Setting up Secure Access Control

最新推荐文章于 2021-05-11 18:51:00 发布
最新推荐文章于 2021-05-11 18:51:00 发布
阅读量242 收藏
点赞数
分类专栏: 翻译

这个task展示如何通过使用Istio认证提供的服务账户来安全控制访问服务。

当Istio的相互TLS身份认证开启后,服务端通过它的证书认证客户端,并从证书中获得服务端的服务账户。服务账户在 source.user 属性中。对于Istio中的服务账户格式,请参考 Istio auth identity

Before you begin

  • 在开启认证的k8s集群中安装Istio。注意认证在 installation steps 中的第5步。
  • 部署 Bookinfo
  • 运行下列命令创建服务账户 bookinfo-productpage,使用服务账户重新部署 productpage 服务。
kubectl apply -f <(istioctl kube-inject -f samples/bookinfo/kube/bookinfo-add-serviceaccount.yaml)

你能看到如下预期打印:

serviceaccount "bookinfo-productpage" created
deployment "productpage-v1" configured

注意: 如果你使用的是非 default 命名空间,使用istioctl -n namespace ... 来指定命名空间。

Access Control using denials

在 Bookinfo 中, productpage 服务同时访问 reviews 服务和 details 。我们希望 details 服务拒绝来自 productpage 的请求。

1.在你的浏览器中访问Bookinfo productpage (http://$GATEWAY_URL/productpage).
你应该在页面左下部看到 “Book Details” 小节,包括type, pages, publisher, etc。 productpage 服务包含来自details 服务的“Book Details” 的信息。

2.明确拒绝从 productpagedetails 的请求
运行如下命令设置拒绝规则以及handler和一个实例

istioctl create -f samples/bookinfo/kube/mixer-rule-deny-serviceaccount.yaml

预期结果:

Created config denier/default/denyproductpagehandler at revision 2877836
Created config checknothing/default/denyproductpagerequest at revision 2877837
Created config rule/default/denyproductpage at revision 2877838

注意下面的 denyproductpage 规则:

match: destination.labels["app"] == "details" && source.user == "cluster.local/ns/default/sa/bookinfo-productpage"

它匹配来自 details 服务的服务账号“cluster.local/ns/default/sa/bookinfo-productpage”的请求。
注意: 如果你使用非default 命名空间,将source.user 的值 default 替换为你的命名空间。
这个规则使用 denier 适配器拒绝这些请求。这个适配器总是用前置状态码和信息拒绝请求。状态码和信息在 denier 适配器的配置中指定。

3.在你的浏览器中刷新 productpage
你将看到信息:“Error fetching product details! Sorry, product details are currently unavailable for this book.” 在页面左下部。这表示从 productpagedetails 的请求被拒绝了。

