要启用双向TLS,服务网格中的每个服务都必须具有不同的身份和客户端证书。
GKE上的Istio是否为相互TLS的每个服务创建不同的服务帐户?
答案 0 :(得分:1)
答案是否定的。可以查看更多信息here。
默认情况下,GKE上的Istio不会为启用了双向TLS的每个服务创建不同/多个服务帐户。当Citadel实例注意到在名称空间中创建了ServiceAccount时,它必须决定是否应为该ServiceAccount生成istio.io/key-and-cert机密。您只需要检查是否已为服务帐户分配了密码即可。
在How Citadel determines whether to create Service Account secrets部分下,有一张表将为您显示决策过程。
此外,在Mutual TLS authentication部分中,您将看到客户端使用mTLS调用服务器的分步过程。