DNS 憑證管理

預設情況下，Citadel 管理 Istio 控制平面的 DNS 憑證。Citadel 是一個大型元件，它維護自己的私密簽署金鑰，並充當憑證授權機構 (CA)。

在 Istio 1.4 中新增了一項功能，可以安全地佈建和管理由 Kubernetes CA 簽署的 DNS 憑證，這具有以下優點。

• 更輕量的 DNS 憑證管理，不依賴 Citadel。

• 與 Citadel 不同，此功能不維護私密簽署金鑰，從而增強安全性。

• 簡化了 TLS 用戶端的根憑證分發。用戶端不再需要等待 Citadel 產生和分發其 CA 憑證。

下圖顯示了在 Istio 中佈建和管理 DNS 憑證的架構。Chiron 是在 Istio 中佈建和管理 DNS 憑證的元件。

要試用這項新功能，請參閱DNS 憑證管理任務。