Istio + Helm + Tiller 安装 - 如何确保一切安全?
Istio + Helm + Tiller Instalation - How to secure everything?
我在 3 节点集群中安装了 K8s。我想以安全的方式安装 Istio。我的问题是:通过 Helm 安装 Istio 时(按照 docs) do I need to install Helm securely (RABC and TSL/SSL) as recommended in the Docs?
中的建议
这个问题的原因是两个文档之间的信息冲突。 Istio 文档说只做一个简单的 helm init --service-account tiller。但是,在 Helm 文档中,建议检查 Helm 的所有安全性。换句话说:Istio 是否涵盖了 Helm 不安全的安装?
根据 Documentation about deploying Istio via Helm chart, the implementation steps won’t cover any security configuration to your Tiller service by default. Therefore, if you consider using a cluster with no concerns to the development environment the best solution would be applying Security configuration 到 Helm 图表。
总的来说,Istio 安全实现包括三个概念:Authentication policies, Mutual TLS authentication and Authorization policy.
基本上,通过 Helm 图表安装 Istio 网格默认情况下使用 Helm 模板中的现有参数 global.mtls.enabled 启用相互 TLS 身份验证。
我在 3 节点集群中安装了 K8s。我想以安全的方式安装 Istio。我的问题是:通过 Helm 安装 Istio 时(按照 docs) do I need to install Helm securely (RABC and TSL/SSL) as recommended in the Docs?
中的建议这个问题的原因是两个文档之间的信息冲突。 Istio 文档说只做一个简单的 helm init --service-account tiller。但是,在 Helm 文档中,建议检查 Helm 的所有安全性。换句话说:Istio 是否涵盖了 Helm 不安全的安装?
根据 Documentation about deploying Istio via Helm chart, the implementation steps won’t cover any security configuration to your Tiller service by default. Therefore, if you consider using a cluster with no concerns to the development environment the best solution would be applying Security configuration 到 Helm 图表。
总的来说,Istio 安全实现包括三个概念:Authentication policies, Mutual TLS authentication and Authorization policy.
基本上,通过 Helm 图表安装 Istio 网格默认情况下使用 Helm 模板中的现有参数 global.mtls.enabled 启用相互 TLS 身份验证。