## Automate mTLS communication with GoPay partners with Istio Vijay Dhama, Gojek Zufar Dhiyaulhaq, Gojek  ## Agenda • Ingressgateway  mTLS secure External Client - Using Istio Gateway mechanism with mode MUTUAL - Leverage subjectAltNames

/p4_2.jpg) DC Service D D Classic ELB Square mTLS us-west-2 Square Envoy Amazon EKS Node Service B Ingress Envoy (istio proxy) Istio mTLS Node Service B B Envoy (istio proxy) Square Envoy ts/4/2/0/a/420aac75a0207c093d2b01a89d4f66d9/p9_2.jpg) ## Cash App EKS -> Cash App EKS Square mTLS Amazon EKS Classic ELB Node Service A A Square Envoy  Service B B Square Envoy Square mTLS Square Envoy us-west-2 回 Amazon EKS DC Service D Classic ELB Node D Service B Square mTLS Square Envoy B Square Envoy us-west-2 ![Imag

communication using mTLS between all services • Configurable short-lived certificates • On the fly certificate renewals with no service downtime • Unified simplified configuration to enable mTLS for all services certificate renewal may require client application restarts ## Security layer provided by Istio • mTLS provided by Istio • Server certificate provided by Istio Proxy sidecar container • Each Kafka client Pod Pod Kafka Broker-01 Broker-02 Kafka Broker-n Istio Proxy Istio Proxy Istio Proxy mTLS mTLS mTLS Pod Pod Pod Istio Proxy Istio Proxy Istio Proxy Zookeeper Zookeeper Zookeeper cisco

your microservices with istio step by step JianFeng Ding, LuYao Zhong ## Agenda Istio identity mTLS in Isito ● Secure ingress traffic ☑ Authorize ingress traffic ☑ Authorize in mesh traffic Summary } } } } } } ## mTLS in Istio - PeerAuthentication 1) Apply peer-authentication to enable server side mTLS 

users, workloads, devices, etc. Encrypting inter-CNF traffic via mutual TLS (mTLS) Option to encrypt intra-CNF traffic via mTLS Autonomous PKI service for certificate lifecycle management at scale Visibility CA • Enable ECC certificates • Configure workload certificate TTLs • Enable strict mutual TLS (mTLS) instead of auto • Use dedicated egress gateways ![Image](/uploads/documents/d/2/e/7/d2e7683724

版本的限制，目前有一些应用程序与 Service Mesh 还不兼容。详参阅社区的相关链接。 - OSSM-1655 Kiali 仪表板在 SMCP 中启用 mTLS 后显示错误。 在 SMCP 中启用 spec.security.controlPlane.mtls 设置后，Kiali 控制台会显示以下错误消息 No subsets defined。 - OSSM-1505 只有在 OpenShift Container 上部署的网格不兼容。 - MAISTRAN-1959 迁移到 2.0 Prometheus 提取（spec.addons.prometheus.scrape 设置为 true）在启用 mTLS 时无法正常工作。另外，当禁用 mTLS 时，Kiali 会显示无关的图形数据。可通过将端口 15020 从代理配置中排除来解决这个问题，例如： spec: proxy: networking: trafficControl: 提供服务发现、配置和证书管理。它将高级别路由规则转换为 Envoy 配置，并在运行时将其传播到 sidecar。 Istiod 可以充当证书颁发机构 (CA)，在 data plane 中生成支持安全 mTLS 通信的证书。您还可以使用外部 CA 来实现这一目的。 ☐ Istiod 负责将 sidecar 代理容器注入到部署到 OpenShift 集群的工作负载中。 Red Hat OpenShift

Cluster security Access control 1. Istio authentication and authorization policies for every service: mTLS to defend against data exfiltration; deny by default. Credential (token, cookie, etc) Internal [Image](/uploads/documents/2/0/d/f/20df5f26e209d40f1157e74670bf84de/p10_1.jpg) Service $ C_{6}H_{5} $ Ingress mTLS Proxy 2. Exchange external credential to internal token to defend against token replay attacks [Image](/uploads/documents/2/0/d/f/20df5f26e209d40f1157e74670bf84de/p18_1.jpg) name: "default" spec: mtls: mode: STRICT EOF ## Demo: mesh security lifecycle ![Image](/uploads/documents/2/0/d/f/20df5f2

选项支持。(TRACING-3462) - 修复了在使用 oc adm catalog mirror CLI 命令时对断开连接的环境的支持。(TRACING-3523) ● 修复了没有部署网关时的 mTLS。(TRACING-3510) ###### 1.1.4.3. 已知问题 - 目前，当与 Tempo Operator 一起使用时，Jaeger UI 只显示在最后 15 分钟内发送了 trace (s390x)架构中会失败。(TRACING-3545) - 目前，在未部署网关时，Tempo 查询前端服务不得使用内部 mTLS。这个问题不会影响 Jaeger Query API。解决办法是禁用 mTLS。(TRACING-3510) ## 临时解决方案 禁用 mTLS，如下所示： 1. 运行以下命令，打开 Tempo Operator ConfigMap 进行编辑：  1 安装 Tempo Operator 的项目。 2. 通过更新 YAML 文件来禁用 Operator 配置中的 mTLS : data: controller_manager_config.yaml: | featureGates: httpEncryption: false grpcEncryption: false

首次全流量支撑双十一大促 • 支持蚂蚁LDC架构，三地五中心容灾架构 2013 - 全面上线SSL加速卡，提供软硬件一体加速方案 2015 • All in 无线，通信通道全面升级（MMTP，MTLS协议） 2016 • 安全防护能力提升，WAF，流量镜像 - 通信协议，架构，安全再次升级（物联终端接入，QUIC协议，国密，可信计算，海外加速，云原生） ## 金融级三地五中心容灾架构（LDC） jpg) • 对Spanner实现了异步化改造 • 对openssl进行了异步化引擎改造 - 实现多芯片卡的负载均衡 ## ↑ ## SSL握手性能提升3倍 ## 协议实现的改造-MTLS ## MTLS : 1) 轻量级TLS库，小于50k；2) 优化的TLS协议 ## 0-RTT · 减少握手延迟 - 代价：握手前发送的数据不能保证防重放攻击，因此要求应用程序自己保证防重放攻击 ents/b/6/9/0/b6901cab1358696c62f61cd1e18230be/p23_1.jpg) ## 支付宝网络接入层架构示意 统一通道：主长连接 + 短连接 统一协议：MTLS+MMTP 统一调度：MobileDC 关键词：动态Hpack + PB + 动态字典 + Zstd ## 通信协议&架构持续升级 ## 多终端&协议接入 MQTT协议的IoT设备接入

Istio service mesh with mTLS in Knative ☐ Installing Istio with automatic sidecar injection and enableAutoMtls enabled ☐ Enable STRICT mTLS on entire mesh to only allow mTLS traffic (by default PERMISSIVE) - **/*** # full information for user pods is required ## 展望 ## ☑ Features • Knative mTLS support Header-based routing (tag-header based routing is supported) • Async, enable your Knative