mTLS Service Mesh Batch Processing Pipeline —

Q: mTLS คืออะไร

mTLS (mutual TLS) คือการเข้ารหัสและยืนยันตัวตนทั้ง 2 ฝั่ง Client และ Server ต่างจาก TLS ปกติที่ยืนยันแค่ Server mTLS ทั้ง Client ต้องแสดง Certificate ให้ Server และ Server ต้องแสดง Certificate ให้ Client ใน Service Mesh เช่น Istio Linkerd mTLS เปิดอัตโนมัติระหว่าง Service ทุกตัว Sidecar Proxy (Envoy) จัดการ Certificate อัตโนมัติ ไม่ต้องแก้ Application Code ป้องกัน Man-in-the-Middle Attack ระหว่าง Service ป้องกัน Unauthorized Service เข้าถึง Service อื่น ป้องกัน Data ถูกดักฟังระหว่างทาง Zero Trust Network ทุก Connection ต้องยืนยันตัวตน

Q: ใช้กับ Batch Processing อย่างไร

Batch Processing Job เช่น Spark Flink Airflow CronJob มักรันเป็น Pod ใน Kubernetes ถ้าอยู่ใน Service Mesh Istio จะ Inject Sidecar Proxy อัตโนมัติ Batch Job สื่อสารกับ Database API External Service ผ่าน mTLS ปัญหาที่พบ Batch Job จบแล้วแต่ Sidecar ไม่จบ Pod ค้าง ต้องตั้ง Sidecar Lifecycle ให้จบพร้อม Job Istio holdApplicationUntilProxyStarts ให้ App รอ Proxy พร้อมก่อน EXIT_ON_ZERO_ACTIVE_CONNECTIONS ให้ Proxy จบเมื่อ App จบ Certificate Rotation ต้องไม่กระทบ Long-running Batch Job

Q: ตั้งค่า Istio อย่างไร

เปิด mTLS STRICT Mode ทุก Namespace kubectl apply PeerAuthentication mtls mode STRICT ตั้ง AuthorizationPolicy กำหนดว่า Service ไหนคุยกับใครได้ ตั้ง Sidecar Injection สำหรับ Batch Job Namespace kubectl label namespace batch istio-injection=enabled ตั้ง holdApplicationUntilProxyStarts true ใน Pod Annotation ตั้ง Proxy Lifecycle ให้จบพร้อม Job EXIT_ON_ZERO_ACTIVE_CONNECTIONS ตั้ง Certificate Rotation Interval เช่น 24 ชั่วโมง ตั้ง DestinationRule สำหรับ External Service ที่ต้อง mTLS ตั้ง ServiceEntry สำหรับ External Service ที่อยู่นอก Mesh

Q: Certificate Management ทำอย่างไร

Istio ใช้ Citadel (istiod) เป็น CA อัตโนมัติ ออก Certificate ให้ทุก Workload อัตโนมัติ Certificate Lifetime ค่า Default 24 ชั่วโมง Rotation อัตโนมัติก่อนหมดอายุ ใช้ Custom CA เช่น cert-manager HashiCorp Vault สำหรับ Enterprise ใช้ Intermediate CA สำหรับ Multi-cluster SPIFFE Identity แต่ละ Workload มี SPIFFE ID เช่น spiffe://cluster.local/ns/batch/sa/job-runner ตรวจสอบ Certificate ด้วย istioctl proxy-config secret Pod Monitor Certificate Expiry ด้วย Prometheus Alert

mTLS Batch Processing

mTLS mutual TLS Service Mesh Istio Batch Processing Certificate Envoy Sidecar Zero Trust SPIFFE Authorization Kubernetes

Component	Role	mTLS Function	Config
Istio Control Plane	CA + Policy	ออก Certificate จัดการ Policy	PeerAuthentication
Envoy Sidecar	Proxy	Terminate/Originate mTLS	Auto-injected
Batch Job Pod	Workload	ใช้ mTLS ผ่าน Sidecar	Annotation
Database	Data Store	mTLS Connection	DestinationRule
External API	3rd Party	ServiceEntry + mTLS	ServiceEntry

Configuration

# === Istio mTLS Configuration for Batch Jobs ===

# PeerAuthentication - Enforce STRICT mTLS
# apiVersion: security.istio.io/v1beta1
# kind: PeerAuthentication
# metadata:
#   name: default
#   namespace: batch-jobs
# spec:
#   mtls:
#     mode: STRICT

