我可以在GKE/Istio网关上配置多个证书吗？

是的，你可以在GKE（Google Kubernetes Engine）和Istio网关上配置多个证书。

GKE是Google Cloud提供的托管Kubernetes服务，它允许您轻松地在Google云上运行和管理容器化应用程序。Istio是一个开源的服务网格平台，用于连接、保护和监控微服务。

在GKE上配置多个证书可以通过Istio网关来实现。Istio提供了一个名为Gateway的资源，用于配置入口流量的路由规则和TLS（传输层安全）设置。您可以在Gateway配置中指定多个TLS证书，以支持多个域名或子域名。

配置多个证书的步骤如下：

创建一个Secret对象，用于存储每个证书的TLS密钥和证书文件。您可以使用kubectl create secret tls命令来创建。
创建一个Gateway对象，并在其中指定多个TLS配置。您可以使用kubectl apply -f命令来创建或更新Gateway对象。
在VirtualService对象中定义您的服务和路由规则。您可以使用kubectl apply -f命令来创建或更新VirtualService对象。

配置完成后，Istio网关将根据您的路由规则和TLS配置来处理入口流量，并使用相应的证书进行加密和解密。

以下是一些腾讯云相关产品和产品介绍链接地址，可供您参考：

腾讯云容器服务：https://cloud.tencent.com/product/tke
腾讯云SSL证书：https://cloud.tencent.com/product/ssl
腾讯云负载均衡：https://cloud.tencent.com/product/clb

请注意，以上答案仅供参考，具体配置步骤和产品推荐应根据实际需求和情况进行评估和选择。

相关·内容

Istio 1.15.0 正式发布，支持 arm64 架构

根据公告，Istio 1.15.0 版本的重要更新是支持 arm64，用户可以在 Raspberry Pi 或 Tau T2A VM 上运行。...2019 年时，就有开发者抱怨无法在 arm64 上使用 Istio。...直到 2022 年 7 月 GKE 才正式提供 arm64 架构的虚拟机，那时才可以方便的编译和测试 arm64 架构的 Istio。...Istio 扩展了 Kubernetes，以利用 Envoy 服务代理建立一个可配置的、应用感知的网络，可以管理云原生和传统工作负载，支持从单集群到复杂的多网络部署。.../s/fvIrEqXDW5ed5pKDSllPlg 点击底部阅读原文访问 InfoQ 官网，获取更多精彩内容！

3161 0

Isito 入门（九）：安全认证

PeerAuthentication 可以配置为整个集群或只在命名空间中起作用，但是只能有一个网格范围的 Peer 认证策略，每个命名空间也只能有一个命名空间范围的 Peer 认证策略。...当同一网格或命名空间配置多个网格范围或命名空间范围的 Peer 认证策略时，Istio 会忽略较新的策略。当多个特定于工作负载的 Peer 认证策略匹配时，Istio 将选择最旧的策略。...通过正确配置 jwtRules，Istio 可以对请求中的 JWT 进行验证，确保客户端访问服务网格中的服务时具有适当的授权。...每个规则可以包括以下属性： from: 包含一个或多个源规范，用于定义允许访问的来源。...但是依然不是我们想要的，因为在 istio 中配置不同应用访问权限和检验 token 比较繁琐，而且业务系统大多数情况下需要给用户单独配置各种 API 的访问权限。

3232 0

Kubernetes 中的渐进式交付：蓝绿部署和金丝雀部署

我将使用一个 Jenkins X 示例项目对它们之中的三个进行讨论：Shipper、Istio 以及 Flagger。...它支持从一个集群到多个集群的部署，允许多区域部署。 Shipper 通过一个 shipperctl 命令行进行安装。它增加不同集群的配置文件来进行管理。请注意这个与 GKE 上下文相关的问题。...但是我们可以有两个应用对象： myapp-staging 部署到 "staging" 区域 myapp 部署到其它区域在 GKE 中，你可以轻松地配置多集群 ingress ，该入口将公开在多个集群中运行的服务...在 GKE 中，只需在集群配置中选中复选框即可启用 Istio 。在其它集群中，可以通过 Helm 手动安装。...在不同集群的金丝雀部署或蓝绿部署是，但是有点极客，使用一个新应用并将它链接到新区域也许可以使用 Istio 多集群?

