[Istio] Auto Mutual TLS
Substack
Istio가 자동으로 TLS 설정을 해준다!?
저는 아직 Istio를 사용하면서 mTLS 설정을 해본적이 없는데, 알고보니 TLS 통신을 하고 있었다는 것을 알았습니다. 관련해서 찾아보니까 흥미로운 부분이 있어서 공유합니다.
1/ Istio는 istio init 과정을 통해서 istio-proxy에 필요한 네트워크 작업을 수행하고, 애플리케이션 파드에 security.istio.io/tlsMode=istio 라벨을 추가합니다.
2/ security.istio.io/tlsMode 라벨이 붙으면 istiod 는 TLS를 사용한다고 생각하고, 그에 맞게 리스너를 설정해줍니다. tlsMode = istio 이면 istio proxy 간 통신을 할 때는 TLS로 통신하겠다는 의미입니다.
3/ 만약 istio proxy 끼리 통신할때도 mTLS를 사용하지 않고 싶다면, 애플리케이션에 미리 security.istio.io/tlsMode=disable 라벨을 넣어주거나, PeerAuthentication 혹은 DestinationRule에 mTLS: disable 설정을 추가해주면 됩니다.
4/ istiod는 envoy filter를 추가해주는 역할을 해줄 뿐, 실제로 TLS 과정에 관여하지 않습니다. Envoy가 내부적으로 통신을 할 때, 매칭되는 필터가 있으면 해당 필터를 적용하는 것입니다.
혹시나 istio를 사용하고 계시다면, 한 번 쯤 확인해보시면 좋을 것 같습니다!
#istio #devops #k8s
![[Istio] Auto Mutual TLS](/_next/image?url=https%3A%2F%2Fpubly.imgix.net%2Farticle-thumbnails%2F2024.06%2F3d4ea2e0357c6549080468aafe75030391c075539eee8d036a7a7469a5adc639.webp%3Fw%3D200%26h%3D200&w=384&q=75)
다음 내용이 궁금하다면?
이미 회원이신가요?
2024년 6월 17일 오후 8:00
댓글 0
함께 읽은 게시물
어제 AI 시대의 개발자 토론회에서 내가 대 AI 시대에는 버전관리 시스템이 필요없을 수도 있다고 생각해야한다는 말을 했는데, 그정도로 파격적인 생각을 해야한다는 이야기긴했지만, 진짜 그럴까?를 다시 한 번 생각해봤다.
우선 버전관리 시스템의 목적은 크게 다음 세 가지다.
5년만에 최저치를 기록한 SW 개발자 채용
다
... 더 보기
AI(LLM) 애플리케이션의 발전 속도가 AI 지능(능력)의 발전 속도를 따라가지 못하고 있는 상태가 되었다. 즉, 이제 AI가 부족한 것이 문제가 아니라, AI의 능력을 100% 활용하지 못하고 있는 것이 문제인 상태가 되었다는 이야기.
Next.js 프로젝트를 AWS EKS에 배포하며 배운 것들
최
... 더 보기
