在我的网格中,我正在通过TLS(特别是Strimzi's Kafka)连接到TLS的第三方服务,该服务位于同一k8群集中,但没有Istio Sidecar。通常,我会安装Java服务所需的证书颁发机构,但是由于Istio终止,我不确定该怎么做。如果我将公共证书放在秘密中,我可以让秘密发现服务(SDS)帮助在Envoy代理上进行管理吗(类似Secure Ingress SDS,但在网状网中)?
我已经阅读了本文档,但它似乎与替换生成的证书有关,我不想这样做(我喜欢集群中的自动维护)。 https://istio.io/docs/tasks/security/plugin-ca-cert/
我还按照this answer中的说明,将第三方CA添加为/ etc的挂载,但是Envoy并没有将它们用作证书(通过日志和istioctl工具进行了检查)。
您如何向Istio Citadel添加其他证书颁发机构,以便将其发送到安全捆绑包中的Envoy代理?