mirror of https://github.com/istio/istio.io.git
105 lines
29 KiB
HTML
105 lines
29 KiB
HTML
<!doctype html><html lang=zh itemscope itemtype=https://schema.org/WebPage><head><meta charset=utf-8><meta http-equiv=X-UA-Compatible content="IE=edge"><meta name=viewport content="width=device-width,initial-scale=1,shrink-to-fit=no"><meta name=theme-color content="#466BB0"><meta name=title content="Ambient Mesh 安全深入探讨"><meta name=description content="深入研究最近发布的 Istio 无边车数据平面 Ambient Mesh 的安全隐患。"><meta name=author content="Ethan Jackson (Google), Yuval Kohavi (Solo.io), Justin Pettit (Google), Christian Posta (Solo.io)"><meta name=keywords content="microservices,services,mesh,ambient"><meta property="og:title" content="Ambient Mesh 安全深入探讨"><meta property="og:type" content="website"><meta property="og:description" content="深入研究最近发布的 Istio 无边车数据平面 Ambient Mesh 的安全隐患。"><meta property="og:url" content="/v1.24/zh/blog/2022/ambient-security/"><meta property="og:image" content="https://raw.githubusercontent.com/istio/istio.io/master/static/img/istio-social.png"><meta property="og:image:alt" content="The Istio sailboat logo"><meta property="og:image:width" content="4096"><meta property="og:image:height" content="2048"><meta property="og:site_name" content="Istio"><meta name=twitter:card content="summary_large_image"><meta name=twitter:site content="@IstioMesh"><title>Istioldie 1.24 / Ambient Mesh 安全深入探讨</title>
|
||
<script async src="https://www.googletagmanager.com/gtag/js?id=G-5XBWY4YJ1E"></script><script>window.dataLayer=window.dataLayer||[];function gtag(){dataLayer.push(arguments)}gtag("js",new Date),gtag("config","G-5XBWY4YJ1E")</script><link rel=alternate type=application/rss+xml title="Istio Blog" href=/v1.24/blog/feed.xml><link rel=alternate type=application/rss+xml title="Istio News" href=/v1.24/news/feed.xml><link rel=alternate type=application/rss+xml title="Istio Blog and News" href=/v1.24/feed.xml><link rel="shortcut icon" href=/v1.24/favicons/favicon.ico><link rel=apple-touch-icon href=/v1.24/favicons/apple-touch-icon-180x180.png sizes=180x180><link rel=icon type=image/png href=/v1.24/favicons/favicon-16x16.png sizes=16x16><link rel=icon type=image/png href=/v1.24/favicons/favicon-32x32.png sizes=32x32><link rel=icon type=image/png href=/v1.24/favicons/android-36x36.png sizes=36x36><link rel=icon type=image/png href=/v1.24/favicons/android-48x48.png sizes=48x48><link rel=icon type=image/png href=/v1.24/favicons/android-72x72.png sizes=72x72><link rel=icon type=image/png href=/v1.24/favicons/android-96x96.png sizes=96xW96><link rel=icon type=image/png href=/v1.24/favicons/android-144x144.png sizes=144x144><link rel=icon type=image/png href=/v1.24/favicons/android-192x192.png sizes=192x192><link rel=icon type=image/svg+xml href=/v1.24/favicons/favicon.svg><link rel=icon type=image/png href=/v1.24/favicons/favicon.png><link rel=mask-icon href=/v1.24/favicons/safari-pinned-tab.svg color=#466BB0><link rel=manifest href=/v1.24/manifest.json><meta name=apple-mobile-web-app-title content="Istio"><meta name=application-name content="Istio"><meta