# AuthorizationPolicy - Only batch-runner can access database
# apiVersion: security.istio.io/v1beta1
# kind: AuthorizationPolicy
# metadata:
#   name: allow-batch-to-db
#   namespace: database
# spec:
#   action: ALLOW
#   rules:
#     - from:
#         - source:
#             principals: ["cluster.local/ns/batch-jobs/sa/batch-runner"]
#       to:
#         - operation:
#             ports: ["5432"]

# Batch Job Pod with Sidecar Lifecycle
# apiVersion: batch/v1
# kind: Job
# metadata:
#   name: etl-daily
#   namespace: batch-jobs
# spec:
#   template:
#     metadata:
#       annotations:
#         proxy.istio.io/config: |
#           holdApplicationUntilProxyStarts: true
#         sidecar.istio.io/inject: "true"

from dataclasses import dataclass

@dataclass
class MtlsConfig:
    resource: str
    purpose: str
    key_settings: str
    apply_to: str

configs = [
    MtlsConfig("PeerAuthentication",
        "บังคับ mTLS STRICT Mode",
        "mtls.mode: STRICT",
        "Namespace หรือ Mesh-wide"),
    MtlsConfig("AuthorizationPolicy",
        "กำหนด Service-to-Service Access",
        "source.principals + operation.ports",
        "Target Namespace/Service"),
    MtlsConfig("DestinationRule",
        "ตั้งค่า mTLS สำหรับ Destination",
        "trafficPolicy.tls.mode: ISTIO_MUTUAL",
        "Database External Service"),
    MtlsConfig("ServiceEntry",
        "Register External Service เข้า Mesh",
        "hosts endpoints ports resolution",
        "External API Database"),
    MtlsConfig("Sidecar Annotation",
        "ควบคุม Sidecar Lifecycle สำหรับ Job",
        "holdApplicationUntilProxyStarts: true",
        "Batch Job Pod"),
]

print("=== mTLS Configurations ===")
for c in configs:
    print(f"  [{c.resource}] {c.purpose}")
    print(f"    Settings: {c.key_settings}")
    print(f"    Apply to: {c.apply_to}")

Batch Job Lifecycle

# === Sidecar Lifecycle for Batch Jobs ===

@dataclass
class LifecycleIssue:
    issue: str
    symptom: str
    cause: str
    solution: str
    config: str

issues = [
    LifecycleIssue("Pod ค้างหลัง Job จบ",
        "Job status Complete แต่ Pod ยัง Running",
        "Sidecar (Envoy) ยังทำงานอยู่ไม่จบตาม App",
        "ใช้ Istio 1.12+ EXIT_ON_ZERO_ACTIVE_CONNECTIONS",
        "proxy.istio.io/config: terminationDrainDuration: 5s"),
    LifecycleIssue("App เริ่มก่อน Proxy พร้อม",
        "Connection Refused ตอน App เริ่ม",
        "App พยายามเชื่อมต่อก่อน Envoy Proxy พร้อม",
        "holdApplicationUntilProxyStarts: true",
        "Pod Annotation proxy.istio.io/config"),
    LifecycleIssue("Certificate Expire ระหว่าง Long Job",
        "TLS Handshake Error หลังรัน Job นาน",
        "Certificate หมดอายุ (Default 24hr) ระหว่าง Job รัน",
        "ตั้ง Certificate Lifetime ยาวขึ้น หรือ Rotation graceful",
        "PILOT_CERT_DURATION env var ใน istiod"),
    LifecycleIssue("External Service mTLS Fail",
        "Connection Refused ไป External DB",
        "External Service ไม่อยู่ใน Mesh ไม่มี mTLS",
        "ใช้ ServiceEntry + DestinationRule tls.mode: DISABLE/SIMPLE",
        "ServiceEntry + DestinationRule"),
    LifecycleIssue("High Memory Usage",
        "Sidecar ใช้ Memory มาก ใน Batch Pod",
        "Default Envoy Resource ไม่เหมาะกับ Batch",
        "ตั้ง Sidecar Resource Limit ให้เหมาะสม",
        "sidecar.istio.io/proxyMemory: 128Mi"),
]

print("=== Lifecycle Issues ===")
for i in issues:
    print(f"\n  [{i.issue}]")
    print(f"    Symptom: {i.symptom}")
    print(f"    Cause: {i.cause}")
    print(f"    Solution: {i.solution}")
    print(f"    Config: {i.config}")

