移除跨 Pod 的 Unix Domain Socket

更安全地管理機密的方法。

2020 年 2 月 20 日 | 作者：Lei Tang - Google

在 1.5 之前的 Istio 版本中，在秘密發現服務（SDS）執行期間，SDS 用戶端和 SDS 伺服器透過跨 Pod 的 Unix Domain Socket（UDS）進行通訊，這需要 Kubernetes Pod 安全策略來保護。

在 Istio 1.5 中，Pilot Agent、Envoy 和 Citadel Agent 將在同一個容器中執行（架構如下圖所示）。為了防止攻擊者竊聽 Envoy (SDS 用戶端) 和 Citadel Agent (SDS 伺服器) 之間的跨 Pod UDS，Istio 1.5 將 Pilot Agent 和 Citadel Agent 合併為單個 Istio Agent，並使 Envoy 和 Citadel Agent 之間的 UDS 僅限於 Istio Agent 容器內部。Istio Agent 容器會以應用程式服務容器的 Sidecar 形式部署。

The architecture of Istio Agent — Istio Agent 的架構