name=msapplication-config content="/browserconfig.xml"><meta name=msapplication-TileColor content="#466BB0"><meta name=theme-color content="#466BB0"><link rel=stylesheet href=/v1.24/css/style.min.38f1afbdf6f8efdb4fe991ff2a53ca1c801b5c4602dea2963da44df7ceaacfb8.css integrity="sha256-OPGvvfb479tP6ZH/KlPKHIAbXEYC3qKWPaRN986qz7g=" crossorigin=anonymous><link rel=preconnect href=https://fonts.googleapis.com><link rel=preconnect href=https://fonts.gstatic.com crossorigin><link rel=stylesheet href="https://fonts.googleapis.com/css2?family=Barlow:ital,wght@0,400;0,500;0,600;0,700;1,400;1,600&display=swap"><script src=/v1.24/js/themes_init.min.js></script></head><body class="language-unknown archive-site"><script>const branchName="release-1.24",docTitle="Ambient Mesh 安全深入探讨",iconFile="/v1.24//img/icons.svg",buttonCopy="复制到剪切板",buttonPrint="打印",buttonDownload="下载"</script><script src="https://www.google.com/cse/brand?form=search-form" defer></script><script src=/v1.24/js/all.min.js data-manual defer></script><header class=main-navigation><nav class="main-navigation-wrapper container-l"><div class=main-navigation-header><a id=brand href=/v1.24/zh/ aria-label=logotype><span class=logo><svg width="128" height="60" viewBox="0 0 128 60"><path d="M58.434 48.823A.441.441.0 0158.3 48.497V22.583a.444.444.0 01.134-.326.446.446.0 01.327-.134h3.527a.447.447.0 01.325.134.447.447.0 01.134.326v25.914a.443.443.0 01-.134.326.444.444.0 01-.325.134h-3.527a.444.444.0 01-.327-.134z"/><path d="m70.969 48.477a6.556 6.556.0 01-2.818-1.955 4.338 4.338.0 01-1-2.78v-.345a.443.443.0 01.134-.326.444.444.0 01.326-.135h3.374a.444.444.0 01.326.135.445.445.0 01.134.326v.077a2.014 2.014.0 001.054 1.667 4.672 4.672.0 002.664.709 4.446 4.446.0 002.492-.633 1.862 1.862.0 00.958-1.591 1.426 1.426.0 00-.786-1.322 12.7 12.7.0 00-2.549-.939l-1.457-.46a21.526 21.526.0 01-3.3-1.227 6.57 6.57.0 01-2.262-1.783 4.435 4.435.0 01-.92-2.894 5.081 5.081.0 012.109-4.275 8.993 8.993.0 015.558-1.591 10.445 10.445.0 014.1.748 6.3 6.3.0 012.722 2.07 5 5 0 01.958 3.009.441.441.0 01-.134.326.441.441.0 01-.325.134h-3.258a.441.441.0 01-.326-.134.443.443.0 01-.134-.326 1.974 1.974.0 00-.978-1.667 4.647 4.647.0 00-2.665-.671 4.741 4.741.0 00-2.435.556 1.724 1.724.0 00-.938 1.553 1.512 1.512.0 00.9 1.4 15.875 15.875.0 003.01 1.055l.843.229a27.368 27.368.0 013.412 1.246 6.67 6.67.0 012.338 1.763 4.387 4.387.0 01.958 2.933 4.988 4.988.0 01-2.146 4.275 9.543 9.543.0 01-5.712 1.552 11.626 11.626.0 01-4.227-.709z"/><path d="m97.039 32.837a.443.443.0 01-.326.135h-3.911a.169.169.0 00-.191.192v9.239a2.951 2.951.0 00.632 2.108 2.7 2.7.0 002.013.652h1.15a.444.444.0 01.325.134.441.441.0 01.134.326v2.875a.471.471.0 01-.459.5l-1.994.039a8 8 0 01-4.524-1.035q-1.495-1.035-1.533-3.91V33.166A.17.17.0 0088.164 32.974H85.978A.441.441.0 0185.652 32.839.441.441.0 0185.518 32.513V29.83a.441.441.0 01.134-.326.444.444.0 01.326-.135h2.186a.169.169.0 00.191-.192v-4.485a.438.438.0 01.134-.326.44.44.0 01.325-.134h3.336a.443.443.0 01.325.134.442.442.0 01.135.326v4.485a.169.169.0 00.191.192h3.911a.446.446.0 01.326.135.446.446.0 