前言：

• 今天來說說外部對Gateway憑證TLS，與服務內部憑證

Istio TLS

• 使用的憑證方式為Secret綁定需要注意的是綁定name以圖為例istio-ingressgateway-certs，還有需要的就是他的路徑憑證部分可以使用自簽憑證或是走外部的憑證，但若DNS機房所屬自架的話建議可以使用自簽憑證即可，因為較不會有安全性的疑慮，自簽憑證可把時間拉長一方面也不會有忘記換憑證導致連線上出現問題，但Istio部分也是很方便只需要把對應檔案key.pem cert.pem(名稱可自訂)放入指定路徑apply YAML Secret也是秒級更換憑證

服務內部憑證

• 在Istio裡面不只有外部連線的憑證還有較細部的憑證，這就是屬於服務對服務間的憑證，這有在前幾天前稍稍提到，所謂內部憑證就是Istio預設的自簽憑證(--max-workload-cert-ttl)在無設定情況下1.5以前版本會設定為90天，且有寬限期(--workload-cert-grace-period-ratio)預設為0.5，這意味著跟換憑證時間90*(1-0.5) = 45 在45天後會更換此時需要注意服務中的連線，若有使用到nsq等持續性連線有機率使Consumer斷掉造成影響