istio
/
istio.io
mirror of https://github.com/istio/istio.io.git
1
0
Fork 0
Code Issues Packages Projects Releases Wiki Activity
istio.io/content/zh/docs/reference/glossary/identity.md

1.4 KiB
Raw Permalink Blame History

title
Identity

身份是基本的安全基础结构概念。Istio 的身份模型是基于第一阶级的工作负载身份。在服务之间的通信开始时,双方使用身份信息交换证书来实现相互认证的目的。

客户端根据其安全的命名信息检查服务器的身份,以便确定服务器是否被授权运行服务。

服务器检查客户端的身份,以确定客户端可以访问的信息。服务器基于客户端的身份,来确定配置的策略。

通过使用身份,服务器可以审核访问信息的时间和特定客户端访问的信息内容。还可以根据客户使用的服务向他们收费,并拒绝任何未付款的客户访问服务。

Istio 身份模型非常灵活粒度足以代表单个用户、单个服务或者一组服务。在没有第一阶级服务身份的平台Istio 可以使用其他的身份为服务实例进行分组,例如服务名称。

Istio 在不同的平台上支持以下服务身份:

  • Kubernetes: Kubernetes 服务账户

  • GKE/GCE: GCP 服务账户

  • GCP: GCP 服务账户

  • AWS: AWS IAM 用户/角色 账户

  • 本地 (非 Kubernetes用户账户、客户服务账户、服务名称、Istio 服务账户,或者 GCP 服务账户。 客户服务账户指现有的服务账户,就像客户身份目录中管理的身份。

通常,信任域指定身份所属的网格。