01.134.326v2.683a.446.446.0 01-.133.324z"/><path d="m101.694 25.917a2.645 2.645.0 01-.767-1.955 2.65 2.65.0 01.767-1.955 2.65 2.65.0 011.955-.767 2.65 2.65.0 011.955.767 2.652 2.652.0 01.767 1.955 2.647 2.647.0 01-.767 1.955 2.646 2.646.0 01-1.955.767 2.645 2.645.0 01-1.955-.767zm-.211 22.906a.441.441.0 01-.134-.326V29.79a.444.444.0 01.134-.326.446.446.0 01.326-.134h3.527a.446.446.0 01.326.134.445.445.0 01.134.326v18.707a.443.443.0 01-.134.326.443.443.0 01-.326.134h-3.527a.443.443.0 01-.326-.134z"/><path d="m114.019 47.734a8.1 8.1.0 01-3.047-4.255 14.439 14.439.0 01-.652-4.37 14.3 14.3.0 01.614-4.371A7.869 7.869.0 01114 30.56a9.072 9.072.0 015.252-1.5 8.543 8.543.0 015.041 1.5 7.985 7.985.0 013.009 4.14 12.439 12.439.0 01.69 4.37 13.793 13.793.0 01-.651 4.37 8.255 8.255.0 01-3.028 4.275 8.475 8.475.0 01-5.1 1.553 8.754 8.754.0 01-5.194-1.534zm7.629-3.1a4.536 4.536.0 001.476-2.262 11.335 11.335.0 00.383-3.221 10.618 10.618.0 00-.383-3.22 4.169 4.169.0 00-1.457-2.243 4.066 4.066.0 00-2.531-.785 3.942 3.942.0 00-2.453.785 4.376 4.376.0 00-1.5 2.243 11.839 11.839.0 00-.383 3.22 11.84 11.84.0 00.383 3.221 4.222 4.222.0 001.476 2.262 4.075 4.075.0 002.549.8 3.8 3.8.0 002.44-.809z"/><path d="m15.105 32.057v15.565a.059.059.0 01-.049.059L.069 50.25A.06.06.0 01.005 50.167l14.987-33.47a.06.06.0 01.114.025z"/><path d="m17.631 23.087v24.6a.06.06.0 00.053.059l22.449 2.507a.06.06.0 00.061-.084L17.745.032a.06.06.0 00-.114.024z"/><path d="m39.961 52.548-24.833 7.45a.062.062.0 01-.043.0L.079 52.548a.059.059.0 01.026-.113h39.839a.06.06.0 01.017.113z"/></svg></span>
|
||
</a><button id=hamburger class=main-navigation-toggle aria-label="Open navigation">
|
||
<svg class="icon menu-hamburger"><use xlink:href="/v1.24/img/icons.svg#menu-hamburger"/></svg>
|
||
</button>
|
||
<button id=menu-close class=main-navigation-toggle aria-label="Close navigation"><svg class="icon menu-close"><use xlink:href="/v1.24/img/icons.svg#menu-close"/></svg></button></div><div id=header-links class=main-navigation-links-wrapper><ul class=main-navigation-links><li class=main-navigation-links-item><a class="main-navigation-links-link has-dropdown"><span>关于</span><svg class="icon dropdown-arrow"><use xlink:href="/v1.24/img/icons.svg#dropdown-arrow"/></svg></a><ul class=main-navigation-links-dropdown><li class=main-navigation-links-dropdown-item><a href=/v1.24/zh/about/service-mesh class=main-navigation-links-link>服务网格</a></li><li class=main-navigation-links-dropdown-item><a href=/v1.24/zh/about/solutions class=main-navigation-links-link>解决方案</a></li><li class=main-navigation-links-dropdown-item><a href=/v1.24/zh/about/case-studies class=main-navigation-links-link>案例学习</a></li><li class=main-navigation-links-dropdown-item><a href=/v1.24/zh/about/ecosystem class=main-navigation-links-link>生态系统</a></li><li class=main-navigation-links-dropdown-item><a href=/v1.24/zh/about/deployment class=main-navigation-links-link>部署</a></li><li class=main-navigation-links-dropdown-item><a href=/v1.24/zh/about/faq class=main-navigation-links-link>FAQ</a></li></ul></li><li class=main-navigation-links-item><a