istio.io/content/zh/docs/reference/glossary/identity.md

29 lines
1.4 KiB
Markdown
Raw Permalink Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

---
title: Identity
---
身份是基本的安全基础结构概念。Istio 的身份模型是基于第一阶级的工作负载身份。在服务之间的通信开始时,双方使用身份信息交换证书来实现相互认证的目的。
客户端根据其安全的命名信息检查服务器的身份,以便确定服务器是否被授权运行服务。
服务器检查客户端的身份,以确定客户端可以访问的信息。服务器基于客户端的身份,来确定配置的策略。
通过使用身份,服务器可以审核访问信息的时间和特定客户端访问的信息内容。还可以根据客户使用的服务向他们收费,并拒绝任何未付款的客户访问服务。
Istio 身份模型非常灵活粒度足以代表单个用户、单个服务或者一组服务。在没有第一阶级服务身份的平台Istio 可以使用其他的身份为服务实例进行分组,例如服务名称。
Istio 在不同的平台上支持以下服务身份:
- Kubernetes: Kubernetes 服务账户
- GKE/GCE: GCP 服务账户
- GCP: GCP 服务账户
- AWS: AWS IAM 用户/角色 账户
- 本地 (非 Kubernetes用户账户、客户服务账户、服务名称、Istio 服务账户,或者 GCP 服务账户。
客户服务账户指现有的服务账户,就像客户身份目录中管理的身份。
通常,[信任域](/zh/docs/reference/glossary/#trust-domain)指定身份所属的网格。