我们有一个带有Istio 1.0(带有Envoy代理)的Kubernetes集群以及其他一些东西。 我们使用Istio的网关来验证客户端证书。我们希望将客户证书的主题传递给内部服务。
Here在Envoy的文档中,我找到了以下配置选项:forward_client_cert可以在标头x-forwarded-client-cert的其他信息中传递主题,尽管我找不到启用它的方法在Istio中。
有人尝试做类似的事情并且成功了吗?还是Istio不支持?
答案 0 :(得分:1)
这是一个较晚的答案,但是1.1.0 release支持转发客户端证书详细信息。这是https网关的默认行为,但是,您需要全局启用双向TLS才能起作用。为此,请应用以下Runnable对象:
MeshPolicy应用此功能后,对入口的https调用会将apiVersion: "authentication.istio.io/v1alpha1"
kind: "MeshPolicy"
metadata:
name: "default"
spec:
peers:
- mtls: {}
标头转发到服务器。
但是请记住,一旦启用了全局MTL,群集中服务之间的服务调用也必须使用TLS。这可以通过为模式设置为X-Forwarded-Client-Cert的每个服务创建一个DestinationRule来完成(如果要使用自己的客户端证书而不是Citadel生成的客户端证书,则可以使用ISTIO_MUTUAL):< / p>
MUTUAL