1.5K3 0

istio 1.7发布

(#11130)•新增了对用于客户端证书和CA证书的SDS支持，该证书用于使用DestinationRule从Egress Gateway发起的TLS/mTLS(#14039) 安全 •改进的信任域验证也可以验证...(#26224)•改进的Istio网关，允许在服务器的TLS模式为ISTIO_MUTUAL时使用基于源主体的授权。(#25818)•改进的虚拟机安全性。...(#25154) 安装 •向版本中添加了用于在VM上运行Istio sidecar的RPM软件包。...•添加了一个配置文件以保存istioctl默认标志。可以使用环境变量ISTIOCONFIG更改其默认位置($HOME/.istioctl/config.yaml)。...但是，如果要在网关上明确声明端口，则可能需要修改installation。

1.2K1 0

听GPT 讲Istio源代码--istioctl

在Istio中，SecretConfigDump是一个结构体，用于存储由Istio配置生成的密钥和证书信息的转储。...GetRootCAFromSecretConfigDump函数的作用是从密钥和证书配置转储中获取根证书的信息。在Istio中，根证书是在TLS通信中用于验证证书链的一部分。...这个函数从密钥和证书配置转储中提取根证书的信息，包括证书的内容、有效期等。这些功能函数在Istio的配置管理中非常有用。...GetSecretConfigDump函数可以获取密钥和证书配置转储的信息，可以用于调试和监测密钥和证书相关的配置。...这些函数在Istio的命令行工具（istioctl）中使用，通过读取和解析密钥和证书配置转储文件，提供了对密钥和证书信息的访问和操作能力。

2255 0

K8S 生态周报| Google 选择 Cilium 作为 GKE 下一代数据面

我在之前的《K8S 生态周报| runc v1.0-rc92 发布》[5] 一文中，介绍过 containerd v1.4.0-rc.0 相关的内容，有兴趣的朋友可以结合着看。...；更多关于此版本中的变更，请查看其 ReleaseNote[7] Istio v1.7 正式发布 Istio v1.7 主要集中在易用性，安全性和可靠性上，并针对非 Kubernetes 环境做了一些优化...在易用性方面，新版本中提供了 Istio 分析工具[8] 可通过 istioctl analyze --all-namespaces 使用；在可靠性方面，你可以将应用程序的启动延迟到 sidecar...而言更加轻量和易于配置。...之前听说国内有几个公司在搞 k3s on ARM 之类的，不过也没听到后续的结果，可能还是会面临一些问题吧。生产使用我个人还是建议选择 Kubernetes 或者可选择 OpenShift 之类的。

1.4K2 0

Kubernetes中使用mTLS保护微服务通信

这可以是一个使用 Minikube 等工具设置的本地集群，也可以是一个像 GKE、EKS 或 AKS 这样的云托管 Kubernetes 环境。 Kubectl。...虽然严格意义上并非必需，但使用 Helm 可以简化像 Istio 这样的复杂应用程序的安装。如果您使用 Helm，请确保它已安装并配置好。有效的域名。...第 4 步：生成证书自动化证书生成过程是 Istio Citadel 组件的关键功能，特别是在通过 mTLS 建立安全连接的上下文中。...通过自动化证书管理，可以减轻潜在的人为错误，并简化整个过程。 Citadel 在消除手动干预方面的作用不仅提高了运营效率，还有助于安全基础设施的可靠性。此外，自动化方法可以确保整个集群的一致性。...在测试 mTLS 之后，清理资源以防止不必要的资源消耗是必不可少的。删除服务、部署、Istio 配置并禁用 Istio 的 sidecar 注入。

