На самом деле Istio представляет концепции безопасности с двумя отдельными методами для действий по идентификации и управлению трафиком: Аутентификация и Авторизация . Однако, как и любая инфраструктура безопасности, сетка Istio требует определения Identity перед целевой службой, чтобы получить решение из базовых политик аутентификации о том, как аутентификация транспорта и услуги к сервису должна первоначально устанавливаться Pilot ; Политику авторизации можно использовать для включения механизма управления доступом на основе ролей ( RBAC ) во всем пространстве имен, на уровне обслуживания и на уровне доступа к методам в объектах вдоль сетки Istio внутри Mixer .
Взаимная TLS аутентификация - это безопасный способ обмена данными между сервисами через Envoy proxy в пределах конкретного объекта сетки Istio, где Envoy sidecar включен; поэтому Citadel создает инвентаризацию сертификатов TLS и применяет правила политики.
Возможно, вы сможете запустить аутентификацию mTLS глобально или с помощью ручного и автоматического коляска впрыск .
Политика аутентификации распространяет свои правила на стороне клиента в пределах Правила назначения , поэтому вы можете выбрать trafficPolicy: Режим TLS включен: mode: ISTIO_MUTUAL или отключен:
trafficPolicy:
tls:
mode: DISABLE
Я рекомендую вам найти информацию о модели безопасности ISTIO с соответствующими практическими примерами здесь .