Istio PeerAuthentication 严格 mTLS 与 DestinationRule ISTIO_MUTUAL 实战
通过 PeerAuthentication 强制工作负载启用 mTLS,并结合 DestinationRule 设置客户端侧 ISTIO_MUTUAL,确保服务间零信任通信。
架构与中间件
Istio mTLS与服务身份策略实践
配置Istio在命名空间强制mTLS并基于SPIFFE身份实施访问策略,提供可验证的YAML与命令确保零信任通信。
Istio JWT 验证:RequestAuthentication 与 AuthorizationPolicy
"在 Istio 中通过 RequestAuthentication 验证 JWT 并结合 AuthorizationPolicy 基于受众与主体进行访问控制。"
Istio JWT 鉴权与路径授权策略实践
通过 RequestAuthentication 验证 JWT,并用 AuthorizationPolicy 限制特定受众与路径访问,提升零信任安全。
Istio External Auth 与全局鉴权(Envoy ext_authz、OPA 与验证)
在Istio中通过Envoy ext_authz对接外部鉴权服务或OPA,实现入口与服务间统一鉴权,并提供策略与端到端验证方法。
Istio Egress Gateway 外部服务访问控制与 TLS 直连配置实战
使用 Istio Egress Gateway 管控外部服务访问,配置 ServiceEntry、Gateway 与双段 VirtualService,实现 TLS 直连与可控出站流量。
Istio Egress Gateway 外放流量控制与策略治理(2025)
Istio Egress Gateway 外放流量控制与策略治理(2025)一、架构与出口Egress Gateway(Egress Gateway):集中外放流量出口;统一策略与观测。路由:通过 `VirtualService` 指定外部域名/端点路由。二、策略与安全策略(策略):白名单/黑名单域
Istio Egress Gateway 与外部服务访问控制(TLS Origination、SNI 与出口策略)
通过 Istio Egress Gateway 管控外部访问,配置 TLS Origination 与 SNI、出口策略与审计,确保合规与稳定并提供验证方法。
Istio DestinationRule 熔断与异常剔除(OutlierDetection)配置实战
通过 DestinationRule 配置连接池与异常剔除,实现对不健康实例的自动弹出与熔断保护,保障服务稳定性。
Istio Ambient Mesh与Sidecar对比:零侵入与性能权衡
比较 Ambient Mesh 与 Sidecar 的架构与性能,理解零侵入数据平面与安全/流控能力的取舍,指导生产选型。
