各位,
讨论一个问题,使用Istio做服务治理的场景,南北流量安全策略一般是怎么做的呢?
现有的业务网关架构图如上,网关做JWT认证和终结,后续权限校验放后面的业务系统完成。如果采用istio架构,IstioGateway不知道是有也有类似的功能可以实现认证和鉴权功能,后面业务系统则完全去除Security模块。
在Istio架构下如果还是采用传统业务网关的方式,那么业务网关又得把流量治理(熔断、灰度等)的逻辑完全实现一遍,这是IstioGateway就显得比较鸡肋了。
Istio目前提供了两种认证方式:
1、服务到服务的认证,以验证进行连接的客户端。Istio 提供双向 TLS 作为传输认证的全栈解决方案,无需更改服务代码就可以启用它。
2、用于最终用户认证,以验证附加到请求的凭据。 Istio 使用 JSON Web Token(JWT)验证启用请求级认证;
对于鉴权Istio采用RBAC进行鉴权,如果要把业务系统的RBAC逻辑移植到Istio不知改方案是否可行,希望大家讨论一下。
