mtls-configuration

mTLS Configuration - 零信任服务间通信配置指南

技能概述

mTLS Configuration 提供配置双向 TLS（mutual TLS）实现零信任服务间通信的完整指南，涵盖 Istio、Linkerd、SPIRE 等主流方案，帮助您在生产环境中启用安全的服务网格认证。

适用场景

1. 零信任网络架构实施

当您需要构建零信任网络时，mTLS 是服务间身份验证的核心组件。本技能提供从 PERMISSIVE 到 STRICT 模式的渐进式迁移方案，确保业务平稳过渡。

2. 服务间通信安全加固

无论是微服务架构还是单体应用拆分，服务间调用都需要加密和身份验证。本技能涵盖 Istio、Linkerd 等服务网格的 mTLS 配置，以及 cert-manager 证书自动化管理。

3. 证书生命周期管理

生产环境中证书过期会导致服务中断。本技能提供证书轮换策略、监控告警配置，以及 SPIRE/SPIFFE 标准化身份管理方案，确保证书自动续期和 CA 平滑轮换。

核心功能

1. 服务网格 mTLS 配置

支持 Istio PeerAuthentication 策略配置（全局 STRICT、命名空间级 PERMISSIVE、工作负载级自定义），以及 DestinationRule 流量策略定义。同时提供 Linkerd 自动 mTLS 验证和端口级跳过配置。

2. 证书自动化管理

集成 cert-manager 与 Istio CA，实现 24 小时短生命周期证书自动签发和续期。包含 Certificate 资源定义、CA 密钥对管理、跨集群证书信任链配置等完整模板。

3. 故障诊断与调试

提供 TLS 握手失败排查流程，包括 istioctl authn tls-check、证书链验证、日志调试等实用命令。涵盖 SPIFFE/SPIRE 身份验证问题定位和多集群信任域配置。

常见问题

什么是 mTLS？它和普通 TLS 有什么区别？

普通 TLS（单向）只验证服务器身份，客户端不提供证书。mTLS（双向 TLS）要求通信双方都验证对方身份，客户端和服务器都需要证书并验证对方的证书链。这适用于服务间调用，确保只有授权的工作负载才能相互通信。

如何在 Istio 中启用严格 mTLS 模式？

创建 PeerAuthentication 资源并设置 mtls.mode: STRICT。建议先在命名空间级别使用 PERMISSIVE 模式过渡，确认所有流量正常后再切换到 STRICT。可以使用 istioctl authn tls-check 命令验证当前 mTLS 状态。

服务间调用出现 TLS 握手失败怎么办？

常见原因包括：证书过期、DestinationRule 配置错误、端口级 mTLS 禁用冲突。使用 kubectl get peerauthentication 和 kubectl get destinationrule 检查策略，通过 istioctl proxy-config log 启用调试日志，查看 istio-proxy 容器中的 TLS 错误信息。

mTLS 证书多久需要轮换一次？

Istio 默认工作负载证书有效期 24 小时，建议设置 8 小时自动续期（renewBefore）。CA 根证书建议 1-3 年轮换一次，需要提前规划并使用中间 CA 架构降低影响。cert-manager 可以自动处理证书续期。