Automate mTLS communication with GoPay partners with Istio

### 总结：《Automate mTLS communication with GoPay partners with Istio》 这篇文档介绍了GoPay如何利用Istio实现与合作伙伴之间的自动化双向TLS（mTLS）通信，着重说明了实现过程、技术细节及面临的挑战。 --- #### **1. GoPay & Istio** - **背景**：GoPay拥有超过数百名开发者，管理多个Kubernetes集群、250+个微服务，以及每周3000+次部署。 - **服务特点**：支持REST和gRPC服务，使用多种编程语言（如Golang、Java、Clojure、Ruby）开发。 - **Scale**：每日处理超过1.5亿次内部API调用。 --- #### **2. Implementing Mutual TLS** Istio被用于自动化mTLS通信，具体实现包括以下三部分： ##### **a. 集中证书管理** - 通过Istio的集中证书管理功能，简化了证书的颁发、轮转和管理。 - 证书可以同步到Kubernetes集群，也可以通过代理程序同步到虚拟机。 ##### **b. 入口（Ingress）mTLS** - 使用Istio Gateway机制，设置为MUTUAL模式，确保客户端和服务端的双向验证。 - 通过`subjectAltNames`验证客户端SAN（主题备用名称）。 - 增加`AuthorizationPolicy`，支持IP白名单，简化了对现有EnvoyFilters的集成。 ##### **c. 出口（Egress）mTLS** - 使用Egress TLS初始化功能，客户端证书通过 kubernetes annotation（`sidecar.istio.io/userVolumeMount`）挂载。 - 客户端通过HTTP通信，Istio sidecar会自动升级为mTLS。 --- #### **3. 挑战与未来工作** 虽然文档未详细列出具体挑战，但提到Istio的抽象化概念使得管理更简单。未来可能会进一步优化mTLS的实现和扩展相关功能。 --- #### **总结** GoPay通过Istio实现了mTLS通信的自动化，利用其Gateway和证书管理功能，简化了安全通信的配置和管理。该方案在高流量和复杂的微服务架构中表现出色，为未来扩展和优化奠定了基础。