href=/v1.24/zh/blog/ class=main-navigation-links-link><span>博客</span></a></li><li class=main-navigation-links-item><a href=/v1.24/zh/news/ class=main-navigation-links-link><span>新闻</span></a></li><li class=main-navigation-links-item><a href=/v1.24/zh/get-involved/ class=main-navigation-links-link><span>加入我们</span></a></li><li class=main-navigation-links-item><a href=/v1.24/zh/docs/ class=main-navigation-links-link><span>文档</span></a></li></ul><div class=main-navigation-footer><button id=search-show class=search-show title='搜索 istio.io' aria-label=搜索><svg class="icon magnifier"><use xlink:href="/v1.24/img/icons.svg#magnifier"/></svg></button>
|
||
<a href=/v1.24/zh/docs/setup/getting-started class="btn btn--primary" id=try-istio>试用 Istio</a></div></div><form id=search-form class=search name=cse role=search><input type=hidden name=cx value=002184991200833970123:iwwf17ikgf4>
|
||
<input type=hidden name=ie value=utf-8>
|
||
<input type=hidden name=hl value=zh>
|
||
<input type=hidden id=search-page-url value=/zh/search>
|
||
<input id=search-textbox class="search-textbox form-control" name=q type=search aria-label='搜索 istio.io' placeholder=搜索>
|
||
<button id=search-close title=取消搜索 type=reset aria-label=取消搜索><svg class="icon menu-close"><use xlink:href="/v1.24/img/icons.svg#menu-close"/></svg></button></form></nav></header><div class=banner-container></div><article class=post itemscope itemtype=http://schema.org/BlogPosting><div class=header-content><h1>Ambient Mesh 安全深入探讨</h1><p>深入研究最近发布的 Istio 无边车数据平面 Ambient Mesh 的安全隐患。</p></div><p class=post-author>Sep 7, 2022 <span>| </span>作者 Ethan Jackson - Google, Yuval Kohavi - Solo.io, Justin Pettit - Google, Christian Posta - Solo.io</p><div><p>我们最近发布了名为 Istio Ambient Mesh 的一种 Istio 无边车数据平面。
|
||
正如在<a href=/v1.24/zh/blog/2022/introducing-ambient-mesh/>公告博客</a>中的所述,
|
||
我们对 Ambient Mesh 的首要关注是简化操作、更广泛的应用程序兼容性、
|
||
降低基础设施成本以及提高性能。在设计 Ambient 数据平面时,
|
||
我们希望在不牺牲安全性或功能的前提下仔细思考对于操作、
|
||
成本和性能的平衡。随着 Ambient 的组件在应用程序 Pod 之外运行,
|
||
安全边界发生了变化 —— 我们相信这会变得更好。在此博客中,
|
||
我们将详细介绍这些更改以及它们与 Sidecar 部署模式的比较。</p><figure style=width:100%><div class=wrapper-with-intrinsic-ratio style=padding-bottom:62.850971922246224%><a data-skipendnotes=true href=/v1.24/zh/blog/2022/ambient-security/ambient-layers.png title="Ambient Mesh 数据平面分层"><img class=element-to-stretch src=/v1.24/zh/blog/2022/ambient-security/ambient-layers.png alt="Ambient Mesh 数据平面分层"></a></div><figcaption>Ambient Mesh 数据平面分层</figcaption></figure><p>回顾一下,Istio Ambient Mesh 引入了一个分层的网格数据平面,
|
||
它带有一个负责传输安全和路由的安全覆盖层,可以为需要它们的命名空间选择添加 L7 能力。
|
||
需要了解更多信息,
|
||
请参阅<a href=/v1.24/zh/blog/2022/introducing-ambient-mesh/>公告博客</a>和<a href=/v1.24/zh/blog/2022/get-started-ambient>入门博客</a>。
|
||
安全覆盖层由一个节点共享组件 ztunnel 构成,
|
||
它负责 L4 遥测功能以及以 DaemonSet 模式部署的 mTLS 功能。
|
||
网格的 L7 层由路点代理提供,这是按身份/工作负载类型部署的完整 L7 Envoy 代理。
|
||
此设计的一些核心定义包括:</p><ul><li>应用程序和数据平面分离</li><li>安全覆盖层组件近似于 CNI</li><li>简化操作更有利于安全</li><li>避免多租户 L7 代理</li><li>Sidecar 模式仍然是首推部署模式</li></ul><h2 id=separation-of-application-and-data-plane>应用程序和数据平面分离</h2><p>尽管实现 Ambient Mesh 的主要目标是为了简化服务网格的操作,
|
||
