Automate mTLS communication with GoPay partners with Istio

### 总结：《Automate mTLS communication with GoPay partners with Istio》 #### 背景 - **GoPay**：拥有数百名开发者，运行多个Kubernetes集群，管理250+微服务，每天处理1.5亿次内部API调用，每周部署3000+次，支持REST和gRPC服务。 - **之前的安全方案**：使用HTTPS配合IP白名单，仅允许特定IP访问端点，但存在以下问题： - 维护复杂，需为每个合作伙伴管理多个端点。 - 安全性不足，无法完全信任使用IP的主体。 - 不符合安全团队的推荐方案。 #### 实施mTLS的原因 - **优势**：通过Istio实现双向TLS（mTLS），简化证书管理，提升安全性，减少维护负担。 #### mTLS实现 - **Istio的优势**：提供抽象概念，简化服务管理，支持自动证书颁发和分发。 - **关键配置**： - **中央化证书管理**：统一管理证书，简化证书生命周期。 - **Ingress mTLS**：通过Istio Gateway和Mutual TLS模式，结合subjectAltNames验证客户端SAN。 - **Egress mTLS**：通过Istio的Sidecar代理自动升级HTTP通信为mTLS。 #### 挑战与未来工作 - **当前挑战**：部分客户端通信出现503错误（Istio #26990），已通过在Virtual Service中添加重试机制解决。 - **未来计划**： - 优化证书管理流程。 - 扩展Istio功能，支持更多场景。 #### 总结 GoPay通过采用Istio的mTLS方案，实现了更安全、更高效的通信机制，解决了传统HTTPS+IP白名单方案的痛点，同时简化了证书管理和维护工作。Istio的抽象概念和自动化能力为大规模微服务架构提供了有力支持。