Cleanup

  • 移除mixer配置
istioctl delete -f samples/bookinfo/kube/mixer-rule-deny-serviceaccount.yaml
  • 如果你不打算探索接下来地任何课题,参考 Bookinfo cleanup 指南来关闭应用。
一个偏执狂
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Cisco Secure ACS 5.2 安装、配置和使用
12-12
cisco secure acs 5.2 的安装、配置和使用图文说明,已进行了安装测试,可行。
Bookinfo案例
violin_biubiubiu的博客
09-23 164
https://istio.io/latest/zh/docs/examples/bookinfo/ 获取端口 ➜ istio-1.8.2 kubectl get svc istio-ingressgateway -n istio-system NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) .
idou老师教你学istio :基于角色的访问控制
weixin_30945039的博客
12-05 127
istio的授权功能,也称为基于角色的访问控制(RBAC),它为istio服务网格中的服务提供命名空间级别、服务级别和方法级别的访问控制。基于角色的访问控制具有简单易用、灵活和高性能等特性。本文介绍如何在服务网格中为服务进行授权控制。 ·前置条件· •安装istio的k8s集群,启用认证功能、双向TLS认证 •部署bookinfo示例应用 下面基于bookinfo应用实例具...
istio学习1 - 运行官方demo 出现的 Error fetching product reviews 503 异常 解决办法
ameng734086045的专栏
06-05 1157
仅做个人问题记录使用。 参考文章:https://www.codercto.com/a/30981.html 环境:k8s 1.12.5 istio 1.0.6 成功部署istio环境,以及官方demo bookinfo kubectl get svc -n istio-system istio-ingressgateway LoadBalancer 10.68.12...
istio 路由实例解析
weixin_34088838的博客
07-18 313
2019独角兽企业重金招聘Python工程师标准>>> ...
bVNC-Pro-Secure-VNC-Viewer_v4.1.0.apk
05-09
- On-device help on creating a new connection in the Menu when setting up connections - On-device help on available input modes in the Menu when connected - Recommended with Hackers keyboard from ...
Mastering Linux Security and Hardening
07-27
You will learn various security techniques such as SSH hardening, network service detection, setting up firewalls, encrypting file systems, protecting user accounts, authentication processes, and so ...
WordPress Top Plugins.pdf
08-14
Setting up your first gallery 31 Adding your gallery to a post or a page 32 Zemanta 32 CForms II 34 CForms administration 35 Modifying the default form 36 Adding your form to a page, post, or ...
UE(官方下载)
10-30
This is a convenient feature when you're manually comparing files, when you want to copy/paste between multiple files, or when you simply want to divide up your edit space. Tabbed Child Windows ...
Visual.Studio.Lightswitch.2015.14842076
01-11
Chapter 2: Setting Up Your Data Chapter 3: Building HTML Applications Chapter 4: Creating Desktop Applications Part II: Working with Data Chapter 5: Quer ying Your Data Chapter 6: Writing Data-Access...
故障注入
变成习惯
05-11 540
本文内容基于 配置请求路由。 经过 配置请求路由 的配置,下面是请求的流程: productpage → reviews:v2 → ratings (针对 jason 用户) productpage → reviews:v1 (其他用户) 注入 HTTP 延迟故障 为了测试微服务应用程序 Bookinfo 的弹性,为用户 jason 在 reviews:v2 和 ratings 服务之间注入一个 7 秒的延迟。 reviews:v2 服务对 ratings 服务的调用具有 10 秒的硬编码连接超时。
istio使用教程
07-31 97
kubernetes各版本离线安装包 安装 安装k8s 强势插播广告 三步安装,不多说 安装helm, 推荐生产环境用helm安装,可以调参 <!--more--> release地址 如我使用的2.9.1版本 yum install -y socat # 这个不装会报...
ACS GUI not responding
Eddyboy的专栏
05-04 757
ACS GUI not respondingApplication process boot up review:**# show application status acs** ACS role: PRIMARY Process 'database' running Process 'management' running ...
cisco acs 安装打开空白
achejq的专栏
02-16 2823
<br />internet选项Security安全等级<br />设置成中级<br /> <br />修改regedit<br />/HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/3/MinLevel<br />值设置成10000
Setting Request Timeouts(0.8)
Ybt_c_index的博客
06-19 264
这个task向你展示如何使用Istio在Envoy中设置请求超时。 Before you begin 安装istio 部署Bookinfo 通过如下命令初始化应用版本路由: istioctl create -f samples/bookinfo/routing/route-rule-all-v1.yaml samples/bookinfo/routing/route-rule-al...
思科ACS5.8最新搭建教程-亲测可用
08-05 5345
1、需要准备的相关软件 ACS5.8安装包:http://ouo.io/MWB0R ACS5.8破解包:http://ouo.io/FaiGgj Centos7:下载地址(破解时需要):http://mirrors.aliyun.com/centos/7/isos/x86_64/CentOS-7-x86_64-DVD-1810.iso 2、安装ACS5.8 http://svu...
istio服务安全
wenwenxiong的专栏
04-26 1424
istio RBAC(基于角色访问控制) istio RBAC支持namespace-level,service-level,method-level的服务访问控制。 Role-Base语义,支持服务到服务,用户到服务的认证 可以灵活的定义roles和role-bindings的properties mixter的认证相关instance为authorization apiVersi...
记录:Istio安装 & 示例学习
wifiiii的博客
02-21 629
文章目录1. 下载Istio安装文件2. 配置istioctl客户端3. 安装 Istio3.1 安装 demo 配置3.2 给命名空间添加标签3.3 验证4. 部署示例应用4.1 部署 Bookinfo 示例应用:4.2 查看4.3 校验4.4 BookingInfo关系图5. 对外开放应用程序5.1 把应用关联到 Istio 网关5.2 确保配置文件没有问题5.3 确定入站 IP 和端口5.3.1 判断我们的 Kubernetes 集群环境是否支持外部负载均衡5.3.2 设置入站 IP 地址和端口5.3
基于pytorch+ResNet50的眼部疾病图片分类源码+文档说明.zip
最新发布
04-24
详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;
setting up fake worker
08-04
关于"setting up fake worker"的问题,根据引用[1]和引用[2]的内容,这个错误可能是由于使用了ng2-pdf-viewer插件时出现的。官方文档提到了关于设置自定义路径到worker的说明,可能需要按照文档中的指引进行设置。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值