tech:istio:start

Diferències

Ací es mostren les diferències entre la revisió seleccionada i la versió actual de la pàgina.

Enllaç a la visualització de la comparació

Ambdós costats versió prèvia Revisió prèvia
tech:istio:start [07/04/2020 06:02] – [pilot] matetech:istio:start [07/04/2020 06:18] (actual) – [istio-auth] mate
Línia 37: Línia 37:
  
 === istio-auth === istio-auth
 +  * securiza la comunicación entre servicios y usuario final via TLS
 +  * se identifica quien a invocado a quien, pudiendo establecer políticas de acceso en base a integridad en lugar de conrtol de red
 +  * genera, distribuye, rota y revoca claves y certificados
 +
 +{{ :tech:istio:pasted:20200407-060929.png?700 }}
 +
 +  * características:
 +    * identidad: usando las **[[https://kubernetes.io/docs/tasks/configure-pod-container/configure-service-account/|service accounts]]** de Kubernetes, identifica quien ejecuta un servicio. El identificador de una **service account** es **spiffe:%%///%%<namespace>/<service_acount>/%%****%%**, correspondiento en **namespace** al proyecto/namespace en el que se ejecutan los servicios. Nos da potencia por su felixibilidad para identetificar máquinas, usuarios, procesamientos, etc
 +    * comunicación segura, securizando los proxies Envoy:
 +      * los servicios se comunican solo a través de conexiones locales TCP
 +      * los proxies se comunican usando TLS (ambos)
 +      * durante el handshake, se comprueba que la **service account** identificada en el certificado del servidor tiene permisos
 +    * gestión de claves: lleva toda la gestión de claves y certificados
  
 == docs == docs
   * [[https://www.paradigmadigital.com/dev/jugando-con-istio-the-next-big-thing-en-microservicios-1-2/]]   * [[https://www.paradigmadigital.com/dev/jugando-con-istio-the-next-big-thing-en-microservicios-1-2/]]
  
  • tech/istio/start.1586264554.txt.gz
  • Darrera modificació: 07/04/2020 06:02
  • per mate