概述
对等身份认证(PeerAuthentication)策略定义了sidecar之间通信的TLS模式,当前支持三种模式:
- PERMISSIVE:宽松模式,该模式下,sidecar将接受明文和双向TLS加密通信。
- STRICT:严格模式,该模式下,sidecar只接受双向TLS加密通信。
- DISABLE:禁用双向TLS;一般情况下不应该使用该模式。
如下PeerAuthentication策略定义了访问foo命名空间下的服务都必须采用双向TLS认证模式:
apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
name: default
namespace: foo
spec:
mtls:
mode: STRICT
创建对等身份认证
- 从控制台选择菜单 网格安全中心 -> 对等身份认证。
- 选择命名空间,默认展示当前命名空间下的对等身份认证策略,选择左上角 创建对等身份认证。
- 根据模板编辑,保存即可。
修改对等身份认证
- 从控制台选择菜单 网格安全中心 -> 对等身份认证。
- 选择命名空间,默认展示当前命名空间下的对等身份认证策略,选择操作栏的编辑功能。
- 编辑保存即可。
删除对等身份认证
- 从服务网格控制台选择菜单 网格安全中心 -> 对等身份认证。
- 选择命名空间,默认展示当前命名空间下的对等身份认证策略,选择操作栏的删除功能删除指定的策略配置。
PeerAuthentication配置说明:
| 字段 | 类型 | 必选 | 说明 |
|---|---|---|---|
| selector | WorkloadSelector | No | 工作负载选择器,根据标签选择策略生效的工作负载。 |
| mtls | MutualTLS | No | Mtsl配置,MutualTLS.mode可选值: 1,UNSET:未定义,默认继承父层级配置(命名空间级或者全局),如果父层级不存在则默认为PERMISSIVE。 2,DISABLE:禁用mTLS认证,采用明文传输。 3,PERMISSIVE:同时支持mTLS和明文。 4,STRICT:只支持mTLS模式。 |
| portLevelMtls | map<uint32, MutualTLS> | No | 端口级对等身份认证策略。 |
