我试图了解为什么Istio具有mTLS功能?通过自动颁发的证书,它可以在群集中的所有服务之间启用相互TLS身份验证。
强制性TLS身份验证仅在它们是Istio外部的服务时才有好处,但是当在Kubernetes中全局启用Istio时,情况并非如此-那么每个服务都会自动获得证书,因此可以连接到其他任何服务。
也许Istio授权规则要求使用TLS作为身份提供者,例如尚未回答的Does istio authorization have effect if mtls is not used for istio authentication?中所要求的?但是为什么Istio不仅使用Kubernetes服务帐户作为身份提供者。 documentation中甚至提到了这一点。
即使使用TLS进行身份识别,为什么还要加密流量(可以不加密使用TLS)?我在这里假设容器无法欺骗IP地址。