但它确实也有助于提高安全性。复杂性升高将滋生漏洞,
|
||
而企业级应用程序(及其可传递依赖项、库和框架)极其复杂且更容易出现漏洞。
|
||
无论是处理复杂的业务逻辑,还是使用 OSS 库或有缺陷的内部共享库,
|
||
用户的应用程序代码总是(内部或外部)攻击者的主要目标。如果应用程序遭到破坏,
|
||
其凭据、Secret 和密钥,以及那些安装或存储在内存中的内容都会暴露给攻击者。
|
||
再来看 Sidecar 模式,应用程序不得不接纳包括 Sidecar 及其任何相关的身份/密钥材料。
|
||
而在 Istio Ambient 模式下,数据平面组件与应用程序不会在同一个 Pod 中运行,
|
||
因此应用程序的妥协不会导致机密内容被访问。</p><p>当 Envoy 代理被作为漏洞的潜在目标怎么样?Envoy 是一个非常稳固的基础设施,
|
||
并受到严格审查,以及<a href=https://www.infoq.com/news/2018/12/envoycon-service-mesh/>在关键环境中大规模运行</a>(例如,
|
||
<a href=https://cloud.google.com/load-balancing/docs/https>在谷歌用于生产环境中的网络前端</a>)。
|
||
但是,由于 Envoy 也是软件,因此它无法避免漏洞。当这些漏洞确实出现时,
|
||
Envoy 有一个强大的 CVE 流程来识别以及快速修复它们,
|
||
并在它们有机会产生广泛影响之前将其推广给相关客户。</p><p>回到之前关于“复杂性滋生漏洞”的评论,Envoy 代理最复杂的部分是在其 L7 处理中,
|
||
事实上,从历史数据来看,Envoy 的绝大部分漏洞也确实存在于其 L7 处理堆栈中。
|
||
但是,如果您只是将 Istio 用于 mTLS 功能又当如何?当您不使用相关功能时,
|
||
为什么要冒险部署具有更高 CVE 风险的完整功能 L7 代理?而分离 L4 和 L7
|
||
网格功能就可以在这里发挥作用。在 Sidecar 部署模式中,即使您只使用一小部分功能,
|
||
您也要以妥协的方式启用整个代理,但在 Ambient 模式下,我们可以通过提供安全覆盖层以及仅根据需要在
|
||
L7 中分层限制相关功能的暴露。此外,L7 组件与应用程序完全分离运行,这也避免了提供攻击途径。</p><h2 id=pushing-l4-down-into-the-cni>将 L4 支持推进到 CNI</h2><p>Ambient 数据平面的 L4 组件是以 DaemonSet 形式,或者基于每个节点的形式来运行。
|
||
这意味着它是以共享基础设施的方式在特定节点上与其他 Pod 一同运行的。
|
||
由于该组件特别敏感,因此该组件应与节点上的其他共享组件(例如其他
|
||
CNI 代理、kube-proxy、kubelet 甚至 Linux 内核)处于同等级别。
|
||
来自工作负载的流量在识别到工作负载并选择正确的证书来表示 mTLS
|
||
连接中的该工作负载信息后被重定向到 ztunnel。</p><p>与此同时 ztunnel 为每个 Pod 提供不同的凭证,并且仅当 Pod
|
||
在当前节点上运行时才会颁发该凭证。这确保了当 ztunnel 受损时,
|
||
其影响范围控制在只有与组件处于相同节点上的 Pod 凭据可能被盗。
|
||
这是与其他包括安全 CNI 实现良好共享节点基础设施的类似方式。
|
||
ztunnel 不使用集群范围或每个节点的凭据,如果这些凭据被盗,
|
||
可能会立即危及集群中所有应用程序的流量,除非还实施了复杂的辅助授权机制。</p><p>如果我们将其与 Sidecar 模式进行比较,我们会注意到 ztunnel 是共享的,
|
||
妥协方式可能会导致节点上运行的应用程序身份信息泄露。然而,由于 ztunnel
|
||
不做任何 L7 处理,因此被攻击面大大缩减(仅 L4 处理),所以该组件中出现
|
||
CVE 的可能性低于 Istio Sidecar。此外,Sidecar 中的 CVE(具有更大的 L7
|
||
攻击面)并没有真正包含在被破坏的特定工作负载中。Sidecar 中任何严重的
|
||
CVE 都可能在网格中其他工作负载中复现。</p><h2 id=simplicity-of-operations-is-better-for-security>简化操作更有利于安全</h2><p>最终,Istio 仍然是必须被维护基础设施中的关键部分。Istio
|
||
被认可代表着应用程序已经实施了零信任网络安全的一些原则,
|
||
而至关重要的是应用程序需要按照计划或按照需求推出补丁程序。
|
||
平台团队通常有可预测的补丁推出计划或维护周期,这与应用程序的周期大不相同。
|
||
当应用程序需要新的能力和功能时,这些通常是项目工作的一部分,
|
||
应用程序可能会得到更新。这种应用程序更改、升级、框架和库补丁的方法是相当不可预测的,
|
||
这将消耗大量时间,并且不会将自身带入更安全的实践过程中。因此,
|
||
将这些安全功能保留在平台的一部分并与应用程序分离可能会带来更好的安全态势。</p><p>正如我们在公告博客中指出的那样,操作 Sidecar 可能会更加复杂,
|
||
因为它们具有侵入性(注入 Sidecar/更改 Deployment 描述符、重新启动应用程序、
|
||
容器之间的竞争条件等)。将工作负载中的 Sidecar 进行升级需要更多的计划和滚动重启,
|
||
这可能需要协调才能不导致应用程序崩溃。而使用 Ambient Mesh 时,对 ztunnel
|
||
的升级可以与任何正常的节点修补或升级同时进行,而路点代理是网络的一部分,
|
||
可以根据需要完全透明地升级到应用程序。</p><h2 id=avoiding-multi-tenant-l7-proxies>避免多租户 L7 代理</h2><p>支持 L7 协议,如 HTTP 1/2/3、gRPC、解析头信息、实现重试以及在数据平面中使用
|
||
Wasm 和/或 Lua 进行自定义操作,比支持 L4 复杂得多。
|
||
需要更多的代码来实现这些行为(包括 Lua 和 Wasm 之类的用户自定义代码),
|
||
这种复杂性可能会导致潜在的漏洞。因此,CVE 更有可能在 L7 功能的这些区域被发现。</p><figure style=width:100%><div class=wrapper-with-intrinsic-ratio style=padding-bottom:51.77696078431373%><a data-skipendnotes=true href=/v1.24/zh/blog/2022/ambient-security/ambient-l7-data-plane.png title="每个命名空间/身份都有自己的 L7 代理;没有多租户代理"><img class=element-to-stretch src=/v1.24/zh/blog/2022/ambient-security/ambient-l7-data-plane.png alt="每个命名空间/身份都有自己的 L7 代理;没有多租户代理"></a></div><figcaption>每个命名空间/身份都有自己的 L7 代理;没有多租户代理</figcaption></figure><p>在 Ambient Mesh 中,我们不会在代理中跨多个身份共享 L7 处理。
