利用 Let's Encrypt 为 Istio（Envoy）添加 TLS 支持

Istio 是一个开源的服务网格平台，它提供了代理、管理和安全等功能，以实现负载均衡、熔断、可观察性等。Envoy 是 Istio 中的代理组件，负责处理所有进出服务的流量。

为 Istio（Envoy）添加 TLS 支持，可以使用 Let's Encrypt 证书。Let's Encrypt 是一个免费的、自动化的证书颁发机构，可以帮助用户快速地为他们的网站或应用程序添加 TLS 支持。

以下是使用 Let's Encrypt 为 Istio（Envoy）添加 TLS 支持的步骤：

安装 certbot 工具

certbot 是 Let's Encrypt 提供的一个自动化证书管理工具，可以帮助用户快速地获取和管理证书。

$ sudo apt-get install certbot

生成证书

使用 certbot 工具生成证书，并将证书保存到指定的目录中。

$ sudo certbot certonly --standalone --preferred-challenges http --http-01-port 8080 -d example.com

配置 Istio

在 Istio 中配置 Envoy 代理，以使用生成的证书进行 TLS 加密。

apiVersion: networking.istio.io/v1alpha3
kind: Gateway
metadata:
  name: my-gateway
spec:
  selector:
    istio: ingressgateway
  servers:
  - port:
      number: 443
      name: https
      protocol: HTTPS
    tls:
      mode: SIMPLE
      serverCertificate: /etc/istio/ingressgateway-certs/tls.crt
      privateKey: /etc/istio/ingressgateway-certs/tls.key
    hosts:
    - "example.com"

部署应用程序

将应用程序部署到 Kubernetes 集群中，并配置 Istio 网关。

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: my-virtual-service
spec:
  hosts:
  - "example.com"
  gateways:
  - my-gateway
  http:
  - match:
    - uri:
        prefix: /
    route:
    - destination:
        host: my-service
        port:
          number: 80

以上就是使用 Let's Encrypt 为 Istio（Envoy）添加 TLS 支持的方法。需要注意的是，证书的有效期为 90 天，需要定期更新。