Я пытаюсь понять, почему Istio имеет функцию mTLS?Он обеспечивает взаимную аутентификацию TLS между всеми службами в кластере с помощью автоматически выданных сертификатов.
Обязательная проверка подлинности TLS полезна только в том случае, если они являются службами вне Istio, но когда Istio включено в Kubernetes глобально, этоэто не так - тогда каждая служба получает сертификат автоматически, поэтому может подключаться к любому другому.
Может быть, TLS используется в качестве провайдера идентификации, что требуется правилами авторизации Istio, как указано в вопросе, пока без ответа Есть ли авторизация istioэффект, если mtls не используется для аутентификации istio? ?Но почему Istio не просто использует учетные записи службы Kubernetes в качестве поставщика удостоверений.Это даже упоминается в документации .
Кроме того, даже с использованием TLS для идентификации, почему шифрование трафика (TLS может использоваться без шифрования)?Я предполагаю, что контейнер не может подделать IP-адрес.