|
||
每个身份(Kubernetes 中的服务帐户)都有自己专用的 L7
|
||
代理(路点代理),这与我们使用 Sidecar 模式非常相似。
|
||
尝试将多个身份及其独特的复杂策略以及定制功能放在一起会给共享资源增加很多可变性,
|
||
最好的情况下只会导致不平等的成本归因,而最坏的情况下会导致总体代理被迫妥协。</p><h2 id=sidecars-are-still-a-first-class-supported-deployment>Sidecar 模式仍然是首推部署模式</h2><p>我们知道有些关注者对 Sidecar 模式感到满意,已知其安全边界,并希望继续使用该模式。
|
||
对于 Istio 来说,Sidecar 是网格的首推模式,平台所有者可以选择继续使用它们。
|
||
如果平台所有者想要同时支持 Sidecar 和 Ambient 两种模式也是可以的。
|
||
具有 Ambient 数据平面的工作负载可以在本地与部署了 Sidecar 的工作负载进行通信。
|
||
随着大家更好地了解 Ambient Mesh 的安全态势,我们相信 Ambient 将成为 Istio
|
||
服务网格的首选模式,并带有用于特定优化的 Sidecar。</p></div><div class=share-social><div class=heading>Share this post</div><div class=share-buttons><a href="https://www.linkedin.com/shareArticle?mini=true&url=%2fv1.24%2fzh%2fblog%2f2022%2fambient-security%2f" target=_blank><img class=share-icon src=/v1.24/img/social/linkedin.svg alt="Share to LinkedIn">
|
||
</a><a href="https://twitter.com/intent/tweet?text=Ambient%20Mesh%20%e5%ae%89%e5%85%a8%e6%b7%b1%e5%85%a5%e6%8e%a2%e8%ae%a8&url=%2fv1.24%2fzh%2fblog%2f2022%2fambient-security%2f" target=_blank><img class=share-icon src=/v1.24/img/social/twitterx.svg alt="Share to X">
|
||
</a><a href="https://www.facebook.com/sharer/sharer.php?u=%2fv1.24%2fzh%2fblog%2f2022%2fambient-security%2f" target=_blank><img class=share-icon src=/v1.24/img/social/facebook.svg alt="Share to Facebook"></a></div></div><nav class=pagenav><div class=left><a title href=/v1.24/zh/blog/2022/istio-accepted-into-cncf/ class=next-link><svg class="icon left-arrow"><use xlink:href="/v1.24/img/icons.svg#left-arrow"/></svg>官宣:CNCF 正式接受 Istio 成为孵化项目</a></div><div class=right><a title="Istio Ambient Mesh 入门分步指南。" href=/v1.24/zh/blog/2022/get-started-ambient/ class=next-link>Istio Ambient Mesh 入门<svg class="icon right-arrow"><use xlink:href="/v1.24/img/icons.svg#right-arrow"/></svg></a></div></nav></article><footer class=footer><div class="footer-wrapper container-l"><div class="user-links footer-links"><a class=channel title='Istio 的代码在 GitHub 上开发' href=https://github.com/istio/community aria-label=GitHub><svg class="icon github"><use xlink:href="/v1.24/img/icons.svg#github"/></svg>
|
||
</a><a class=channel title='如果您想深入了解 Istio 的技术细节,请查看我们日益完善的设计文档' href=https://groups.google.com/forum/#!forum/istio-team-drive-access aria-label="team drive"><svg class="icon drive"><use xlink:href="/v1.24/img/icons.svg#drive"/></svg>
|
||
</a><a class=channel title='在 Slack 上与 Istio 社区交互讨论开发问题(仅限邀请)' href=https://slack.istio.io aria-label=slack><svg class="icon slack"><use xlink:href="/v1.24/img/icons.svg#slack"/></svg>
|
||
</a><a class=channel title='Stack Overflow 中列举了针对实际问题以及部署、配置和使用 Istio 的各项回答' href=https://stackoverflow.com/questions/tagged/istio aria-label="Stack Overflow"><svg class="icon stackoverflow"><use xlink:href="/v1.24/img/icons.svg#stackoverflow"/></svg>
|
||
</a><a class=channel title='Follow us on LinkedIn to get the latest news' href=https://www.linkedin.com/company/istio/ aria-label=LinkedIn><svg class="icon linkedin"><use xlink:href="/v1.24/img/icons.svg#linkedin"/></svg>
