在此过程中，我们将介绍Istio的核心架构。

01

在Kubernetes中简化多集群

客座文章作者：Gianluca Arbezzano，Equinix Metal 软件工程师，CNCF 大使；Alex Palesandro，都灵理工学院研究助理

02

istio-cni详解

Istio 在网格中部署的Pod中注入initContainer，istio-init。该istio-init容器设置荚的网络流量重定向到/从Istio三轮代理。这就要求将用户或服务帐户部署到网格上的Pod具有足够的Kubernetes RBAC权限才能部署具有NET_ADMIN和NET_RAW功能的容器。对于某些组织的安全合规性，要求Istio用户具有提升的Kubernetes RBAC权限是有问题的。Istio CNI插件是istio-init执行相同网络功能但不要求Istio用户启用提升的Kubernetes RBAC权限的容器的替代。

02

Istio的安全机制防护

Istio于北京时间7月31日晚24点发布1.0版本，首次可用于生产环境。目前Istio的安全机制主要包括基于RBAC的访问控制、认证策略、双向TLS认证、服务健康检查等几个方面[1]，Istio 提供了安全操作指南以便于验证其安全机制，感兴趣的同学可以通过访问官方网站学习。

01

使用Cilium增强Istio|通过Socket感知BPF程序

8月1日凌晨，Istio 1.0发布，已生产就绪！ Cilium社区感谢所有Istio贡献者为此付出的巨大努力。我们很幸运能够参与社区活动，为Istio做出贡献，并帮助一些用户通过Istio和Cilium进行生产部署。如果您有兴趣在深入了解技术细节之前了解Istio + Cilium的用户故事，请考虑阅读HP FitStation团队（最大的Cilium + Istio用户之一）发布的以下Istio博客: Istio是惠普FitStation平台的游戏规则的改变者。

04

A Big Picture of Kubernetes

互联网后台架构技术的发展一日千里。身处技术变革浪潮的后台同学，应该都深切地感受到了云原生技术在公司内外的蓬勃发展。云原生技术正在逐渐成为后台工程师与架构师们的必修课，而 kubernetes 正是云原生的基石，聚光灯下的焦点。

02

Istio入门,原理,实战

微服务架构可谓是当前软件开发领域的技术热点，它在各种博客、社交媒体和会议演讲上的出镜率非常之高，无论是做基础架构还是做业务系统的工程师，对微服务都相当关注，而这个现象与热度到目前为止，已经持续了近 5 年之久。

04

通过Kyverno使用KMS、Cosign和工作负载身份验证容器镜像

随着软件供应链攻击的增加，保护我们的软件供应链变得更加重要。此外，在过去几年中，容器的采用也有所增加。有鉴于此，对容器镜像进行签名以帮助防止供应链攻击的需求日益增长。此外，我们今天使用的大多数容器，即使我们在生产环境中使用它们，也容易受到供应链攻击。在传统的 CI/CD 工作流中，我们构建镜像并将其推入注册中心。供应链安全的一个重要部分是我们构建的镜像的完整性，这意味着我们必须确保我们构建的镜像没有被篡改，这意味着保证我们从注册中心中提取的镜像与我们将要部署到生产系统中的镜像相同。证明镜像没有被篡改的最简单和最好的方法之一（多亏了 Sigstore）是在构建之后立即签名，并在允许它们部署到生产系统之前验证它。这就是 Cosign 和 Kyverno 发挥作用的地方。

02

Istio 1.15.0 正式发布，支持 arm64 架构

作者 | 褚杏娟当地时间 8 月 31 日，Istio 1.15.0 正式发布，这是 2022 年的第三个 Istio 版本，Kubernetes 1.22 到 1.25 版本已正式支持 Istio 1.15.0。根据公告，Istio 1.15.0 版本的重要更新是支持 arm64，用户可以在 Raspberry Pi 或 Tau T2A VM 上运行。 2019 年时，就有开发者抱怨无法在 arm64 上使用 Istio。当时开发者“iecedge”通过修改代码在私人环境里构建了 Istio 1.2

