在多控制平面拓扑的配置中,每个Kubernetes集群都会安装相同的Istio控制平面,并且每个控制平面只会管理自己集群内的服务端点。通过使用Istio网关、公共根证书颁发机构(CA)以及服务条目ServiceEntry,可以将多个集群配置组成一个逻辑上的单一服务网格。这种方法没有特殊的网络要求,因此通常被认为是在Kubernetes集群之间没有通用网络连接时的一种最简单方法。
在这种拓扑配置下,Kubernetes跨集群通信需要服务之间的双向TLS连接,要在集群之间启用双向TLS通信,每个集群的Citadel将配置由共享的根CA生成的中间CA证书,如图12-4所示。