|
||
</a><a class=channel title='关注我们的 Twitter 来获取最新信息' href=https://twitter.com/IstioMesh aria-label=Twitter><svg class="icon twitter"><use xlink:href="/v1.24/img/icons.svg#twitter"/></svg>
|
||
</a><a class=channel title='Follow us on Bluesky to get the latest news' href=https://bsky.app/profile/istio.io aria-label=Bluesky><svg class="icon bluesky"><use xlink:href="/v1.24/img/icons.svg#bluesky"/></svg>
|
||
</a><a class=channel title='Follow us on Mastodon to get the latest news' href=https://mastodon.social/@istio aria-label=Mastodon rel=me><svg class="icon mastodon"><use xlink:href="/v1.24/img/icons.svg#mastodon"/></svg></a></div><hr class=footer-separator role=separator><div class="info footer-info"><a class=logo href=/v1.24/zh/ aria-label=logotype><svg width="128" height="60" viewBox="0 0 128 60"><path d="M58.434 48.823A.441.441.0 0158.3 48.497V22.583a.444.444.0 01.134-.326.446.446.0 01.327-.134h3.527a.447.447.0 01.325.134.447.447.0 01.134.326v25.914a.443.443.0 01-.134.326.444.444.0 01-.325.134h-3.527a.444.444.0 01-.327-.134z"/><path d="m70.969 48.477a6.556 6.556.0 01-2.818-1.955 4.338 4.338.0 01-1-2.78v-.345a.443.443.0 01.134-.326.444.444.0 01.326-.135h3.374a.444.444.0 01.326.135.445.445.0 01.134.326v.077a2.014 2.014.0 001.054 1.667 4.672 4.672.0 002.664.709 4.446 4.446.0 002.492-.633 1.862 1.862.0 00.958-1.591 1.426 1.426.0 00-.786-1.322 12.7 12.7.0 00-2.549-.939l-1.457-.46a21.526 21.526.0 01-3.3-1.227 6.57 6.57.0 01-2.262-1.783 4.435 4.435.0 01-.92-2.894 5.081 5.081.0 012.109-4.275 8.993 8.993.0 015.558-1.591 10.445 10.445.0 014.1.748 6.3 6.3.0 012.722 2.07 5 5 0 01.958 3.009.441.441.0 01-.134.326.441.441.0 01-.325.134h-3.258a.441.441.0 01-.326-.134.443.443.0 01-.134-.326 1.974 1.974.0 00-.978-1.667 4.647 4.647.0 00-2.665-.671 4.741 4.741.0 00-2.435.556 1.724 1.724.0 00-.938 1.553 1.512 1.512.0 00.9 1.4 15.875 15.875.0 003.01 1.055l.843.229a27.368 27.368.0 013.412 1.246 6.67 6.67.0 012.338 1.763 4.387 4.387.0 01.958 2.933 4.988 4.988.0 01-2.146 4.275 9.543 9.543.0 01-5.712 1.552 11.626 11.626.0 01-4.227-.709z"/><path d="m97.039 32.837a.443.443.0 01-.326.135h-3.911a.169.169.0 00-.191.192v9.239a2.951 2.951.0 00.632 2.108 2.7 2.7.0 002.013.652h1.15a.444.444.0 01.325.134.441.441.0 01.134.326v2.875a.471.471.0 01-.459.5l-1.994.039a8 8 0 01-4.524-1.035q-1.495-1.035-1.533-3.91V33.166A.17.17.0 0088.164 32.974H85.978A.441.441.0 0185.652 32.839.441.441.0 0185.518 32.513V29.83a.441.441.0 01.134-.326.444.444.0 01.326-.135h2.186a.169.169.0 00.191-.192v-4.485a.438.438.0 01.134-.326.44.44.0 01.325-.134h3.336a.443.443.0 01.325.134.442.442.0 01.135.326v4.485a.169.169.0 00.191.192h3.911a.446.446.0 01.326.135.446.446.0 01.134.326v2.683a.446.446.0 01-.133.324z"/><path d="m101.694 25.917a2.645 2.645.0 01-.767-1.955 2.65 2.65.0 01.767-1.955 2.65 2.65.0 011.955-.767 2.65 2.65.0 011.955.767 2.652 2.652.0 01.767 1.955 2.647 2.647.0 01-.767 1.955 2.646 2.646.0 01-1.955.767 2.645 2.645.0 01-1.955-.767zm-.211 22.906a.441.441.0 01-.134-.326V29.79a.444.444.0 