详解istio mtls双向身份认证
Istio 中网格内 Pod 间通信流量的默认加密状态
在 Istio 服务网格中,如果两个 Pod 都已注入 Sidecar 代理(即都在网格内),它们之间的通信流量默认会加密。这是通过互信 TLS(mTLS,Mutual TLS)实现的,Istio 会自动将网格内部流量升级为 mTLS,确保服务间加密传输和身份验证。
详细说明
- 默认配置(PERMISSIVE 模式):Istio 的默认 PeerAuthentication 策略是 PERMISSIVE 模式,这允许 Sidecar 同时接受明文(plaintext)和 mTLS 流量。 然而,Istio 的 Envoy 代理会智能检测:当源和目标 Pod 都有代理时,它会自动优先使用 mTLS 发送加密流量,而非明文。
- 自动升级机制:流量在两个代理(Proxy Enforcement Points, PEPs)之间会自动升级为 mTLS,无需手动干预。这确保了网格内服务的安全通信。
- 严格模式(STRICT):如果需要强制仅允许 mTLS(拒绝明文),可以通过配置 PeerAuthentication 切换到 STRICT 模式。
示例配置(可选,切换到 STRICT)
apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:name: default
spec:mtls:mode: STRICT
注意事项
- 适用范围:仅限于网格内(mesh-internal)流量;外部流量需额外配置 Gateway 或 DestinationRule。
- 验证方法:使用
istioctl authn tls-check命令检查 Pod 间的 mTLS 状态,或通过 Kiali 仪表盘可视化流量。
如果你的 Istio 版本或环境有自定义配置(如 Ambient 模式),行为可能略有差异;提供更多细节可进一步确认!