2.2　安全

安全对微服务这样的分布式系统来说是至关重要的。与单体应用在进程内进行通信不同，对于微服务来说，网络成了服务间通信的纽带，这使得微服务对安全有了更迫切的需求。比如，为了抵御外来攻击，需要对流量进行加密处理；为了保证服务间通信的可靠性，需要使用mTLS的方式进行交互；为了控制不同身份的访问，需要设置不同粒度的授权策略。作为一个服务网格，Istio提供了一整套完整的安全解决方案。它可以用透明的方式，为微服务应用添加安全策略。

Istio中的安全架构是由多个组件协同完成的。其中，Citadel是负责安全的主要组件，用于密钥和证书的管理；Pilot会将安全策略配置分发给Envoy代理；Envoy执行安全策略，实现访问控制。图2-5所示为Istio的安全架构和运作流程。

图2-5

Istio提供的安全功能主要分为认证和授权两部分。