5.2 Kubernetesクラスタ内の通信暗号化方針
Kubernetesクラスタ内の通信暗号化方針を次に示します。
-
通常版ではPod間通信(HTTP、gRPC)をTLS(Transport Layer Security)プロトコルを使用して通信データを暗号化することで、通信データの漏洩や改ざんを防止する
-
サーバ認証/クライアント認証(mTLS)によって、通信相手の妥当性を検証し、意図しない相手との通信を抑止する
-
暗号化有無はプロパティで切り替える
-
次の通信個所は、通信暗号化の対象外とする
-
Pod内通信
・トランザクションヘルスチェックスクリプト/未決着トランザクション待機スクリプトとSQL-Participant/MediatorまたはTCC-Participant/Mediatorの間
・Entity-ServiceとSQL-Participantの間
-
SQL-ParticipantとDBの間
-
SQL-ParticipantまたはTCC-ParticipantとEADSの間
-
FilebeatとLogstashの間
-
PrometheusとMetricbeatの間
-
Jaeger-collectorとOrchestrator/Entity-service/SQL-Participant/MediatorまたはOrchestrator/Entity-service/TCC-Participant/Mediatorの間
-