01

Service Mesh: Istio vs Linkerd

根据CNCF的最新年度调查，很明显，很多人对在他们的项目中使用服务网格表现出了浓厚的兴趣，并且许多人已经在他们的生产中使用它们。近69％的人正在评估Istio，64％的人正在研究Linkerd。Linkerd是市场上第一个服务网格，但是Istio使服务网格更受欢迎。这两个项目都是最前沿的，而且竞争非常激烈，因此选择一个项目是一个艰难的选择。在此博客文章中，我们将了解有关Istio和Linkerd体系结构，其运动部件的更多信息，并比较其产品以帮助您做出明智的决定。

02

使用服务网格增强安全性：Christian Posta探索Istio的功能

Istio帮助使“服务网格”概念变得更加具体和可访问，随着Istio 1.0的最新发布，我们可以预期人们对它的兴趣会激增。Jasmine Jaksic在InfoQ之前的一篇文章中很好地介绍了Istio和服务网格，因此我想借此机会介绍Istio的一个特定领域，它将为云服务和应用程序的开发人员和运营商带来巨大的价值:安全性

02

听GPT 讲Istio源代码--istioctl

在 Istio 项目的 istioctl 目录中，有一些子目录，每个目录都有不同的作用和功能。以下是这些子目录的详细介绍：

05

当Istio智能顾问遇到GPT

智能技术与Istio文档巧妙结合，可极大地便利开发者解析这一热门开源Service Mesh的技术架构与实现机制。

01

istio 1.7发布

•添加了 values.global.proxy.holdApplicationUntilProxyStarts config选项，它使sidecar注入器在pod容器列表的开始处注入sidecar，并将其配置为阻止所有其他容器的开始，直到代理就绪为止。默认情况下禁用此选项。(#11130)•新增了对用于客户端证书和CA证书的SDS支持，该证书用于使用DestinationRule从Egress Gateway发起的TLS/mTLS(#14039)

01

Istio 安全基础

安全是一个非常重要的话题，但也是平时容易被忽略的一个话题，我们在开发应用的时候，往往会忽略安全，但是当应用上线后，安全问题就会暴露出来，这时候就会造成很大的损失。Istio 通过在服务之间注入 Sidecar 代理，来实现对服务之间的流量进行控制和监控，从而实现服务之间的安全通信。

01

Isito 入门（九）：安全认证

本章的内容主要是讲解服务间通讯的安全和集群外部访问内部服务的 jwt token 验证。

02

一文带你彻底厘清 Isito 中的证书工作机制

在上一篇文章一文带你彻底厘清 Kubernetes 中的证书工作机制中，我们介绍了 Kubernetes 中证书的工作机制。在这篇文章中，我们继续探讨 Istio 是如何使用证书来实现网格中服务的身份认证和安全通信的。

04

一文带你彻底厘清 Isito 中的证书工作机制

作者赵化冰，腾讯云高级工程师，Istio Member，ServiceMesher管理委员，热衷于开源、网络和云计算。目前主要从事服务网格的开源和研发工作。目录 Istio 安全架构控制面证书签发流程为什么要通过 Pilot-agent 中转？控制面身份认证 SDS 工作原理网格边车证书配置 Gateway 证书配置数据面使用的所有证书小结参考文档在这篇文章中，我们将探讨 Istio 是如何使用证书来实现网格中服务的身份认证和安全通信的。本文是对 Istio 认证工作机制的深度分

06

Istio Egress 出口网关使用

签名我们了解了位于服务网格内部的应用应如何访问网格外部的 HTTP 和 HTTPS 服务，我们学习了如何通过 ServiceEntry 对象配置 Istio 以受控的方式访问外部服务，这种方式实际上是通过 Sidecar 直接调用的外部服务，但是有时候我们可能需要通过专用的 Egress Gateway 服务来调用外部服务，这种方式可以更好的控制对外部服务的访问。

02

听GPT 讲Istio源代码--pilot(4)

istio/pilot/pkg/networking/core/v1alpha3/loadbalancer/loadbalancer.go是Istio项目中负责负载均衡的文件。它定义了一些结构体和函数，用于处理负载均衡策略。

