使用K8S ServiceAccount对Istio中的服务进行身份验证非常有趣。这是否意味着我们必须启用mTLS才能使用此功能?
实际上,Istio用两种独立的识别和交通管理行动方法来表示安全概念:Authentication和Authorization。但是,作为每个安全基础设施,Istio网格需要在目标服务前定义Identity,以便从基础认证策略中获取如何由Pilot最初建立传输和服务到服务认证的决策;授权策略可用于在RBAC内的Istio网格中的对象内的整个命名空间,服务级别和方法级别访问控制中启用基于角色的访问控制(Mixer)机制。
相互TLS身份验证是通过Envoy proxy在Envoy sidecar启用的特定Istio网格对象中进行服务到服务通信的安全方式;因此Citadel创建TLS证书库存并执行策略规则。
您可以通过手动和自动边车qazxsw poi启动mTLS身份验证qazxsw poi。
身份验证策略在globally中在客户端传播其规则,因此您可以选择启用injection TLS模式:Destination rules或禁用:
trafficPolicy:我鼓励您通过相关的实际示例mode: ISTIO_MUTUAL找到有关ISTIO安全模型的一些相关信息。