• 关于
    • 服务网格
    • 解决方案
    • 案例学习
    • 生态系统
    • 部署
    • FAQ
  • 博客
  • 新闻
  • 加入我们
  • 文档
试用 Istio
  • 概念
    • Istio 是什么?
    • 流量管理
    • 扩展性
    • 安全
    • 可观察性
  • 安装
    • 入门
    • 平台安装
      • 阿里云
      • Azure
      • Docker Desktop
      • kind
      • 使用 Google Kubernetes Engine 快速开始
      • Minikube
      • IBM Cloud 快速开始
      • Kops
      • Kubernetes Gardener 快速开始
      • KubeSphere Container Platform
      • MicroK8s
      • OpenShift
      • Oracle Cloud 基础架构
      • 腾讯云
    • 安装
      • 使用 Istioctl 安装
      • 使用 Helm 安装
      • 多集群安装
        • 准备工作
        • 多主架构的安装
        • 主-从架构的安装
        • 跨网络多主架构的安装
        • 跨网络主-从架构的安装
        • 验证安装结果
      • 虚拟机安装
      • 使用 Istio Operator 安装 *
    • Upgrade
      • 金丝雀升级
      • 热升级
      • 使用 istioctl 命令升级 Istio [实验中]
      • 多版本的 Gateway 管理 *
      • 使用 Helm 升级
    • 更多指南
      • 安装配置文件
      • 安装 Sidecar
      • 安装 Istio CNI 插件
      • 使用外部控制平面安装 Istio
  • 任务
    • 流量管理
      • 配置请求路由
      • 故障注入
      • 流量转移
      • TCP 流量转移
      • 设置请求超时
      • 熔断
      • 镜像
      • 地域负载均衡
        • 开始之前
        • 地域故障转移
        • 地域权重分布
        • 清理
      • Ingress
        • Ingress Gateway
        • 安全网关(文件挂载)
        • Secure Gateways
        • 使用 SDS 为 Gateway 提供 HTTPS 加密支持
        • 无 TLS 终止的 Ingress Gateway
        • Kubernetes Ingress
        • Kubernetes Gateway API
        • Kubernetes Service APIs
      • Egress
        • 访问外部服务
        • Egress TLS Origination
        • Egress Gateway
        • Egress 网关 TLS 连接 发起的过程 (SDS)
        • Egress 网关的 TLS 发起过程
        • Wildcard 主机的 egress
        • TLS Egress 监控和策略配置
        • Kubernetes Egress 流量服务
        • 使用外部 HTTPS 代理
    • 安全
      • 认证
        • 基于 JWT 声明的路由 *
        • 认证策略
        • 双向 TLS 迁移
      • 证书管理
        • 插入 CA 证书
        • Istio 的 DNS 证书管理
        • 使用 Kubernetes CSR 自定义 CA 集成 *
      • 授权
        • HTTP 流量授权
        • TCP 流量
        • 基于 JWT 授权
        • 明确拒绝
        • 入口网关
        • 信任域迁移
      • TLS Configuration
        • Istio 工作负载的最低 TLS 版本配置
    • 策略执行
      • 可观察性
        • 指标度量
          • 采集指标
          • 收集 TCP 服务指标
          • 自定义 Istio 指标
          • 通过 Prometheus 查询度量指标
          • 使用 Grafana 可视化指标
        • 日志
          • 获取 Envoy 访问日志
        • 分布式追踪
          • 概述
          • Zipkin
          • Jaeger
          • 使用 MeshConfig 和 Pod 注释配置跟踪 *
          • LightStep
        • 网络可视化
        • 远程访问遥测插件
    • 示例
      • Bookinfo 应用
      • 在虚拟机上部署 Bookinfo 应用程序
      • 使用 Kubernetes 和 Istio 学习微服务
        • 前提条件
        • 设置 Kubernetes 集群
        • 设置本地计算机
        • 本地运行微服务
        • 在 Docker 中运行 ratings 服务
        • 使用 Kubernetes 运行 Bookinfo
        • 生产测试
        • 添加一个新版本的 reviews
        • 在 productpage 启用 Istio
        • 在所有微服务中启用 Istio
        • 配置 Istio Ingress Gateway
        • 监控 Istio
    • 运维
      • 部署
        • 架构
        • 部署模型
        • 性能和可扩展性
        • 应用程序要求
      • 配置
        • 网格配置
          • 动态准入 Webhook 概述
          • 等待应用的配置资源状态就绪
          • Sidecar 自动注入
          • 创建服务账号 Secret
          • Istio 服务的健康检查
        • 流量管理
          • 协议选择
          • 地域负载均衡
          • TLS 配置
          • DNS 代理
          • 配置 Gateway 网络拓扑 *
          • 多集群流量管理
        • 安全
          • 加固 Docker 容器镜像
        • 可观测性
          • Envoy 的统计信息
          • 使用 Prometheus 监控 Istio 多集群
      • 最佳实践
        • Deployment 最佳实践
        • 流量管理最佳实践
        • 安全最佳实践
        • 可观察性最佳实践
      • 常见问题
        • 流量管理问题
