Service Mesh mTLS 与流量治理（Istio PeerAuthentication、DestinationRule、超时与熔断）

Service Mesh mTLS 与流量治理（Istio PeerAuthentication、DestinationRule、超时与熔断）概述服务网格通过 Sidecar 实现流量治理与零信任。本文以 Istio 为例配置 mTLS 与熔断超时。关键实践与参数mTLS：`PeerAuthentication` 设定 `mtls: STRICT`；`DestinationRule` 指定 `tls: ISTIO_MUTUAL`。超时与熔断：`connectionPool`、`outlierDetection` 与 `trafficPolicy` 配置最大连接、失败阈值与隔离。配置示例apiVersion: security.istio.io/v1beta1 kind: PeerAuthentication metadata: name: default namespace: app spec: mtls: mode: STRICT --- apiVersion: networking.istio.io/v1beta1 kind: DestinationRule metadata: name: api-dr namespace: app spec: host: api.app.svc.cluster.local trafficPolicy: tls: mode: ISTIO_MUTUAL connectionPool: tcp: maxConnections: 100 outlierDetection: consecutive5xxErrors: 5 interval: 5s baseEjectionTime: 30s maxEjectionPercent: 50 验证方法通过 `istioctl` 与 Kiali 检查 mTLS 状态与证书链。故障演练触发熔断，观察逐出与恢复行为。指标：错误率、熔断触发次数、重试命中与延迟分布。注意事项与 HPA/VPA 协同，避免扩缩导致证书或连接抖动。对跨命名空间与虚拟服务的 TLS 模式一致性进行核查。零信任要求全链路启用 mTLS 与严格身份校验。