DNS 証明書管理

デフォルトでは、Citadel は Istio コントロールプレーンの DNS 証明書を管理します。Citadel は独自の秘密鍵を保持し、認証局 (CA) として機能する大規模なコンポーネントです。

Istio 1.4 の新機能では、Kubernetes CA によって署名された DNS 証明書を安全にプロビジョニング、管理する機能が導入されました。この機能には次のような利点があります。

• Citadel に依存しない、軽量の DNS 証明書管理機能

• Citadel と異なり、この機能では秘密鍵が保持されません。これにより、セキュリティが強化されます。

• TLS クライアントへのルート証明書の配布が簡略化されます。クライアントは、Citadel が CA 証明書を生成して配布するのを待つ必要がなくなります。

次の図は、Istio で DNS 証明書をプロビジョニング、管理するアーキテクチャを示しています。Chiron は、Istio で DNS 証明書をプロビジョニング、管理するコンポーネントです。

この新機能を試すには、DNS 証明書管理タスクを参照してください。