认证策略是对服务收到的请求生效的。要想在双向TLS中指定客户端认证策略,需要在DetinationRule中设置TLSSettings。和其他的Istio配置一样,可以用.yaml文件的形式来编写认证策略,然后使用kubectl或者istioctl进行部署。
下面例子中的认证策略要求reviews服务必须使用双向TLS:
apiVersion: "authentication.istio.io/v1alpha1"
kind: "Policy"
metadata:
name: "reviews"
spec:
targets:
- name: reviews
peers:
- mtls: {}
图7-4 认证策略的种类