В моем меше я подключаюсь к сторонним сервисам через TLS (в частности, Кафка Стримзи , который находится в том же кластере k8, но без коляски Istio). Обычно я устанавливаю центр сертификации, необходимый для службы Java, но с прекращением работы Istio я не уверен, как это сделать. Если я помещу общедоступный сертификат в секрет, могу ли я воспользоваться службой Secret Discovery Service (SDS) для управления им через прокси-сервер Envoy (что-то вроде Secure Ingress SDS , но внутри меша)?
Я прочитал эту документацию, но, похоже, речь идет о замене сгенерированных сертификатов, чего я не хочу делать (мне нравится автоматическое обслуживание в кластере). https://istio.io/docs/tasks/security/plugin-ca-cert/
Я также добавил сторонние СА в качестве монтирований к / etc, как указано в в этом ответе , но они не были выбраны Посланником в качестве сертификатов (проверяются с помощью журналов иинструмент istioctl).
Как добавить дополнительные центры сертификации в Istio Citadel, чтобы они доставлялись прокси-провайдерам Envoy в комплекте безопасности?