JosephThatwho的博客

微服务带来灵活性、可伸缩性和复用性的同时，还需要考虑一下安全问题： 使用流量加密组织中间人攻击 提供灵活的访问控制，比如双向TLS加密和细粒度的访问策略 检索谁在什么时间做了什么操作，这需要审计工具 Istio可以处理内外部的威胁，给数据、端点、通信和平台提供安全性。 Istio提供了强身份认证、权限策略、传输TLS加密以及认证、授权和审计（AAA）工具。 上层架构 Istio的安全性涉及多个部分： 用于密钥和证书管理的证书颁发机构（CA） 配置API服务器分发给代理 认证策略 鉴权策略 安全命名

流量管理用于控制服务之间的流量和接口调用。使用istio可以轻松配置服务级别的属性，比如断路器、超时时间和重试策略。并且可以轻松的执行A/B测试、金丝雀发布以及按百分比流量分割的策略发布等任务。 istio的流量管理模型基于Enovy，和每个服务一起部署。所有网格服务发送和接收的流量（即数据面板中的流量）都会通过Envoy代理，有助于在服务变动时定向或管理网格间的流量。 概述 为了在网格间定向流量，Istio需要知道系统中的endponit（在k8s中，endpoint记录服务对应的pod的访问地址，存储在