---
title: Istio 出站 mTLS 与证书治理(Egress TLS Origination 与策略验证)
date: 2025-11-26
keywords:
- mTLS
- Egress Gateway
- TLS Origination
- SNI
- ServiceEntry
- DestinationRule
description: 通过Egress Gateway进行TLS Origination与出站mTLS控制, 管理外部证书与SNI策略, 提供可观测与可验证的出站访问治理方案。
categories:
- 文章资讯
- 技术教程
---
概述
Istio可在Egress Gateway执行TLS Origination, 将网格内部明文流量在出口处升级为TLS, 并集中管理证书、SNI与访问策略, 满足合规与审计需求。
关键实践与参数
- 出站控制: 使用
ServiceEntry声明外部主机与端口 - 网关路由:
VirtualService将流量路由至istio-egressgateway - TLS设置: 在
DestinationRule中配置tls.mode=SIMPLE与sni - 证书治理: 统一管理CA与证书轮换, 挂载至网关
- 可观测: 通过出口处指标与访问日志审计
示例/配置/实现
apiVersion: networking.istio.io/v1alpha3
kind: ServiceEntry
metadata:
name: external-api
spec:
hosts: ["api.external.com"]
ports:
- number: 443
name: https
protocol: TLS
location: MESH_EXTERNAL
resolution: DNS
---
apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
name: external-egress
spec:
hosts: ["api.external.com"]
gateways: ["istio-egressgateway"]
tls:
- match:
- sniHosts: ["api.external.com"]
route:
- destination:
host: istio-egressgateway.istio-system.svc.cluster.local
port:
number: 443
---
apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
name: external-dr
spec:
host: api.external.com
trafficPolicy:
tls:
mode: SIMPLE
sni: api.external.com
caCertificates: /etc/istio/egress-certs/ca.crt
验证
- 出站握手: 从网格内Pod访问外部域名, 确认在出口处完成TLS握手与SNI匹配
- 证书有效性: 载入无效证书时请求失败并产生告警, 替换后恢复
- 审计记录: 在Egress网关处查看指标与访问日志, 确认请求路径与状态码
- 策略生效: 修改
VirtualService路由或DestinationRuleTLS设置后行为变化符合预期
注意事项
- 证书与CA需定期轮换, 保持文件权限与挂载安全
- 外部服务可能使用不同SNI策略, 需按域名精确匹配
- 与
Sidecar出站限制配合, 防止绕过出口治理 - 在多域出口场景下使用独立DR与证书集, 防止配置串扰
发表评论 取消回复