6.2 Kubernetesクラスタ内外の通信暗号化方針
Kubernetesクラスタ内およびKubernetesクラスタ外の通信暗号化方針を次に示します。
-
通常版ではPod間通信(HTTP、gRPC)をTLS(Transport Layer Security)プロトコルを使用して通信データを暗号化することで、通信データの漏洩や改ざんを防止する
-
サーバ認証/クライアント認証(mTLS)によって、通信相手の妥当性を検証し、意図しない相手との通信を抑止する
-
暗号化有無はプロパティで切り替える
-
次の通信個所は、通信暗号化の対象外とする
-
Pod内通信
・トランザクションヘルスチェックスクリプト/未決着トランザクション待機スクリプトとSQL-Participant/Mediator、TCC-Participant/Mediator、またはTP1-Bridge/Mediatorの間
・Entity-ServiceとSQL-Participantの間
-
SQL-ParticipantとDBの間
-
SQL-Participant、TCC-Participant、またはTP1-BridgeとEADSの間
-
TP1-BridgeとTP1-Converterの間、およびTP1-BridgeとOpenTP1の間
-
TP1-ConverterとREST API発行元の間
-
FilebeatとLogstashの間
-
PrometheusとMetricbeatの間
-
Jaeger-collectorとOrchestrator/Entity-service/SQL-Participant/TCC-Participant/TP1-Bridge/Mediatorの間
-