2.2　安全

安全對微服務(wù)這樣的分布式系統(tǒng)來說是至關(guān)重要的。與單體應(yīng)用在進(jìn)程內(nèi)進(jìn)行通信不同，對于微服務(wù)來說，網(wǎng)絡(luò)成了服務(wù)間通信的紐帶，這使得微服務(wù)對安全有了更迫切的需求。比如，為了抵御外來攻擊，需要對流量進(jìn)行加密處理；為了保證服務(wù)間通信的可靠性，需要使用mTLS的方式進(jìn)行交互；為了控制不同身份的訪問，需要設(shè)置不同粒度的授權(quán)策略。作為一個服務(wù)網(wǎng)格，Istio提供了一整套完整的安全解決方案。它可以用透明的方式，為微服務(wù)應(yīng)用添加安全策略。

Istio中的安全架構(gòu)是由多個組件協(xié)同完成的。其中，Citadel是負(fù)責(zé)安全的主要組件，用于密鑰和證書的管理；Pilot會將安全策略配置分發(fā)給Envoy代理；Envoy執(zhí)行安全策略，實(shí)現(xiàn)訪問控制。圖2-5所示為Istio的安全架構(gòu)和運(yùn)作流程。

圖2-5

Istio提供的安全功能主要分為認(rèn)證和授權(quán)兩部分。