Istio 的 DNS 证书管理

    • 与 Istiod 不同, 这种方式无需维护签发的私钥,增强了安全性。

    • 简化了将根证书分发到 TLS 客户端。客户端不再需要等待 Istiod 生成和分发其 CA 证书。

    • 通过 安装 Istio,并配置 DNS 证书。当 Istio 启动后会读取该配置。

    DNS 证书的提供和管理

    Istio 根据用户的配置,为 DNS 证书提供 DNS 名称和 Secret 名称。DNS 证书 通过 Kubernetes CA 签发,并根据配置保存到 Secret 中。Istio 也管理 DNS 证书的生命周期,包括证书的滚动和重新生成。

    检查 DNS 证书的提供

    在配置 Istio 生成 DNS 证书和保存证书到 Secret 后,您可以校验证书是够已经生成并正常运行。

    为了校验例子中 Istio 的配置 dns.example1-service-account 生成的 DNS 证书,和校验证书是否包含 配置的 DNS 名称,需要获取 Kubernetes 的 Secret 进行解析解码,通过以下命令查看具体内容:

      输出内容包括:

      1. 删除前面保存的配置 DNS 证书的 Secret:

      2. 校验 Istio 重新生成已删除 DNS 证书,且证书包含配置的 DNS 名称,您需要获取 Kubernetes 的 Secret进行解析解码,通过以下命令查看详细内容:

      输出内容包括:

      1. X509v3 Subject Alternative Name:

      清理