Certificate Management

# === Certificate Management ===

@dataclass
class CertConfig:
    aspect: str
    default_value: str
    recommended: str
    monitor: str

cert_configs = [
    CertConfig("Certificate Lifetime",
        "24 ชั่วโมง (Istio Default)",
        "24hr สำหรับ Short Job, 72hr สำหรับ Long Job",
        "istio_agent_cert_expiry_seconds Prometheus"),
    CertConfig("Rotation Grace Period",
        "ก่อนหมดอายุ 50%",
        "ใช้ Default (ดีแล้ว)",
        "istio_agent_cert_rotation_count"),
    CertConfig("Root CA",
        "Self-signed by Istio (istiod)",
        "ใช้ Custom CA (cert-manager/Vault) สำหรับ Prod",
        "Root CA Expiry Alert"),
    CertConfig("SPIFFE Identity",
        "spiffe://cluster.local/ns/{ns}/sa/{sa}",
        "ใช้ Service Account แยกต่อ Job Type",
        "AuthorizationPolicy source.principals"),
    CertConfig("Multi-cluster",
        "แต่ละ Cluster มี CA แยก",
        "ใช้ Shared Root CA + Intermediate CA ต่อ Cluster",
        "Cross-cluster mTLS Connectivity"),
]

print("=== Certificate Management ===")
for c in cert_configs:
    print(f"  [{c.aspect}]")
    print(f"    Default: {c.default_value}")
    print(f"    Recommended: {c.recommended}")
    print(f"    Monitor: {c.monitor}")

เคล็ดลับ

STRICT: เปิด mTLS STRICT Mode ทุก Namespace ที่มี Batch Job
Lifecycle: ตั้ง holdApplicationUntilProxyStarts สำหรับทุก Job
AuthZ: ใช้ AuthorizationPolicy จำกัด Service-to-Service Access
Resource: ตั้ง Sidecar Memory Limit ให้เหมาะกับ Batch Pod
Monitor: Monitor Certificate Expiry ด้วย Prometheus Alert

การนำไปใช้งานจริงในองค์กร

สำหรับองค์กรขนาดกลางถึงใหญ่ แนะนำให้ใช้หลัก Three-Tier Architecture คือ Core Layer ที่เป็นแกนกลางของระบบ Distribution Layer ที่ทำหน้าที่กระจาย Traffic และ Access Layer ที่เชื่อมต่อกับผู้ใช้โดยตรง การแบ่ง Layer ชัดเจนช่วยให้การ Troubleshoot ง่ายขึ้นและสามารถ Scale ระบบได้ตามความต้องการ

เรื่อง Network Security ก็สำคัญไม่แพ้กัน ควรติดตั้ง Next-Generation Firewall ที่สามารถ Deep Packet Inspection ได้ ใช้ Network Segmentation แยก VLAN สำหรับแต่ละแผนก ติดตั้ง IDS/IPS เพื่อตรวจจับการโจมตี และทำ Regular Security Audit อย่างน้อยปีละ 2 ครั้ง

mTLS คืออะไร

mutual TLS ยืนยันทั้ง Client Server Certificate Envoy Sidecar อัตโนมัติ Zero Trust Man-in-the-Middle SPIFFE Identity

ใช้กับ Batch Processing อย่างไร

Istio Inject Sidecar Batch Pod mTLS Database API Sidecar Lifecycle holdApplicationUntilProxyStarts EXIT Certificate Rotation

ตั้งค่า Istio อย่างไร

PeerAuthentication STRICT AuthorizationPolicy principals DestinationRule ServiceEntry Sidecar Annotation Namespace Label

Certificate Management ทำอย่างไร

Citadel istiod CA อัตโนมัติ 24hr Lifetime Rotation SPIFFE Identity Custom CA cert-manager Vault Multi-cluster Prometheus Monitor

สรุป

mTLS Service Mesh Batch Processing Istio STRICT AuthorizationPolicy Sidecar Lifecycle Certificate SPIFFE Zero Trust Kubernetes Security

mTLS Service Mesh Batch Processing Pipeline