通过 Istio Zufar Dhiyaulhaq 和 Vijay Dhama 自动与 GoPay 合作伙伴进行 mTLS 通信

核心观点与关键数据

• GoPay 系统规模：拥有数百名开发人员，多个 Kubernetes 集群，250 多个微服务，每周部署 3000 多次，涉及 1.5 亿多次内部 API 调用，服务类型包括 REST 和 gRPC，使用 Golang、Java、Clojure 和 Ruby 编写。
• 技术背景：早期使用 gRPC、Envoy 和 Consul 进行服务发现和负载平衡，但管理维护成本高。

技术迁移与实施

• 迁移至 Istio：从 Envoy 迁移至 Istio，利用 EnvoyFilters 便于集成，Istio 的抽象概念简化管理。
• 相互 TLS (mTLS) 实施前的问题：
  • 使用 HTTPS + IP 白名单，非安全团队推荐，维护大量特定 IP 端点工作繁重，存在内部攻击安全担忧。
• 实现相互 TLS 的解决方案：
  • 集中式证书管理：通过 Kubernetes 集群同步证书生命周期，支持 VM 与集群同步。
  • 入口相互 TLS：使用 Istio 网关 mode: mutual，额外授权政策添加 IP 允许列表，利用 subjectAltNames 验证客户端 SAN。
  • 出口相互 TLS：使用出口 TLS，客户端通过 sidecar 自动升级到相互 TLS，sidecar 注释配置 sidecar.istio.io/userVolumeMount。

挑战与未来工程

• 挑战：客户端出口通信出现 503 错误，通过虚拟服务对象添加重试机制解决。
• 未来工程：计划将 Egress TLS 起始机制迁移至 Egress Gateway，因当前 Istio 1.6 版本不支持通过 SDS 添加证书。