y110.第六章 微服务、服务网格及Envoy实战 -- Envoy网格安全(二一)

14.Envoy网格安全

14.0 本节话题

• 服务网格的安全风险及常见解决方案

  • 网络级控制机制
  • 应用级控制机制：OAuth 2.0、OpenID Connect、JWT等；

• Enovy身份认证

  • TLS和mTLS

  • JWT身份认证

    • JWT、JWK和JWS

  • 基于SPIFFE/SPIRE和SDS的mTLS

    • SPIFFE Components：SPIFFE ID、SVID和Workload API
    • SPIRE架构及组件：Server和Agent
    • Node和Workload的Attestation

• Envoy授权

  • RBAC
  • 外部授权和ABAC
    • OPA : Open Policy Agent
    • OPA决策机制
    • Envoy OPA外部授权示例

14.1 回顾：微服务架构特点及API术语

• Microservice Architecture Characteristics（微服务架构的特点）

  • Service Orientation（面向服务）
  • Independent deployability and manageability（独立的可部署性和可管理性）
  • Ephemerality and elastici