Это «принципиальный» вопрос, поскольку я пытаюсь понять, как mTLS реализован в Istio и как он работает с сервисами, которые в остальном хорошо поддерживают mTLS (например, gRPC).
Считайте, что у меня кластер с включенным "mtls везде". Это эффективно туннелирует все TCP-соединения по каналу mTLS между прокси-серверами envoy, а соединение между envoy и службой осуществляется в виде обычного текста.
Однако есть службы, требующие как минимум TLS-подключений к прокси-серверу envoy; в идеале соединения mTLS. Одним из них является gRPC, который требует TLS для использования своей базовой аутентификации JWT:
https://grpc.io/docs/guides/auth.html#authenticate-with-google
Итак, возникает вопрос:
- Возможно ли, чтобы прокси-сервер посланника «отслеживал» соединения, которые в противном случае зашифрованы mTLS в самой исходной службе? В идеале с использованием сертификатов и ключей, предоставленных Citadel
- Может ли решение создать новый метод аутентификации, который игнорирует тот факт, что он находится в открытом тексте, поскольку Istio будет использовать его по протоколу mTLS?
‹3 Ура