Using ECC Workload Certificates (pilot-agent environmental variables)

### 文档总结 1. **ECC 工作负载证书** - 在多种环境中，使用基于椭圆曲线加密（ECC）的 X.509 证书是需求。 - Istio 1.6 版本新增了对工作负载使用 ECC 证书支持 mTLS 的功能。 - 从 Istio 1.7.7+、1.8.2+ 和 1.9.0+ 开始，不再强制要求使用 ECC 加密的 CA 证书，但仅支持 ECDSA P-256 算法。 2. **pilot-agent 环境变量** - 为了启用 ECC 功能，用户需在侧车代理上设置环境变量 `ECC_SIGNATURE_ALGORITHM=ECDSA`。 - 对于网关，该环境变量也需在安装或升级时设置。 3. **证书检查** - 可通过 `istioctl proxy-config secret` 命令检查工作负载证书，确认其是否使用了 ECC（如 ECDSA P-256）。 - 示例命令： ```bash $ istioctl proxy-config secret . -o json | jq '.dynamicActiveSecrets[0].secret.tlsCertificate.certificateChain.inlineBytes' | sed 's//'/g | base64 --decode | openssl x509 -noout -text ``` 4. **MeshConfig 支持** - 在 Istio 1.10 中，ECC 支持将作为 Alpha 特性添加到 `meshConfig` 中。 - 用户可通过环境变量过渡到新特性，未来将提供更完善的迁移路径。 5. **其他环境变量** - Istio 提供了其他环境变量供配置使用，详情可参考官方文档：[Istio 官方文档](https://istio.io/latest/docs/reference/commands/pilot-agent/#envvars)。 - 提示：环境变量属于实验性功能，使用需谨慎。 6. **配置示例** - 通过 `iop.yaml` 配置 Istio Operator： ```yaml apiVersion: install.istio.io/v1alpha1 kind: IstioOperator spec: meshConfig: defaultConfig: proxyMetadata: ECC_SIGNATURE_ALGORITHM: ECDSA ``` - 安装命令： ```bash $ istioctl install -f iop.yaml ``` **总结**：文档主要介绍了 Istio 中使用 ECC 工作负载证书的功能支持、环境变量配置方法以及未来计划，适用于需要在 Istio 集群中启用 ECC 证书的用户。