こんにちは、たけるです。 今日はistioでk8s外においてあるRedisのクライアント証明書認証 をやってあげようという話をします。 アプリケーションはTCPでサイドカーのistio-proxyに対してサイドカーのistio-proxyが外部のRedisに対して暗号化しつつトラフィックを送るメリット的なのは以下? アプリケーションで証明書を管理する必要がないアプリケーション側のライブラリがMutual TLSによるクライアント認証に対応していなくても問題なく使えるこんな感じのServiceEntryとDestinationRuleを宣言してあげます apiVersion: networking.istio.io/v1beta1 kind: ServiceEntry metadata: name: external-redis spec: hosts: - hoge.redislabs.com location: MESH_EXTERNAL resolution: DNS ports: - name: tcp-redis protocol: TCP number: 16936 --- apiVersion: networking.istio.io/v1alpha3 kind: DestinationRule metadata: name: external-redis spec: host: hoge.
