对等身份认证¶
对等身份认证指的是在不对应用源码做侵入式修改的情况下,提供服务间的双向安全认证, 同时密钥以及证书的创建、分发、轮转也都由系统自动完成,对用户透明,从而大大降低了安全配置管理的复杂度。
Note
启用对等身份认证后,相应的目标规则也需要开启 mTLS 模式,否则将无法正常访问。
一个对全网格生效的严格 mTLS 策略。生效后,网格内部服务间访问将必须启用 mTLS。
YAML 示例:
apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
name: "default"
namespace: "istio-system"
spec:
selector:
matchLabels:
app: reviews
mtls:
mode: STRICT
服务网格提供了两种创建方式:向导和 YAML。通过向导创建的具体操作步骤如下:
-
在左侧导航栏点击 安全治理 -> 对等身份认证 ,点击右上角的 创建 按钮。
-
在 创建对等身份认证 界面中,先进行基本配置后点击 下一步 。
-
按屏幕提示进行认证设置后,点击 确定 。参阅 mTLS 模式参数配置。
-
屏幕提示创建成功。
-
在列表右侧,点击操作一列的 ┇ ,可通过弹出菜单进行更多操作。
Note
- 具体参数的配置,请参阅对等身份认证参数配置
- 参阅服务网格身份和认证。
- 更直观的操作演示,可参阅视频教程