服务网格通过边车代理实现mTLS,Istio等平台利用Envoy代理拦截流量,由控制平面签发短期证书,代理间自动协商加密连接,支持策略驱动的渐进式启用,全程无需修改业务代码。
服务网格通过在每个服务实例旁部署边车代理(Sidecar Proxy),自动处理服务间通信的安全性,双向 TLS(mTLS)正是在这种架构下实现的。整个过程对应用透明,无需修改业务代码。
边车代理接管通信
在服务网格中(如 Istio),每个服务都伴随一个边车代理(如 Envoy)。所有进出服务的流量都会经过这个代理。代理之间可以协商加密通道,从而实现 mTLS。
服务 A 发起请求时,其边车代理自动拦截 outbound 流量 目标服务 B 的边车代理接收 inbound 流量 两个边车之间建立 TLS 连接,验证彼此身份证书
证书与密钥管理
服务网格控制平面(如 Istio 的 Citadel)负责签发和分发短期证书。
每个工作负载获得唯一的工作负载证书(基于 SPIFFE ID) 证书定期轮换,提升安全性 密钥和证书通过安全通道注入到边车代理中,不暴露给应用
自动协商 mTLS
当两个边车代理建立连接时,执行标准的 TLS 握手,并交换证书进行双向验证。
客户端代理发送自己的证书并验证服务端证书 服务端代理同样验证客户端证书的有效性和信任链 只有双方都通过验证,连接才会建立 一旦建立,数据在传输过程中全程加密
策略控制与渐进启用
mTLS 可以通过配置策略按命名空间或服务逐步启用。
使用 DestinationRule 配置是否启用 mTLS 支持 STRICT、PERMISSIVE 等模式,便于迁移 例如:允许旧服务明文通信,新服务强制 mTLS
基本上就这些。服务网格把 mTLS 的复杂性封装在基础设施层,开发者只需关注业务逻辑,安全通信由平台自动保障。
以上就是微服务中的服务网格如何实现双向 TLS?的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/1440428.html
微信扫一扫 
支付宝扫一扫 
