zh-translation: /faq/security (#5400)

* zh-translation: /faq/security/auth-mix-and-match.md (#1422) * zh-translation: /faq/security/non-istio-to-istio.md (#1427) * zh-translation: /faq/security: not translate namespace * zh-tran-security: /docs/concepts/security/index.md : fix anchor
2019-11-06 19:21:13 +08:00 · 2019-11-06 19:21:13 +08:00 · 60ec9aafc7
parent 3f8fe03128
commit 60ec9aafc7
3 changed files with 8 additions and 9 deletions
--- a/content/zh/docs/concepts/security/index.md
+++ b/content/zh/docs/concepts/security/index.md
@ -264,7 +264,7 @@ Istio 双向 TLS 具有一个宽容模式（permissive mode），允许 service

 Istio 将两种类型的身份验证以及凭证中的其他声明（如果适用）输出到下一层：[授权](/zh/docs/concepts/security/#authorization)。此外，运维人员可以指定将传输或原始身份验证中的哪个身份作为`委托人`使用。

-### 认证策略{#authentication policies}
+### 认证策略{#authentication-policies}

 本节中提供了更多 Istio 认证策略方面的细节。正如[认证架构](/zh/docs/concepts/security/#authentication-architecture)中所说的，认证策略是对服务收到的请求生效的。要在双向 TLS 中指定客户端认证策略，需要在 `DetinationRule` 中设置 `TLSSettings`。[TLS 设置参考文档](/zh/docs/reference/config/networking/destination-rule/#TLSSettings)中有更多这方面的信息。和其他的 Istio 配置一样，可以用 `.yaml` 文件的形式来编写认证策略，然后使用 `istioctl` 进行部署。

--- a/content/zh/faq/security/auth-mix-and-match.md
+++ b/content/zh/faq/security/auth-mix-and-match.md
@ -1,7 +1,7 @@
 ---
-title: Can I enable mutual TLS for some services while leaving it disabled for other services in the same cluster?
+title: 在同一集群中，我可以为部分服务开启 TLS 双向认证，并为其它服务关闭 TLS 双向认证吗？
 weight: 20
 ---

-[Authentication policy](/docs/concepts/security/#authentication-policies) can be mesh-wide (which affects all services in the mesh), namespace-wide
-(all services in the same namespace) or service specific. You can have policy or policies to setup mutual TLS for services in a cluster in any way as you want.
+[认证策略](/zh/docs/concepts/security/#authentication-policies) 可以配置为 mesh-wide（影响网络中的所有服务）、namespace-wide（namespace 中的所有服务）或某个特定服务。
+您可以根据需要对集群中的服务配置一种或多种 TLS 双向认证策略。
--- a/content/zh/faq/security/non-istio-to-istio.md
+++ b/content/zh/faq/security/non-istio-to-istio.md
@ -1,8 +1,7 @@
 ---
-title: If mutual TLS is globally enabled, can non-Istio services access Istio services?
+title: 如果启用了全局 TLS 双向认证，那么非 Istio 服务还可以访问 Istio 服务吗？
 weight: 30
 ---
-Non-Istio services cannot communicate to Istio services unless they can present a valid certificate, which is less likely to happen.
-This is the expected behavior for *mutual TLS*. However, you can override the
-global flag for specific namespaces or services. See
-[task](/docs/tasks/security/authn-policy) for more details.
+非 Istio 服务无法与 Istio 服务通信。除非它能出示有效证书，但这基本不可能。
+这是 *双向 TLS 认证* 的预期表现。
+但是，您可以为特定的 namespace 或服务重写全局标志。详见：[任务](/zh/docs/tasks/security/authn-policy)