Istio對身份認證和授權鑒權提供了全面的支援;
Istio将身份認證分為最終使用者認證和傳輸認證,Istio提供了雙向TLS(沒TLS)作為傳輸認證的全站解決方案;
- 為每個服務提供強認證,認證身份和角色相結合,能夠在不同的叢集甚至不同雲上進行互操作
- 加密服務和服務之間、最終使用者和服務之間的通信
- 提供密鑰管理系統,完成密鑰和證書的生成、分發、輪轉以及吊銷操作
下面是所有關于TLS的配置:
- Gateway#Server#TLSOptions:最終使用者通路的時候用的TLS相關配置;
- VirtualService#TLSRoute:路由時比對TLS的相關資訊;比如sniHosts;
- DestinationRule#TrafficPolicy#TLSSettings:The TLS configuration for connections to the upstream cluster.
- DestinationRule#TrafficPolicy#PortTrafficPolicy#TLSSettings
- Authentication Policy:配置服務網格的認證政策,包括最終使用者認證和傳輸認證的配置;
Authentication Policy和DestinationRule的差別?
ServiceRoleBinding#Subject#user指的是什麼?
- service運作的賬号(kubernetes service account):比如spiffe://cluster.local/ns/default/sa/bookinfo-reviews
- 使用者,如果Authentication Policy#PrincipalBinding為USE_ORIGIN,那過來的就是終端使用者;