宿迁高端网站建设,中文域名注册机构,北京市网站设计,wordpress 324错误这里定义了访问www.ck8s.com可以使用http也可以使用https访问#xff0c;两种方式都可以访问。 那么是否可以强制使用mtls方式去访问#xff1f; mTLS认证 PeerAuthentication PeerAuthentication的主要作用是别人在和网格里的pod进行通信的时候#xff0c;是否要求mTLS mTL… 这里定义了访问www.ck8s.com可以使用http也可以使用https访问两种方式都可以访问。 那么是否可以强制使用mtls方式去访问 mTLS认证 PeerAuthentication PeerAuthentication的主要作用是别人在和网格里的pod进行通信的时候是否要求mTLS mTLS (mutual TLS双向TLS) 让客户端和服务器端通信的时候都必须进行TLS认证默认情况下在网格内部默认启用了mTLS了。 PERMISSIVE工作负载接受双向TLS和纯文本流量。 当没有Sidecar的工作负载无法使用双向TLS时此模式适合用在迁移过程。 通过使用sidecar注入迁移工作负载后应该将模式切换为STRICT。 STRICT工作负载仅接受双向TLS通信。 在网格里面所有的pod 不管是istio使用到的pod还是普通创建的pod1 pod2都会通过mtls来进行通信也就是互相认证。
istio本身有一个CA网格里面都有envoy配置的sidecar它们内部的通信就是通过mtls。
对于网格之外的主机网格外面的主机和pod通信的时候并没有要求使用tls认证。 strict意思就是不管哪个客户端只要和网格内部的主机通信那么必须得使用tls认证。 如果有多个端口可以指定对哪些端口不使用mtls其他端口都必须使用mtls。
上面其实就演示了网格之外的主机要和pod通信的时候必须得要建立这样一个mtls的通信。
