Service Mesh 在蚂蚁金服生产级安全实践

## 文档总结：Service Mesh 在蚂蚁金服生产级安全实践 ### 主要内容概述 1. **主题** 本文档主要分享了蚂蚁金服在生产环境中基于 Service Mesh 的安全实践，特别是围绕 Service Mesh Sidecar 的 TLS 生产级落地实践。 2. **分享内容** - **基于 Secret Discovery Service Sidecar 的证书管理方案**：通过 Sidecar 实现证书的自动化管理。 - **使用可信身份服务构建敏感数据下发通道**：利用可信身份服务确保敏感数据的安全传输。 - **Service Mesh Sidecar 的 TLS 生产级落地实践**：重点分享了 TLS 切换的灰度控制和实现方案。 3. **TLS 实践难点** - 在 RPC 通信场景下，为确保平滑无损的 TLS 切换，需要分别控制 Server 端和 Client 端的 TLS 行为： - **Server 端**：利用 Istio 的 Policy CRD 实现 Namespace + Service 粒度的开关控制。 - **Client 端**：理想情况下希望通过 Istio 的 DestinationRule 和 VirtualService 控制，但由于条件不成熟，当前通过注册中心控制。 4. **灰度控制** - 社区现有的 Policy CRD 实现 Namespace + Service 粒度的灰度能力无法满足蚂蚁金服的需求。 - 提出 **ScopeConfig 方案**：通过 label selector 能力选择指定范围（批量或单实例）的 Pod 实例，同时兼容社区 CRD 设计，实现更细粒度的控制能力。 - 以 TLS 开关为例： - 先通过 Pod IP 这个 label 实现单实例开关控制。 - 观察正常后，逐步调整 ScopeConfig 的 Selector 范围，实现功能的灰度上线能力。 5. **技术实现** - Service Mesh Sidecar 与 Citadel Agent 采用基于 UDS 通信的 Grpc 服务，用于获取密钥等敏感信息。 ### 核心观点 - 蚂蚁金服在 Service Mesh 的生产级安全实践中，重点解决了 TLS 切换的灰度控制问题，提出了 **ScopeConfig 方案**，实现了更灵活、更细粒度的控制能力。 - 在 Server 端和 Client 端的 TLS 行为控制上，采取了不同的技术路径，结合 Istio 和注册中心的能力，确保了 TLS 切换的平滑性和安全性。 ### 总结 本文档详细介绍了蚂蚁金服在 Service Mesh 领域的安全实践，特别是 TLS 生产级落地的关键技术与方法。通过灰度控制和细粒度的 ScopeConfig 方案，解决了大规模生产环境下的安全切换问题，为 Service Mesh 的实际应用提供了重要的参考价值。