        • 安全问题
        • 可观测性问题
        • Sidecar 自动注入问题
        • 配置验证的问题
      • 诊断工具
        • 使用 Istioctl 命令行工具
        • 调试 Envoy 和 Istiod
        • 通过 Istioctl Describe 理解您的网格
        • 使用 Istioctl Analyze 诊断配置
        • 组件自检
        • 组件日志记录
        • 虚拟机调试
        • 多集群下的故障排除
      • 集成
        • cert-manager
        • Grafana
        • Jaeger
        • Kiali
        • Prometheus
        • Zipkin
    • 发布
      • 功能状态
      • 报告错误
      • 安全漏洞
      • 版本支持
      • 贡献文档
        • 添加新文档
        • 删除已停用的文档
        • 本地构建和运行本网站
        • 文章头部
        • 文档审阅流程
        • 添加代码块
        • 使用 Shortcode
        • 格式标准
        • 风格指南
        • 术语标准
        • 创建图表指南
        • 使用 GitHub 参与社区活动
      • 网站内容更改
    • 参考
      • 配置
        • Telemetry
        • 安装选项(Helm)
        • IstioOperator Options
        • Global Mesh Options
        • Analysis Messages
        • 状态字段配置
        • 流量管理
          • Destination Rule
          • Envoy Filter
          • Gateway
          • Workload Entry
          • ProxyConfig
          • Service Entry
          • Sidecar
          • Virtual Service
          • Workload Group
        • Security
          • JWTRule
          • PeerAuthentication
          • RequestAuthentication
          • Authorization Policy
          • 授权策略
          • RBAC 约束和属性(不建议使用)
        • 常见类型
          • Workload Selector
        • Istio 标准指标
        • Resource Labels
        • Resource Annotations
        • 配置分析消息
          • PortNameIsNotUnderNamingConvention
          • Analyzer Message Format
          • ConflictingMeshGatewayVirtualServiceHosts
          • ConflictingSidecarWorkloadSelectors
          • DeploymentAssociatedToMultipleServices
          • DeploymentConflictingPorts
          • DeploymentRequiresServiceAssociated
          • Deprecated
          • DeprecatedAnnotation
          • ExternalNameServiceTypeInvalidPortName
          • GatewayPortNotOnWorkload
          • InternalError
          • InvalidAnnotation
          • InvalidApplicationUID
          • InvalidRegexp
          • IstioProxyImageMismatch
          • JwtFailureDueToInvalidServicePortPrefix
          • MisplacedAnnotation
          • AlphaAnnotation
          • MultipleSidecarsWithoutWorkloadSelectors
          • NamespaceMultipleInjectionLabels
          • NamespaceNotInjected
          • NoMatchingWorkloadsFound
          • NoServerCertificateVerificationDestinationLevel
          • NoServerCertificateVerificationPortLevel
          • PodMissingProxy
          • MTLSPolicyConflict
          • SchemaValidationError
          • UnknownAnnotation
          • VirtualServiceDestinationPortSelectorRequired
          • VirtualServiceHostNotFoundInGateway
          • VirtualServiceIneffectiveMatch
          • ReferencedResourceNotFound
          • VirtualServiceUnreachableRule
      • 命令
        • install-cni
        • istioctl
        • operator
        • pilot-agent
        • pilot-discovery
      • 术语表
    1. 文档
    2. 任务
    3. 安全
    4. 证书管理

    证书管理

    管理 Istio 的证书。

    插入 CA 证书

    系统管理员如何通过根证书、签名证书和密钥来配置 Istio 的 CA。

    Istio 的 DNS 证书管理

    如何在 Istiod 中配置和管理 DNS 证书。

    使用 Kubernetes CSR 自定义 CA 集成

    演示如何使用自定义证书颁发机构(与 Kubernetes CSR API 集成)来提供 Istio 工作负载证书。

    链接

      English 中文
      • 隐私政策 | 在 GitHub 上编辑此页
      © 2022 Istio Authors. 部分内容可能滞后于英文版本,同步工作正在进行中
      Version Istio 归档 1.14.3
      • 当前版本
      • 下个版本
      • 旧版本