Istio mTLS 与授权策略 AuthorizationPolicy 实战

概览与核心价值Istio 通过 mTLS 提供加密与身份认证，结合 AuthorizationPolicy 可实现服务间的精细化访问控制，落地零信任架构。启用 mTLS（命名空间级）apiVersion: security.istio.io/v1beta1 kind: PeerAuthentication metadata: name: default namespace: prod spec: mtls: mode: STRICT 授权策略示例：仅允许 reviews 访问 ratingsapiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: ratings-policy namespace: prod spec: selector: matchLabels: app: ratings rules: - from: - source: principals: ["cluster.local/ns/prod/sa/reviews"] to: - operation: methods: ["GET"] 参数与验证环境：`Istio 1.20`、`Kubernetes v1.28`。验证点：mTLS 启用后服务间通信加密，非 mTLS 请求被拒绝未在白名单中的服务访问 `ratings` 将被拒日志与 metrics 显示授权策略命中与拒绝统计最佳实践自上而下启用 `STRICT` mTLS，减少明文通信风险使用 ServiceAccount 标识来源主体，避免基于标签的弱授权逐步收紧授权策略并配合审计与告警结论借助 mTLS 与 AuthorizationPolicy，Istio 能在服务间实现零信任与精细化治理，策略生效与验证简单可行。