02

K8S 生态周报| Google 选择 Cilium 作为 GKE 下一代数据面

Google 声明[2]将选择 Cilium[3] 作为 GKE 网络的数据面 V2 以便增加其容器安全性和可观测性。

02

Istio的流量管理(实操三)

涵盖官方文档Traffic Management章节中的egress部分。其中有一小部分问题(已在下文标注)待官方解决。

02

【从小白到专家】Istio系列之二：核心组件介绍

Istio，被称作Kubernetes的最佳云原生拍档。我们推出“Istio技术实践”系列专题，在本专题中，将通过技术文章+视频授课的方式，为大家详细阐述Istio微服务治理，及在企业级云平台中的解决方案和实践。同时，您还可以申请试用灵雀云基于原生Istio和Kubernetes的微服务产品ASM！

03

istio-in-action - 17 Gateway 支持 https 访问 - 标准模式

https://istio.io/latest/docs/reference/config/networking/gateway/#ServerTLSSettings credentialName: The secret (of type generic) should contain the following keys and values: key: <privateKey> and cert: <serverCert> 创建证书 k8s secret 在标准模式下，必须使用 key 作为私钥

02

从服务混乱到服务网格

嘉宾文章作者：Rob Richardson（@rob_rich），技术布道者，MemSQL；KavyaPearlman（@KavyaPearlman），全球网络安全策略师，Wallarm

01

Istio的流量管理(实操二)(istio 系列四)

在kubernetes环境中，kubernetes ingress资源用于指定暴露到集群外的服务。在istio服务网格中，使用了一种不同的配置模型，称为istio网关。一个网关允许将istio的特性，如镜像和路由规则应用到进入集群的流量上。

01

Istio 的高级边缘流量控制（二）

上一节我演示了如何通过 Egress Gateway 引导 Istio 的出口 HTTP 流量，但到 443 端口的 HTTPS 流量没有通过 Egress Gateway，而是直接转到 edition.cnn.com 。Istio 出口流量的 TLS 演示了如何在网格内部直接通过 HTTP 协议访问外部加密服务。本文尝试将这两者结合起来，先将 HTTP 流量路由到 Egress Gateway，然后直接使用 Egress Gateway 发起 TLS 连接。

03

CNCF案例研究：DENSO如何与Kubernetes一起推动汽车边缘计算的发展

使用的CNCF项目包括：Envoy、Fluentd、Helm、Kubernetes、Prometheus

01

大道至简，Istio 双向 tls服务通信详解

本文主要和大家聊一聊istio的双向tls。双向 tls支持主要针对通信方面，将明文传输的服务通信，转换为 Envoy 之间的加密通信。这一安全设置可以在全局、Namespace 或者单个服务的范围内生效。

04

Kubernetes集群网络揭秘，以GKE集群为例

毛艳清，富士康工业互联网科技服务事业群运维中心主管，现负责公有云和私有云的运维工作，聚焦在云计算和云原生领域，主要关注企业迁云的策略与业务价值、云计算解决方案、云计算实施与运维管理，以及云原生技术的布道和落地实践。

04

高端黑科技系列一：新一代微服务与新一代API管理的集成

版权说明：本文书写过程中参照了红帽的技术文档；本系列文章中的部分测试代码为红帽公司版权所有，因此不能提供源码文件。

03

Istio 大入门 - Ingress

Istio 从 v1alpha3 开始，用 Ingress Gateway 组件替代了符合 Kubernetes 规范的 Ingress Controller，因此对入站流量具有了更大的控制能力，但是用法也有了较大不同。

03

Istio 的高级边缘流量控制（一）

在上一篇文章 Istio 出口流量的 TLS 中，我演示了如何在网格内部直接通过 HTTP 协议访问外部加密服务，并揭示了其背后 Envoy 的配置逻辑。

02

简化使用 Istio 服务网格的集群连接

翻译自 Simplifying Cluster Connectivity with Istio Service Mesh 。

01

eBay基于Istio的应用网关的探索和实践

7月17日，在Cloud Native Days China云原生多云多集群专场，eBay软件工程师陈佑雄发表了《eBay基于Istio的应用网关的探索和实践》主题演讲，分享了eBay在多集群，多环境，大规模的场景下，Istio落地实践的探索和实践。

03

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