Это вопрос «в принципе», так как я пытаюсь понять, как mTLS реализован в Istio и как он работает со службами, которые в противном случае хорошо поддерживают mTLS (например, gRPC).
Учтите, что у меня есть кластер с включенным "mtls везде". Это эффективно туннелирует все TCP-соединения по каналу mTLS между прокси-серверами-посланниками, а соединение между посланником и службой выполняется в виде простого текста.
Однако существуют службы, которым требуется как минимум TLS-соединение для посредника-посредника; в идеале mTLS соединения. Одним из них является gRPC, который требует TLS для использования своей базовой аутентификации JWT:
https://grpc.io/docs/guides/auth.html#authenticate-with-google
Итак, возникает вопрос:
- Можно ли использовать прокси-сервер-посланник "snoop" для соединений, которые в противном случае шифруются mTLS в самой службе источника? В идеале использовать сертификаты и ключи, предоставляемые Citadel
- Является ли решение в противном случае создать новый метод аутентификации, который игнорирует тот факт, что он находится в незашифрованном виде, как это будет mTLS от Istio?
<3 ура </p>