服务网格上的 API 网关 - 完全零信任 - Anil Attuluri 和 Shriram Sharma

IstioCon 2022 研报正文总结

核心观点与主题

• 研报探讨了将 API 网关集成到服务网格（Service Mesh）中，如何实现完全零信任架构。
• 核心观点是：将 API 网关部署在服务网格的 Sidecar 实例上，能够通过 TLS 终止和 mTLS 实现更安全的通信。

关键数据与背景

• Intuit 公司规模：60M 收入，200+ 集群，7000+ 命名空间，77,320 个节点，900+ 团队，5000+ 开发人员。
• API 网关部署：提出将 API 网关移动到服务网格中，通过 Sidecar 实现 TLS 终止。

技术实现细节

• TLS 终止：在 Sidecar 上实现 TLS 终止，而非传统网关，以增强安全性。
• mTLS 配置示例：
  • PeerAuthentication 配置文件示例，指定 STRICT mTLS 模式。
  • 服务和 Sidecar 配置，包括端口、选择器和网络策略。
• 演示与实施：
  • 提供了 Sidecar TLS/mTLS 的演示。
  • 计划通过 GitHub 问题改进用户体验，并推动相关 PR 实施。

研究结论与未来方向

• 将 API 网关部署在服务网格中，通过 Sidecar 实现 TLS 终止，能够显著提升系统的零信任安全性。
• 未来计划通过 GitHub 问题优化 UX，并推动 Istio RFC 和生态项目（如海军上将项目、多集群配置）的发展。
• 相关讲座主题包括使用 Istio 和 OpenAPI 3 的 API 运行时业务流程。