Service Mesh 在蚂蚁金服生产级安全实践

# 《Service Mesh 在蚂蚁金服生产级安全实践》总结 蚂蚁金服在Service Mesh（服务网格）领域的生产级安全实践聚焦于TLS（传输层安全协议）在Sidecar代理中的落地。以下是总结内容： --- ## TLS 实践难点 1. **证书管理**：涉及证书的安全性与管理复杂性。 2. **开关切换**：需平滑切换TLS功能，避免服务中断。 3. **灰度控制**：既要实现.Namespace + Service粒度的灰度，又需支持单实例和回滚能力。 --- ## 解决方案 ### 1. 灰度控制：ScopeConfig 方案 - **设计思想**：通过label selector实现对Pod实例的精细化控制。 - **实现方式**： - 通过Pod IP标签实现单实例开关控制。 - 在观察正常后，逐步扩大ScopeConfig选择器范围，实现功能的灰度上线。 ### 2. 证书管理：基于SDS的解决方案 - **问题**： - Secret管理方式与现有密钥管理系统冲突。 - Secret明文挂载存在安全隐患。 - Sidecar热重启成本高。 - **方案**： - 使用Secret Discovery Service (SDS)实现证书管理。 -通过可信身份服务构建敏感数据下发通道。 - 通过Kubernetes RBAC控制访问权限： - 扩展Citadel Watch密钥相关CRD。 - 安全Sidecar与Citadel Agent采用基于UDS通信的gRPC服务获取密钥。 ### 3. TLS 开关切换 - **平滑切换要求**： -分别控制Server端（Provider）和Client端（Consumer）的TLS行为。 - **Server端**：通过Istio Policy CRD实现Namespace + Service粒度的开关控制。 - **Client端**：由于DestinationRule和VirtualService条件尚未完全具备，暂时通过现有注册中心控制Client TLS能力。 --- 以上是蚂蚁金服在Service Mesh领域的TLS生产级落地实践的核心内容，涵盖了灰度控制、证书管理和开关切换等关键方面。