1321 0

idou老师教你学istio：如何为服务提供安全防护能力

点击上方容器魔方关注我之前，已为大家介绍过 Istio 第一主打功能---连接服务。凡是产生连接关系，就必定带来安全问题，人类社会如此，服务网格世界，亦是如此。...在没有此类身份的平台上，Istio 可以使用可以对服务实例进行分组的其他身份，例如服务名称。...不同平台上的 Istio 服务标识： Kubernetes: Kubernetes 服务帐户 GKE/GCE: 可以使用 GCP 服务帐户 AWS: AWS IAM 用户/角色帐户 On-premises...Istio 使用 X.509 证书来携带 SPIFFE 格式的身份信息。PKI 还可以大规模自动化地进行密钥和证书轮换。 Istio 支持在 Kubernetes pod 和本地计算机上运行的服务。...在 RbacConfig 中，运算符可以指定 mode 值，它可以是： OFF：禁用 Istio 授权。 ON：为网格中的所有服务启用了 Istio 授权。

1.1K5 0

Service Mesh: Istio vs Linkerd

其架构：[源自：官网] 基本组件： Envoy是由Lyft用C ++编写的高性能代理，它可以中介服务网格中所有服务的所有入站和出站流量。...它将控制流量行为的高级路由规则转换为特定于特使的配置。 Citadel通过内置的身份和凭据管理实现了强大的服务到服务和最终用户身份验证。它可以在网格中启用授权和零信任安全性。...它具有用于每个路由指标，重试和超时的服务配置文件信息。身份–它提供了一个证书颁发机构，该证书颁发机构接受来自代理的CSR并返回以正确身份签名的证书。...除了TCP之外，还支持mTLS，可以使用外部CA /密钥，但尚不支持授权规则性能在最近的1.6版本中，Istio的资源占用越来越多，延迟得到了改善 Linkerd的设计非常轻巧-根据第三方基准，它比...如果您将Google的GKE与Istio结合使用，或者将Red Hat OpenShift与Istio作为服务网格使用，则可能会获得各个供应商的支持。

7372 0

Cilium服务网格的下一代双向认证

双向认证双向认证是指两方，即发送方和接收方，相互认证对方的身份，以确保他们都是在与他们期望沟通的一方进行对话，以前称为相互实体认证，因为两个或多个实体在传输任何数据或信息之前会验证对方的合法性。...Cilium服务网格双向认证 Cilium内置的服务认证服务和网络策略功能，是整合SPIFFE、Vault、SMI、cert-manager或Istio等高级身份和证书管理的理想平台，其使现有的身份和证书管理层可以用来管理服务身份并生成证书...让我们从配置的角度来看看如何实现的。我们将以SPIFFE与Cilium的为例。其允许在创建网络策略时使用SPIFFE身份来选择工作负载。...下面是在GKE上运行的Cilium与nighthawk基于不同型号的HTTP基准测试中的测量结果。...上图显示了没有任何HTTP处理的基线、配置了HTTP filter的Cilium和默认配置（协议嗅探）的Istio的P95延迟测量值，Istio会在检测到时自动执行HTTP解析。

6472 0

istio的安全(概念)

高层架构 istio的安全涉及多个组件：用于密钥和证书管理的证书颁发机构（CA）分发给代理的API server配置：认证策略授权策略安全命名信息 Sidecar和外围代理作为策略执行点(pep...每个Envoy代理旁都会运行一个istio agent，istio agent与istiod配合，可以在扩展时实现证书的自动滚动。下面展示了证书配置流程： ![](....与其他istio配置类似，可以在.yaml文件中指定配置策略，并使用kubectl部署。下面的认证策略指定了带app:reviews标签的负载的传输认证必须使用mutual TLS。...在相同的网格或命名空间中配置多网格范围或多命名空间范围的对等认证策略时，istio或忽略新添加的策略。当匹配到多个指定负载的对等认证策略时，istio会选择最老的一条。...因此，可以在一个网格或命名空间中存在多个网格范围或命名空间范围的策略。但是，最好避免存在多个网格范围或命名空间范围的请求认证策略。

