idou老师带你认识Istio13:Istio实现基础认证策略

栏目: 后端 · 发布时间: 5年前

内容简介:前言微服务架构提供了更好的灵活性、可伸缩性以及服务复用的能力,但,微服务也有特殊的安全需求,Istio Security尝试提供全面的安全解决方案。为了提供灵活的服务访问控制,需要双向 TLS 和细粒度的访问策略。Istio 提供两种类型的身份验证:传输身份验证和来源身份验证。通过配置不同级别的认证策略,可以快速控制不同的安全访问粒度。典型的使用场景:

前言

微服务架构提供了更好的灵活性、可伸缩性以及服务复用的能力,但,微服务也有特殊的安全需求,Istio Security尝试提供全面的安全解决方案。为了提供灵活的服务访问控制,需要双向 TLS 和细粒度的访问策略。Istio 提供两种类型的身份验证:传输身份验证和来源身份验证。通过配置不同级别的认证策略,可以快速控制不同的安全访问粒度。

典型的使用场景:

1.在未启用双向TLS的安装好 Istio 的 Kubernetes 集群中,需要快速启用全网格双向TLS;

2.网格内某些服务之间需要使用双向TLS,可以将这些服务放入同一命名空间并在命名空间启用双向TLS;

3.当单个服务需要启用TLS时,可以在配置策略中通过spec字段指定;

认证策略是对服务收到的请求生效的,要在双向 TLS 中指定客户端认证策略,需要在DetinationRule 中设置 TLSSettings,每个认证策略需要和目的地规则共同生效。下面通过实例来演示在不同存储范围内配置传输身份认证策略的过程,来源身份验证通过spec中的origins字段指定。

环境准备:装好istio的集群,禁用全局双向TLS;Httpbin应用镜像和sleep应用镜像

1.创建命名空间、部署应用

创建3个命名空间:foo、bar、legacy,foo和bar中部署带sidecar的httpbin应用和sleep应用,legacy中部署不带sidecar的httpbin应用和sleep应用。

idou老师带你认识Istio13:Istio实现基础认证策略

idou老师带你认识Istio13:Istio实现基础认证策略

idou老师带你认识Istio13:Istio实现基础认证策略

将sleep作为客户端,httpbin作为服务端,验证客户端服务端可达性

idou老师带你认识Istio13:Istio实现基础认证策略

2.验证系统中目前不存在认证策略

idou老师带你认识Istio13:Istio实现基础认证策略

idou老师带你认识Istio13:Istio实现基础认证策略

可以看到在foo、bar和legacy命名空间中没有任何策略和规则

3.为网格中的所有服务启用双向TLS认证

配置网格认证策略:

idou老师带你认识Istio13:Istio实现基础认证策略

配置目的地规则:

idou老师带你认识Istio13:Istio实现基础认证策略

需要注意的是,网格范围内的认证策略名称必须是default,其它名称的策略都会被拒绝和忽视,它的策略类型是MeshPolicy,不同于其它级别的策略类型

这些认证策略和目的地规则有效地配置了所有的sidecars,使服务在双向TLS模式下收发请求。但是对不带sidecar的服务并不适用。

idou老师带你认识Istio13:Istio实现基础认证策略

可以看到上面有两种连接不适用:从带有 sidecar 的客户端到不带 sidecar 的服务端的连接以及从不带 sidecar 的客户端到带有 sidecar 的服务端的连接。

① 为了修复从带有 sidecar 的客户端到不带 sidecar 的服务端的连接,可以专门为这些服务端添加目的地规则来覆盖 TLS 设置:

idou老师带你认识Istio13:Istio实现基础认证策略

重新测试连接

idou老师带你认识Istio13:Istio实现基础认证策略

当启用全局双向 TLS 认证时,这种方法也可以用来配置 Kubernetes 的 API 服务器。

② 从不带 sidecar 的客户端到带有 sidecar 的服务端(工作在双向 TLS 模式)的连接,唯一的选择是从双向 TLS 模式切换到 PERMISSIVE 模式,该模式允许服务端接收 HTTP 或(双向) TLS 流量

idou老师带你认识Istio13:Istio实现基础认证策略

从 sleep.legacy 到 httpbin.foo 的请求应当是成功的,但是到 httpbin.bar 的请求依然会失败。

idou老师带你认识Istio13:Istio实现基础认证策略

  1. 为一个命名空间中的所有服务启用双向TLS

可以配置策略为每一个命名空间单独启用双向 TLS 而不必启用全局双向 TLS:

idou老师带你认识Istio13:Istio实现基础认证策略

注意:命名空间范围内的策略必须命名为 default,并且不限定任何特定的服务(没有 targets 设置域)

添加相应的目的地规则:

idou老师带你认识Istio13:Istio实现基础认证策略

测试连接:

idou老师带你认识Istio13:Istio实现基础认证策略

由于当前配置的策略和目的地规则只对命名空间foo有效,可以看到,只有从不带 sidecar 的客户端 (sleep.legacy) 到 httpbin.foo 的请求会失败。

5.为单个服务启用双向TLS

你也可以为某个特定的服务设置认证策略和目的地规则。执行以下命令只为 httpbin.bar 服务新增一项策略。

idou老师带你认识Istio13:Istio实现基础认证策略

配置目的地规则:

idou老师带你认识Istio13:Istio实现基础认证策略

  1. 同时启用命名空间层级和服务层级

假设我们已经为命名空间 foo 中所有的服务添加了启用双向 TLS 的命名空间层级的策略并且观察到从 sleep.legacy 到 httpbin.foo 的请求都失败了(见上文)。现在专门为 httpbin 服务添加额外的策略来禁用双向 TLS (peers 域留空):

idou老师带你认识Istio13:Istio实现基础认证策略

idou老师带你认识Istio13:Istio实现基础认证策略

idou老师带你认识Istio13:Istio实现基础认证策略

可以看到服务层级的策略覆盖了命名空间层级的策略,连接成功。

通过以上步骤,我们知道如何在不同层级配置认证策略和目的地规则。

相关服务请访问 https://support.huaweicloud.co ... _2019


以上所述就是小编给大家介绍的《idou老师带你认识Istio13:Istio实现基础认证策略》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

HTML5秘籍

HTML5秘籍

Matthew MacDonald / 李松峰、朱巍 / 人民邮电出版社 / 2012-8 / 79.00元

《HTML5秘籍》共包括四个部分,共12章。第一部分介绍了html5的发展历程,利用html5重新构造网页,以及html5的语义元素。第二部分介绍了html5对传统web表单的翻新、html5中的音频与视频、canvas绘图技术、css3等内容。第三部分介绍了数据存储、离线应用、与web服务器通信,以及html5与javascript技术的强大结合等内容。第四部分为附录,简单介绍了css和java......一起来看看 《HTML5秘籍》 这本书的介绍吧!

HTML 压缩/解压工具
HTML 压缩/解压工具

在线压缩/解压 HTML 代码

html转js在线工具
html转js在线工具

html转js在线工具

HSV CMYK 转换工具
HSV CMYK 转换工具

HSV CMYK互换工具