Установка Istio + Helm + Tiller - Как обезопасить все?

Question

У меня K8 установлены в кластере из 3 узлов.Я хочу установить Istio безопасным способом.У меня такой вопрос: при установке Istio через Helm (как рекомендуется в документах ) мне нужно безопасно устанавливать Helm (RABC и TSL / SSL), как рекомендуется в Документах ?

Причиной этого вопроса является противоречивая информация между двумя документами.Документы Istio говорят только сделать простой helm init --service-account tiller.Однако в документации Helm рекомендуется пройти через всю безопасность Helm.Другими словами: покрывает ли Istio небезопасную установку Helm?

Answer 1

Согласно Документации о развертывании Istio через диаграмму Helm, этапы реализации не будут охватывать какие-либо настройки безопасности для вашей службы Tiller по умолчанию.Поэтому, если вы рассматриваете возможность использования кластера, не имеющего отношения к среде разработки, лучшим решением будет применение Конфигурация безопасности к диаграмме Хелма.

В общем, реализация безопасности Istio охватывает три концепции: Политики аутентификации , Взаимная аутентификация TLS и Политика авторизации .

По сути, установка сетки Istio через диаграмму Helm по умолчанию включает взаимную аутентификацию TLS с существующимипараметр global.mtls.enabled в шаблоне руля.