1.4K3 0

外部访问 kubernetes，知道这 3 种模式就够了

我对这些技术性细节并没有特别深入的了解。如果你对此有兴趣，官方文档可以提供很好的参考。...在 GKE 上，这将启动一个网络LoadBalancer，该网络LoadBalancer将为你提供一个 IP 地址，用来将所有流量转发到你的 service 上。 ?...相反，它位于多个 service 之前，充当集群中的“智能路由器”或入口点。您可以使用 Ingress 做很多不同的事情。现在市面上有许多不同类型的 Ingress 控制器，他们具有不同的功能。...还有用于 Ingress 控制器的插件，如 cert-manager，它可以为你的 service 自动提供 SSL 证书。...如果你希望在相同的 IP 地址下暴露多个 service，并且这些 service 都使用相同的 L7 协议（通常是 HTTP）。毫无疑问，Ingress 是最有用的。

1K1 0

Istio 负载均衡的区域感知

简单说来，就是在分区部署的较大规模的集群，或者公有云上，Istio 负载均衡可以根据节点的区域标签，对调用目标做出就近选择。...要缩减这种损耗，通常都需要实现更多的逻辑，Istio 的区域感知特性在某种程度上提供了一种解决办法。...可以看到，请求被随机分配到不同的版本，也就是说，此时的调用是无视分区的。...istio-system 中有个叫做 istio 的 configmap，其中包含了 Istio 的一些核心配置，里面的 LocalityLoadBalancerSetting，包含了对区域感知负载均衡的一些行为配置...会发现其中的请求呈现了符合配置要求的分配，并且没有发送到 us-central1-b 区。事实上本次测试，并没有发现比率生效，仅达到有或无的区别。

1.8K4 0

认识Service Mesh(1): Deploy Istio on Kubernetes with GKE

由于Kubernetes和Istio都是Google（大佬出手，天下我有）出品，所以在Google Cloud上跑demo应该会更配。...Google Cloud官方文档上是有Istio的例子： https://cloud.google.com/kubernetes-engine/docs/tutorials/istio-on-gke...在自己的终端上，推荐使用gcloud这个命令行工具进行一切与Google Cloud的交互操作，包括使用GKE创建kubernetes集群： gcloud container clusters create...就可以完成Istio部署： kubectl apply -f install/kubernetes/istio-auth.yaml 通过kubectl，即可查看Istio基础环境，包括service、deployment...Tue, 06 Mar 2018 16:30:21 GMT x-envoy-upstream-service-time: 113 Proxy-Connection: keep-alive 当然也可以在浏览器器访问这个

7143 0

对比Kubernetes的Nodeport、Loadbalancer和Ingress，什么时候该用哪种

在 GKE 上，这将启动一个网络负载平衡器，它将为您提供一个将所有流量转发到您的服务的IP地址。 ? 什么时候用？如果你想直接暴露一个服务，这是默认的方法(GKE上)。...相反，它位于多个服务之前，充当集群中的“智能路由器”或入口点。您可以使用 Ingress 做很多不同的事情，并且有许多类型的 Ingress 控制器，具有不同的功能。...在 GKE 上的七层 HTTP 负载均衡器的 Ingress 对象 YAML 定义类似这样： apiVersion: extensions/v1beta1 kind: Ingress metadata...还有用于 Ingress 控制器的插件，如 cert-manager，可以为您的服务自动提供 SSL 证书。...如果您希望在相同的 IP 地址下暴露多个服务，并且这些服务都使用相同的L7协议（通常是HTTP），则 Ingress 是最有用的。