01.134-.326.446.446.0 01.326-.134h3.527a.446.446.0 01.326.134.445.445.0 01.134.326v18.707a.443.443.0 01-.134.326.443.443.0 01-.326.134h-3.527a.443.443.0 01-.326-.134z"/><path d="m114.019 47.734a8.1 8.1.0 01-3.047-4.255 14.439 14.439.0 01-.652-4.37 14.3 14.3.0 01.614-4.371A7.869 7.869.0 01114 30.56a9.072 9.072.0 015.252-1.5 8.543 8.543.0 015.041 1.5 7.985 7.985.0 013.009 4.14 12.439 12.439.0 01.69 4.37 13.793 13.793.0 01-.651 4.37 8.255 8.255.0 01-3.028 4.275 8.475 8.475.0 01-5.1 1.553 8.754 8.754.0 01-5.194-1.534zm7.629-3.1a4.536 4.536.0 001.476-2.262 11.335 11.335.0 00.383-3.221 10.618 10.618.0 00-.383-3.22 4.169 4.169.0 00-1.457-2.243 4.066 4.066.0 00-2.531-.785 3.942 3.942.0 00-2.453.785 4.376 4.376.0 00-1.5 2.243 11.839 11.839.0 00-.383 3.22 11.84 11.84.0 00.383 3.221 4.222 4.222.0 001.476 2.262 4.075 4.075.0 002.549.8 3.8 3.8.0 002.44-.809z"/><path d="m15.105 32.057v15.565a.059.059.0 01-.049.059L.069 50.25A.06.06.0 01.005 50.167l14.987-33.47a.06.06.0 01.114.025z"/><path d="m17.631 23.087v24.6a.06.06.0 00.053.059l22.449 2.507a.06.06.0 00.061-.084L17.745.032a.06.06.0 00-.114.024z"/><path d="m39.961 52.548-24.833 7.45a.062.062.0 01-.043.0L.079 52.548a.059.059.0 01.026-.113h39.839a.06.06.0 01.017.113z"/></svg></a><div class=footer-languages><a tabindex=-1 lang=en id=switch-lang-en class=footer-languages-item>English
|
||
</a><a tabindex=-1 lang=zh id=switch-lang-zh class="footer-languages-item active"><svg class="icon tick"><use xlink:href="/v1.24/img/icons.svg#tick"/></svg>
|
||
中文
|
||
</a><a tabindex=-1 lang=uk id=switch-lang-uk class=footer-languages-item>Українська</a></div></div><ul class=footer-policies><li class=footer-policies-item><a class=footer-policies-link href=https://www.linuxfoundation.org/legal/terms>条款
|
||
</a>|
|
||
<a class=footer-policies-link href=https://www.linuxfoundation.org/legal/privacy-policy>隐私政策
|
||
</a>|
|
||
<a class=footer-policies-link href=https://www.linuxfoundation.org/legal/trademark-usage>商标
|
||
</a>|
|
||
<a class=footer-policies-link href=https://github.com/istio/istio.io/edit/release-1.24/content/zh/blog/2022/ambient-security/index.md>在 GitHub 上编辑此页</a></li></ul><div class=footer-base><span class=footer-base-copyright>© 2024 the Istio Authors.</span>
|
||
<span class=footer-base-version>部分内容可能滞后于英文版本,同步工作正在进行中<br>版本
|
||
Istio 归档
|
||
1.24.3</span><ul class=footer-base-releases><li class=footer-base-releases-item><a tabindex=-1 class=footer-base-releases-link onclick='return navigateToUrlOrRoot("https://istio.io/blog/2022/ambient-security/"),!1'>当前版本</a></li><li class=footer-base-releases-item><a tabindex=-1 class=footer-base-releases-link onclick='return navigateToUrlOrRoot("https://preliminary.istio.io/blog/2022/ambient-security/"),!1'>下个版本</a></li><li class=footer-base-releases-item><a tabindex=-1 class=footer-base-releases-link href=https://istio.io/archive>旧版本</a></li></ul></div></div></footer><div id=scroll-to-top-container aria-hidden=true><button id=scroll-to-top title=回到顶部 tabindex=-1><svg class="icon top"><use xlink:href="/v1.24/img/icons.svg#top"/></svg></button></div></body></html> |