Istio 出站 mTLS 与证书治理（Egress TLS Origination 与策略验证）

概述Istio可在Egress Gateway执行TLS Origination, 将网格内部明文流量在出口处升级为TLS, 并集中管理证书、SNI与访问策略, 满足合规与审计需求。关键实践与参数出站控制: 使用 `ServiceEntry` 声明外部主机与端口网关路由: `VirtualService` 将流量路由至 `istio-egressgateway`TLS设置: 在 `DestinationRule` 中配置 `tls.mode=SIMPLE` 与 `sni`证书治理: 统一管理CA与证书轮换, 挂载至网关可观测: 通过出口处指标与访问日志审计示例/配置/实现apiVersion: networking.istio.io/v1alpha3 kind: ServiceEntry metadata: name: external-api spec: hosts: ["api.external.com"] ports: - number: 443 name: https protocol: TLS location: MESH_EXTERNAL resolution: DNS --- apiVersion: networking.istio.io/v1alpha3 kind: VirtualService metadata: name: external-egress spec: hosts: ["api.external.com"] gateways: ["istio-egressgateway"] tls: - match: - sniHosts: ["api.external.com"] route: - destination: host: istio-egressgateway.istio-system.svc.cluster.local port: number: 443 --- apiVersion: networking.istio.io/v1alpha3 kind: DestinationRule metadata: name: external-dr spec: host: api.external.com trafficPolicy: tls: mode: SIMPLE sni: api.external.com caCertificates: /etc/istio/egress-certs/ca.crt 验证出站握手: 从网格内Pod访问外部域名, 确认在出口处完成TLS握手与SNI匹配证书有效性: 载入无效证书时请求失败并产生告警, 替换后恢复审计记录: 在Egress网关处查看指标与访问日志, 确认请求路径与状态码策略生效: 修改 `VirtualService` 路由或 `DestinationRule` TLS设置后行为变化符合预期注意事项证书与CA需定期轮换, 保持文件权限与挂载安全外部服务可能使用不同SNI策略, 需按域名精确匹配与 `Sidecar` 出站限制配合, 防止绕过出口治理在多域出口场景下使用独立DR与证书集, 防止配置串扰