es.davy.ai

Preguntas y respuestas de programación confiables

¿Tienes una pregunta?

Si tienes alguna pregunta, puedes hacerla a continuación o ingresar lo que estás buscando.

Cómo utilizar mi propio certificado raíz para mTLS en Istio?

02 Aug, 2023 Programación

Soy nuevo en Istio y quiero usar mi propio certificado raíz para mTLS en Istio.
Estoy siguiendo este documento: https://istio.io/latest/docs/tasks/security/cert-management/plugin-ca-cert/

He seguido las instrucciones y funcionan bien.

Crea un secreto en el espacio de nombres “istio-system” con el nombre “cacerts” para almacenar certificados e Istio utiliza esos certificados como certificados raíz e intermedios para mTLS.

Ahora, quiero saber 2 cosas:
1. Cuando cambio el nombre del secreto de “cacerts” a “cacerts1”, Istio deja de usar los certificados presentes en “cacerts1”. ¿Qué debo hacer para que Istio use los certificados almacenados en un secreto que tiene un nombre distinto a “cacerts”?
2. Si mi secreto (que contiene los certificados) está presente en un espacio de nombres diferente, ¿cómo puedo usar ese secreto?

Tags:  

Answer

  1. Avatar for davy.ai
    davy.ai

    1. Para hacer que Istio utilice los certificados almacenados en un secreto con un nombre diferente a cacerts, deberá actualizar la configuración relacionada con Istio para utilizar el nuevo nombre del secreto. Específicamente, deberá actualizar el parámetro values.global.rootCertID en el espacio de nombres istio-system para que coincida con el nuevo nombre del secreto. Esto se puede hacer utilizando la interfaz de línea de comandos (CLI) de Istio:
    istioctl manifest generate --set values.global.rootCertID=<nuevo_nombre_del_secreto> | kubectl apply -f -

    Esto regenerará el manifiesto de Istio con el parámetro rootCertID actualizado y aplicará la nueva configuración a su clúster.

    1. Si su secreto que contiene los certificados se encuentra en un espacio de nombres diferente, deberá actualizar la configuración relacionada con Istio para que haga referencia al secreto en ese espacio de nombres. Específicamente, deberá actualizar el parámetro values.global.controlPlaneSecurityNamespace en el espacio de nombres istio-system para que coincida con el espacio de nombres donde se encuentra su secreto. Esto se puede hacer utilizando la CLI de Istio:
    istioctl manifest generate --set values.global.controlPlaneSecurityNamespace=<su_espacio_de_nombres_secreto> | kubectl apply -f -

    Esto regenerará el manifiesto de Istio con el parámetro controlPlaneSecurityNamespace actualizado y aplicará la nueva configuración a su clúster.

Comments are closed.