安全最佳实践
- 命名空间隔离

安全最佳实践

本节提供了一些部署准则，以帮助确保服务网格的安全。

命名空间隔离

如果有多个运维人员（也称为 SRE）在大型或中型集群中部署不同的服务，我们建议为每个 SRE 团队创建一个单独的 Kubernetes 命名空间，以隔离他们的访问权限。例如，您可以为 team1 创建一个 team1-ns 命名空间，为 team2 创建一个 team2-ns 命名空间，以使两个团队无法访问彼此的服务。

如果 Citadel 受到威胁，则它在集群中的所有托管密钥和证书都可能泄露。我们强烈建议您在专用命名空间（例如，istio-citadel-ns ）中运行 Citadel，来限制集群的访问权限，仅适用于管理员。

让我们考虑一个具有三项服务的三层应用程序：photo-frontend、photo-backend 和 datastore。photo SRE 团队管理 photo-frontend 和 photo-backend 服务，而 datastore SRE 团队管理 datastore 服务。photo-frontend 服务可以访问 photo-backend，而 photo-backend 服务可以访问 datastore。但是，photo-frontend 服务无法访问 datastore。

在这种情况下，集群管理员将创建三个命名空间：istio-citadel-ns、photo-ns 和 datastore-ns。管理员有权访问所有命名空间，而每个团队只能访问自己的命名空间。photo SRE 团队创建两个服务帐户，在 photo-ns 命名空间中分别运行 photo-frontend 和 photo-backend。datastore SRE 团队创建了一个服务帐户来在 datastore-ns 命名空间中运行 datastore 服务。此外，我们需要在 Istio Mixer 中强制执行服务访问控制，以使 photo-frontend 无法访问 datastore。

在这种设置下，Kubernetes 可以隔离管理服务的操作特权。Istio 管理所有命名空间中的证书和密钥，并对服务实施不同的访问控制规则。