概述
对等身份认证(PeerAuthentication)策略定义了sidecar之间通信的TLS模式,当前支持三种模式:
- PERMISSIVE:宽松模式,该模式下,sidecar将接受明文和双向TLS加密通信
- STRICT:严格模式,该模式下,sidecar只接受双向TLS加密通信
- DISABLE:禁用双向TLS;一般情况下不应该使用该模式
如下PeerAuthentication策略定义了访问foo命名空间下的服务都必须采用双向TLS认证模式:
apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
name: default
namespace: foo
spec:
mtls:
mode: STRICT
创建对等身份认证
- 从服务网格控制台选择菜单 网格安全中心 -> 对等身份认证
- 选择命名空间,默认展示当前命名空间下的对等身份认证策略,选择左上角 创建对等身份认证
- 根据模板编辑,保存即可
修改对等身份认证
- 从服务网格控制台选择菜单 网格安全中心 -> 对等身份认证
- 选择命名空间,默认展示当前命名空间下的对等身份认证策略,选择操作栏的编辑功能
- 编辑保存即可
删除对等身份认证
- 从服务网格控制台选择菜单 网格安全中心 -> 对等身份认证
- 选择命名空间,默认展示当前命名空间下的对等身份认证策略,选择操作栏的删除功能删除指定的策略配置
PeerAuthentication配置说明:
字段 | 类型 | 必选 | 说明 |
---|---|---|---|
selector | WorkloadSelector | No | 工作负载选择器,根据标签选择策略生效的工作负载 |
mtls | MutualTLS | No | Mtsl配置,MutualTLS.mode可选值: UNSET:未定义,默认继承父层级配置(命名空间级或者全局),如果父层级不存在则默认为PERMISSIVE DISABLE:禁用mTLS认证,采用明文传输 PERMISSIVE:同时支持mTLS和明文 STRICT:只支持mTLS模式 |
portLevelMtls | map<uint32, MutualTLS> | No | 端口级对等身份认证策略 |