Cet page explique comment activer les protocoles TLS et mTLS unidirectionnels sur l'entrée Istio.
Configurer une connexion TLS unidirectionnelle
Utilisez le protocole TLS unidirectionnel pour sécuriser les points de terminaison du proxy d'API sur l'entrée Istio. Pour activer le protocole TLS unidirectionnel, configurez l'entrée avec des paires certificat/clé TLS ou avec un Secret Kubernetes, comme expliqué dans les options suivantes.
Option 1 : paire clé/certificat
Fournissez les fichiers de certificat et de clé SSL dans la propriété virtualhosts de votre fichier de remplacement :
virtualhosts:
- name: $ENVIRONMENT_GROUP_NAME
sslCertPath: "$CERT_FILE"
sslKeyPath: "$KEY_FILE"
Où $ENVIRONMENT_GROUP_NAME est le nom d'un groupe d'environnements avec les alias d'hôte correspondants, et $CERT_FILE et $KEY_FILE sont respectivement le fichier de clé TLS et le fichier de certificat. Pour plus d'informations, consultez la section Créer des certificats TLS.
Option 2 : secret Kubernetes
Créez un secret Kubernetes dans l'espace de noms istio-system et ajoutez le nom du secret à votre fichier de remplacement :
- Créer le secret
kubectl create -n istio-system secret generic $SECRET_NAME \ --from-file=key=$KEY_FILE \ --from-file=cert=$CERT_FILE
- Configurez la propriété
virtualhostsdans votre fichier de remplacement :virtualhosts: - name: $ENVIRONMENT_GROUP_NAME tlsMode: SIMPLE # Note: SIMPLE is the default, so it is optional. sslSecret: $SECRET_NAME
Configuration de mTLS
Au lieu du protocole TLS unidirectionnel, vous pouvez configurer mTLS sur l'entrée Istio. Deux options permettent de configurer l'authentification mTLS, comme expliqué ci-dessous.
Option 1 : paire clé/certificat et fichier CA
Fournissez un certificat CA (CA) avec un certificat SSL et un fichier de clé dans la propriété virtualhosts de votre fichier de remplacement :
virtualhosts:
- name: $ENVIRONMENT_GROUP_NAME
tlsMode: MUTUAL
caCertPath: "$CA_FILE"
sslCertPath: "$CERT_FILE"
sslKeyPath: "$KEY_FILE"
Où $ENVIRONMENT_GROUP_NAME est le nom d'un groupe d'environnement avec les alias d'hôte correspondants, $CA_FILE est un certificat autorisé, et $CERT_FILE et $KEY_FILE sont des clés et un certificat TLS. Consultez la section Créer des certificats TLS.
Option 2 : Secrets Kubernetes
Créez deux secrets Kubernetes dans l'espace de nomsistio-system. Le premier secret correspond à l'autorité de certification et le second à la paire certificats SSL/clés.
Ajoutez-les ensuite à votre fichier de remplacement.
- Créez deux secrets Kubernetes dans l'espace de noms
istio-system. Le premier secret correspond à l'autorité de certification et le second à la paire certificats SSL/clés :kubectl create -n istio-system secret generic $SECRET_NAME \ --from-file=key=$KEY_FILE \ --from-file=cert=$CERT_FILE
- Créez un secret pour l'autorité de certification :
kubectl create -n istio-system secret generic $SECRET_NAME-cacert \ --from-file=cacert=$CA_FILE
- Configurez la propriété
virtualhostsdans votre fichier de remplacement :virtualhosts: - name: $ENVIRONMENT_GROUP_NAME tlsMode: MUTUAL # Note: Be sure to specify MUTUAL sslSecret: $SECRET_NAME