ポッド間の Unix ドメイン ソケットを削除します

1.5 以前の Istio バージョンでは、シークレット検出サービス (SDS) の実行中に、SDS クライアントと SDS サーバーは、Kubernetes ポッド セキュリティ ポリシーで保護する必要がある、ポッド間の Unix ドメイン ソケット (UDS) を介して通信します。

Istio 1.5 では、Pilot Agent、Envoy、Citadel Agent は同じコンテナーの中で実行されるようになります (以下にそのアーキテクチャの図を示します)。Envoy (SDS クライアント) と Citadel Agent (SDS サーバー) との間のポッド間の UDS を盗聴する攻撃者から防御するため、Istio 1.5 では Pilot Agent と Citadel Agent を 1 つの Istio Agent に統合し、Envoy と Citadel Agent との間の UDS を Istio Agent コンテナーに限定します。Istio Agent コンテナーは、アプリケーション サービス コンテナーのサイドカーとしてデプロイされます。