我们可以设定身份认证策略为Istio网格中接收请求的服务指定身份认证要求,身份认证架构如图7-3所示。通常来说,我们会使用yaml文件来配置策略,策略将保存在Istio配置存储中。作为Istio控制器组件的Pilot,会一直监听配置存储的变化。在任何策略变更后,Pilot会将新策略转换为适当的配置,下发给Envoy,告知其如何执行所需的身份认证机制。Pilot可以获取公钥并将其附加到JWT进行配置认证。或者,Pilot提供Istio系统管理的密钥和证书的路径,并将它们安装到工作负载Pod中,以进行双向TLS。Istio异步发送配置到目标端点;代理收到配置后,新的身份认证要求会立即生效。
图7-3 身份认证策略的架构