概述SDS支持以动态方式向网关加载与轮换证书, 实现多域名的统一管理。结合SNI匹配与证书挂载策略, 可在不重启网关的情况下完成证书更新与扩展。关键实践与参数Ingress证书: 使用 `credentialName` 引用多个Secret并按主机匹配Egress证书: 在出口DR配置 `tls` 与 `sni` 并挂载CA证书轮换策略: 通过Secret更新触发SDS重新加载, 无中断审计: 在网关观察证书有效期与访问日志示例/配置/实现apiVersion: networking.istio.io/v1beta1
kind: Gateway
metadata:
name: ingress-gw
spec:
selector: { istio: ingressgateway }
servers:
- port: { number: 443, name: https, protocol: HTTPS }
hosts: ["example.com", "api.example.com"]
tls:
mode: SIMPLE
credentialName: cert-example-com
- port: { number: 443, name: https, protocol: HTTPS }
hosts: ["shop.example.com"]
tls:
mode: SIMPLE
credentialName: cert-shop-example-com
apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
name: external-dr
spec:
host: api.external.com
trafficPolicy:
tls:
mode: SIMPLE
sni: api.external.com
caCertificates: /etc/istio/egress-certs/ca.crt
验证SNI匹配: 访问不同域名返回正确证书链与主机名轮换无中断: 更新Secret并验证现有连接与新连接均正常出站TLS: 访问外部服务在出口处完成TLS握手并SNI匹配审计: 记录证书到期提醒与更换事件注意事项Secret权限与生命周期需严格管理多域配置需避免通配导致误匹配出口证书与CA需按外部服务策略配置与CDN或外部代理的证书策略保持一致
发表评论 取消回复