Citadel

Istio 1.5 是一个具有重大变革的版本。长久以来，面对社区对 Istio 的性能和易用性的诟病，Istio 团队终于正视自身的问题，在当前版本中彻底推翻了原有控制平面的架构，完成了重建。正如 Simplified Istio 文中所说： 复杂是万恶之源，让我们停止焦虑，爱上单体。 Istio 1.5 回归单体，无论架构和使用方式都发生了巨大变化。因此笔者决定对 1.5 的变化内容做深入解读，以便开发者可以更好的理解和学习新版本，为使用和升级提供参考。 参考： 官方文档， https://istio.io/zh/docs/ 概念 安装 任务 运维 参考 示例 特性介绍， https://www.servicemesher.com/blog/istio-1-5-explanation/ 架构调整 这部分主要分析 Istio 1.5 在架构上的调整，这也是该版本最核心的变化。主要包括重建了控制平面，将原有的多个组件整合为一个单体结构 istiod ；同时废弃了被诟病已久的 Mixer 组件。还对是否向后兼容的部分也做了说明，如果你要从 1.4.x 版本升级到 1.5 必须知道这些变化。 重建控制平面 官方使用的是重建（Restructuring）而不是重构（Refactoring）一词，可见其变化之大。在 Istio 1.5 中，控制平面将使用新的部署模式

创建 istio 目录 [root@centos-110 ~]# mkdir istio [root@centos-110 ~]# cd istio 方案一： # 去下面的地址下载压缩包 # https://github.com/istio/istio/releases $ wget https://github.com/istio/istio/releases/download/1.0.0/istio-1.0.0-linux.tar.gz $ tar -zvxf istio-1.0.0-linux.tar.gz 方案二： # 使用官方的安装脚本安装 运行如下命令，自动下载并解压最新的发布包 $ curl -L https://git.io/getLatestIstio | sh - [root@centos-110 istio]# curl -L https://git.io/getLatestIstio | sh - % Total % Received % Xferd Average Speed Time Time Time Current Dload Upload Total Spent Left Speed 0 0 0 0 0 0 0 0 --:--:-- 0:00:09 --:--:-- 0 100 1456 100 1456 0 0 73 0 0:00:19 0:00

上周给大家分享了一篇 必读！Istio Service Mesh中的流量管理概念解析 ，这次再给大家分享一篇Istio中重要功能和概念——授权（authorization）与鉴权（authentication）的解析。 将单体应用程序分解为微服务可提供各种好处，包括更好的灵活性、可伸缩性以及服务复用的能力。但是，微服务也有特殊的安全需求： 为了抵御中间人攻击，需要流量加密。 为了提供灵活的服务访问控制，需要双向 TLS 和细粒度的访问策略。 要审核谁在什么时候做了什么，需要审计工具。 Istio Security 尝试提供全面的安全解决方案来解决所有这些问题。 本页概述了如何使用 Istio 的安全功能来保护您的服务，无论您在何处运行它们。特别是 Istio 安全性可以缓解针对您的数据，端点，通信和平台的内部和外部威胁。 Istio 安全概述 Istio 安全功能提供强大的身份，强大的策略，透明的 TLS 加密以及用于保护您的服务和数据的身份验证，授权和审计（AAA）工具。 Istio 安全的目标是： 默认安全 : 应用程序代码和基础结构无需更改 深度防御 : 与现有安全系统集成，提供多层防御 零信任网络 : 在不受信任的网络上构建安全解决方案 访问我们的Mutual TLS Migration docs，开始在部署的服务中使用Istio安全功能。 请访问我们的安全任务