5.7K3 1

使用服务网格增强安全性：Christian Posta探索Istio的功能

Jasmine Jaksic在InfoQ之前的一篇文章中很好地介绍了Istio和服务网格，因此我想借此机会介绍Istio的一个特定领域，它将为云服务和应用程序的开发人员和运营商带来巨大的价值:安全性 Istio...为我们的服务配置TLS/HTTPS应该是直接的，对吧?在过去的项目中，我们甚至可能已经这样做了。然而，根据我的经验，要把它做好并不像听起来那么容易。我们有正确的证书吗?客户是否接受CA的签名?...我是否正确地将其导入到我的信任库/密钥库中?在我的TLS/HTTPS配置中启用“——non - secure”标志不是很容易吗? 错误配置这种类型的东西是非常危险的。Istio提供了一些帮助。...您还可以根据需要插入自己的CA提供者根证书。 ? 使用Istio，网格中的服务之间的通信在默认情况下是安全的和加密的。您不再需要摆弄证书和CA证书链来让TLS工作。...我们还将tls模式配置为ISTIO_MUTUAL，这意味着我们期望Istio管理证书和密钥，并将它们挂载到服务中(在Kubernetes中使用Kubernetes的秘密)，以便服务代理可以使用它们来建立

1.4K2 0

Istio的流量管理(实操三)

控制访问外部服务使用ServiceEntry配置可以从istio集群内部访问公共服务。...在更新istio-sidecar-injector配置后，相应的变动会影响到所有的应用pod。...第二种方法可以在调用集群内部或集群外部的服务时充分使用istio服务网格特性，本章的例子中，在访问外部服务时设置了超时时间。第三种方式会绕过istio sidecar代理，直接访问外部服务。...443端口的流量，但可以在sleep的istio-proxy sidecar的日志中可以看到完整的流量信息，如下： [2020-08-25T14:55:33.114Z] "GET /politics HTTP...在istio网关上配置到任意通配符的域会带来挑战，上一节中直接将流量传递给了 www.wikipedia.org(直接配置到了网关上)。

4.6K2 0

Solo 推出完全集成的云原生应用程序网络平台

据官方数据，Gloo 平台框架可以将企业运营成本降低 30-40%。据悉，Gloo 平台的功能包括：跨平台所有元素的统一控制平面和 API 访问。...跨平台所有元素的 Kubernetes 原生集成，适用于任何 Kubernetes 发行版（AWS EKS、Azure AKS、GCP GKE、Red Hat OpenShift、VMware Tanzu...它可以部署为集成的 Gloo 平台或独立的 API 网关。Gloo Gateway 可以部署在任何云环境、任何 Kubernetes 环境或虚拟机内。...Solo-io-Unveils-Industry-s-First-Fully-Integrated-Cloud-Native-Application-Networking-Platform.html 点击底部阅读原文访问 InfoQ 官网，...今日好文推荐 Vue 3是最佳选择吗?

6983 0

Service Mesh安全：当入侵者突破边界，如何抵御攻击？| CNBPS 2020演讲实录

大家好，我是来自灵雀云的邢海涛，今天演讲的主题是Service Mesh安全，主要从四个方面来跟大家做一下分享。...02 全方位Istio安全这张图来自Istio官网。...控制平面主要实现如下功能： Citadel组件作为证书颁发机构（CA），用于密钥和证书管理接受来自API server下发的配置信息：认证策略、授权策略、安全的命名信息 Pilot组件负责下发配置信息给...支持多种公有云平台，在没有服务身份的平台上，Istio可以使用服务名称作为Workload实例的身份。 Istio使用X.509证书为每个Workload设置强身份。...Linkerd官网展示的4个案例，都是始于Istio，最终选择linkerd实施service mesh的。

6861 0

我该如何选择 - kubernetes

在GKE中，它会启动一个Network Load Balancer，分配一个单独的IP地址，将所有流量转发到服务中。 ? 使用场景如果你想直接发布服务，这是默认方式。...相反，它在多个服务前面充当“智能路由”的角色，或者是集群的入口。使用Ingress可以做很多事情，不同类型的Ingress控制器有不同的功能。...默认的GKE ingress控制器会启动一个 HTTP(S) Load Balancer，可以通过基于路径或者是基于子域名的方式路由到后端服务。...Ingress控制器的类型很多，如 Google Cloud Load Balancer，Nginx，Contour，Istio等等。...还有一些Ingress控制器插件，比如证书管理器，可以自动为服务提供SSL认证。

3.7K4 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云