istio
/
istio.io
mirror of https://github.com/istio/istio.io.git
1
0
Fork 0
Code Issues Packages Projects Releases Wiki Activity
istio.io/content/zh/blog/2020/istio-agent/index.md

18 lines
1017 B
Markdown
Raw Permalink Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

---
title: 移除跨 Pod Unix Domain Socket
description: 一种更安全的秘密管理方式。
publishdate: 2020-02-20
attribution: Lei Tang (Google)
keywords: [security, secret discovery service, unix domain socket]
target_release: 1.5
---
在 Istio 1.5 之前执行秘密发现服务SDS期间SDS 客户端和 SDS 服务器通过跨 Pod Unix Domain SocketUDS进行通信该法需要 Kubernetes Pod 安全策略提供保护。
在 Istio 1.5 中Pilot Agent、Envoy 和 Citadel Agent 将运行在同一个容器中(体系结构如下图所示)。为了防止攻击者窃听 EnvoySDS 客户端)和 Citadel AgentSDS 服务器)之间的跨 Pod UDSIstio 1.5 将 Pilot Agent 和 Citadel Agent 合并为一个 Istio Agent并将 Envoy 和 Citadel Agent 之间的 UDS 变为 Istio Agent 专用的私有的。Istio Agent 容器被部署为应用服务容器的 Sidecar。
{{< image width="70%"
link="./istio_agent.svg"
caption="Istio Agent 的体系结构"
>}}
Reference in New Issue View Git Blame Copy Permalink