第14章 服务网格安全机制

第14章服务网格安全机制云原生架构师实战课讲师：资深云原生架构师CONTENTS双向TLS自动加密：服务间通信的“安全通道”身份认证：K8sServiceAccount与SPIFFE身份授权策略：AuthorizationPolicy细粒度访问控制实战案例：强制mTLS与服务访问控制常见问题排查：安全策略不生效怎么办？课后实操任务：配置全局mTLS与访问控制双向TLS自动加密：服务间通信的“安全通道”什么是双向TLS(mTLS)?一种相互认证的加密方式，不仅验证服务器，也验证客户端身份，确保通信双方均为合法实体。Istio自动加密机制自动生成和管理证书，通信时自动升级为mTLS加密，无需修改任何业务代码，实现零侵入。核心安全优势身份认证：双向校验，杜绝假冒数据加密：防止传输泄露与篡改零侵入：透明集成，业务无感身份认证：K8sServiceAccount与SPIFFE身份Istio身份模型定义基于K8sServiceAccount和Namespace分配唯一身份遵循SPIFFE标准格式：spiffe://<trust-domain>/ns/<ns>/sa/<sa>安全认证流程机制Citadel组件生成基于SPIFFE标准的身份证书服务通信时双向交换证书并验证合法性仅合法身份服务可建立连接，确保可信授权策略：AuthorizationPolicy细粒度访问控制核心定义与作用Istio中实现细粒度访问控制的核心资源。基于服务身份、请求来源、路径等条件定义规则，支持ALLOW/DENY动作。关键配置字段selector:选择目标服务action:ALLOW/DENYrules:定义来源、目标及条件策略优先级规则Deny>Allow:拒绝策略优先Specific>Generic:具体策略优于通用策略AuthorizationPolicy规则类型对比表实战案例一：强制所有服务间通信使用mTLS案例场景与目标要求服务网格中的所有服务间通信都必须使用mTLS加密，拒绝任何明文通信。核心实现步骤创建PeerAuthentication资源，设置mtls.mode=STRICT将配置应用到istio-system命名空间以覆盖整个网格关键配置(YAML)apiVersion:security.istio.io/v1beta1kind:PeerAuthenticationmetadata:name:defaultnamespace:istio-systemspec:mtls:mode:STRICT流程图：强制mTLS策略执行流程实战案例二：只允许payments服务访问数据库核心场景与实现步骤场景需求：仅开放payments服务访问数据库，拦截其他所有服务请求。关键步骤：创建AuthorizationPolicy，通过selector匹配数据库服务；在规则中限定来源为payments的ServiceAccount。关键配置(AuthorizationPolicy)apiVersion:security.istio.io/v1beta1kind:AuthorizationPolicyspec:selector:{matchLabels:{app:database}}rules:-from:[{source:{principals:["cluster.local/ns/default/sa/payments"]}}]避坑指南：Istio安全机制常见问题排查mTLS策略不生效可能原因：PeerAuthentication配置错误，或目标服务未注入Sidecar。解决方案：检查mtls.mode设置是否正确；确认Sidecar注入状态。AuthorizationPolicy失效可能原因：资源配置错误，或规则优先级设置不当导致覆盖。解决方案：检查规则条件；排查是否存在高优先级Deny策略覆盖。服务间通信失败可能原因：身份证书过期，或mTLS与AuthorizationPolicy配置冲突。解决方案：验证证书有效性；检查配置文件是否存在逻辑冲突。课后实操：配置全局mTLS与访问控制任务目标在网格中配置全局mTLS，强制服务间加密通信。配置AuthorizationPolicy，仅允许productpage访问details服务。任务步骤创建PeerAuthentication资源，设置mtls.mode为STRICT并应用到全网格。创建AuthorizationPolicy，目标为details服务，规则限定来源为productpage。验证：productpage访问成功，ratings访问失败。评判标准全局mTLS配置生效。AuthorizationPolicy正确拦截非授权访问。验证结果符合预期：白名单服务通行，其他拒绝。本章总结：Istio服务网格安全机制双向TLS自动加密自动生成和管理证书，实现服务间通信的透明加密，无需修改业务代码即可构建安全通道。强身份认证体系基于K8sServiceAccount和SPIFFE标准，为每个服务分配唯一身份，确保通信双方身份合法。细粒度授权策略利用AuthorizationPolicy资源，基于身份和来源等条件，对服务访问进行精准的