Per-service mutual TLS authentication enablement

最新推荐文章于 2024-05-20 09:54:53 发布
最新推荐文章于 2024-05-20 09:54:53 发布
阅读量429 收藏
点赞数
分类专栏: 翻译

在这个 Installation guide,我们将展示如何在sidecars间启动 mutual TLS authentication 。这个设置将会被网格中的所有sidecars应用。

在这个指导中,你将学会:

  • 注释k8s服务以禁用(或启用)选择性服务的相互TLS身份认证
  • 修改Istio网格配置以排除控制服务的相互TLS身份认证

Before you begin

kubectl apply -f <(istioctl kube-inject -f samples/httpbin/httpbin.yaml)
kubectl apply -f <(istioctl kube-inject -f samples/sleep/sleep.yaml)
kubectl create ns legacy && kubectl apply -f samples/sleep/sleep.yaml -n legacy

在这个初始化安装中,我们期望在default命名空间的sleep 实例能够和httpbin服务通信,而另一个在legacy 命名空间的不能,因为它没有进行mTLS的sidecar。

kubectl exec $(kubectl get pod -l app=sleep -o jsonpath={.items..metadata.name}) -c sleep -- curl http://httpbin.default:8000/ip -s
{
  "origin": "127.0.0.1"
}
kubectl exec $(kubectl get pod -l app=sleep -o jsonpath={.items..metadata.name} -n legacy) -n legacy -- curl http://httpbin.default:8000/ip -s
command terminated with exit code 56

Disable mutual TLS authentication for “httpbin” service

如果我们想要为httpbin(在8000端口)关闭mTLS,而不改变网格的身份认证设置,我们可以通过为httpbin 服务定义添加下面这个注解。

annotations:
  auth.istio.io/8000: NONE

为了快速测试,运行 kubectl edit svc httpbin 并在其上添加注解(或者你可以编辑原始的httpbin.yaml文件并重新应用)。更改被应用后, 来自sleep.legacy请求现在应该成功了,因为mTLS被取消了。

注意:

  • 注解可以产生相反的效果,换句话说,通过使用 MUTUAL_TLS 注解值而不是 NONE为服务开启mTLS。人们能够使用这个注解为选择性的服务启用mTLS,而不是在整个网格中启用。
  • 注解可以针对没有sidecar的服务,通知Istio当客户端对那个服务产生调用时不采用mTLS。实际上,如果一个系统有一些不被Istio管理的服务(没有sidecar),这是修复对这些服务的通信问题的一个推荐做法。

Disable mutual TLS authentication for control services

因为我们不能注解控制服务,如API server,在 Istio 0.3中,我们推荐 mtls_excluded_services 的网格配置来指定那些不应使用mTLS的服务。如果你的应用需要和任何控制服务进行通信,这必须使用全限定域名。

在demo的这部分,我们将展示这个字段的影响。
默认情况下(0.3或之后版本),这个list包含 kubernetes.default.svc.cluster.local (在通常安装中是API server服务的名称)。你可以通过运行下列命令来确认:

kubectl get configmap -n istio-system istio -o yaml | grep mtlsExcludedServices
mtlsExcludedServices: ["kubernetes.default.svc.cluster.local"]

然后期望 kubernetes.default 服务能够成功请求:

kubectl exec $(kubectl get pod -l app=sleep -o jsonpath={.items..metadata.name}) -c sleep -- curl https://kubernetes.default:443/api/ -k -s
{
  "kind": "APIVersions",
  "versions": [
    "v1"
  ],
  "serverAddressByClientCIDRs": [
    {
      "clientCIDR": "0.0.0.0/0",
      "serverAddress": "104.199.122.14"
    }
  ]
}

现在,运行 kubectl edit configmap istio -n istio-system 然后清除mtlsExcludedServices ,并且重启pilot:

kubectl get pod $(kubectl get pod -l istio=pilot -n istio-system -o jsonpath={.items..metadata.name}) -n istio-system -o yaml | kubectl replace --force -f -

上面的测试请求失败并返回code 35, 因为sleep 的sidecar再次开始使用mTLS了:

kubectl exec $(kubectl get pod -l app=sleep -o jsonpath={.items..metadata.name}) -c sleep -- curl https://kubernetes.default:443/api/ -k -s
command terminated with exit code 35
一个偏执狂
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mutual-tls-with-web-server
03-25
Web服务器的相互TLS 概述 设置 执照 不适用
Testing Istio mutual TLS authentication
Ybt_c_index的博客
05-18 484
通过这个task,你将学会如何: 核实Istio内彼此之间的TLS身份认证设置 手动测试身份认证 Before you begin 这个task假设你有一个k8s集群: 通过 the Istio installation task 安装带TLS身份认证的Istio。注意在“Installation steps”中的第5步选择 “enable Istio mutual TLS Auth...
掌握双向TLS安全通信的必备神器——mutual-tls-ssl
最新发布
gitblog_00007的博客
05-20 419
掌握双向TLS安全通信的必备神器——mutual-tls-ssl 项目地址:https://gitcode.com/Hakky54/mutual-tls-ssl 在网络安全日益重要的今天,确保应用程序的安全通信变得至关重要。如果你正在寻找一个能够实现双向TLS认证,只允许特定证书持有者访问的解决方案,那么mutual-tls-ssl是一个不容忽视的开源项目。 项目简介 mutual-tls-ssl...
HTTPS双向认证(Mutual TLS authentication)
猥琐的刚的博客
03-10 7975
HTTPS双向认证(Mutual TLS authentication) 双向认证,顾名思义,客户端和服务器端都需要验证对方的身份,在建立Https连接的过程中,握手的流程比单向认证多了几步。单向认证的过程,客户端从服务器端下载服务器端公钥证书进行验证,然后建立安全通信通道。双向通信流程,客户端除了需要从服务器端下载服务器的公钥证书进行验证外,还需要把客户端的公钥证书上传到服务器端给服务器端进行验证,等双方都认证通过了,才开始建立安全通信通道进行数据传输。 原理 单向认证流程中,服务器端保存着公钥证书和私钥
mtls加密双向认证
热门推荐
sun007700的专栏
01-27 1万+
SSL/TLS 双向认证(一) -- SSL/TLS 工作原理_ustccw-CSDN博客_双向认证 SSL/TSL双向认证过程与Wireshark抓包分析_区块链之美-CSDN博客_ssl双向认证抓包
Mutual TLS over HTTPS(0.8)
Ybt_c_index的博客
06-20 2003
这个task展示Istio Mutual TLS如何同HTTPS服务一起工作。它包括: 部署一个没有Istio sidecar的HTTPS服务。 部署一个不开启互相TLS认证的Istio HTTPS服务 部署一个开启互相TLS认证的HTTPS服务。对每个部署,连接此服务并验证它是否工作。 当Istio sidecar采用HTTPS服务部署时,代理自动从L7降级为L4(无论是否启用互相TLS...
alfresco-mutual-authentication
05-24
版本1.1更新信息使用Web片段定义Web安全上下文开发用途$ git clone [git-repo-url] mutual-auth$ cd mutual-auth$ chmod 755 run.sh$ ./run.shcurl -k -E keystore/serviceA.p12:alfresco --cert-type PEM \-H " ...
go-tls-mutual-auth:Go和第4层(tcp)负载平衡中的SSLTLS相互身份验证示例
05-16
服务以实现必需品对于SSL / TLS相互认证: 。 已通过1.5.1版进行测试对于负载平衡: 测试版本1.9.1 。 已通过1.5.1版进行测试介绍相互认证是指双方同时进行认证。 那是客户端向服务器认证自己,并且该服务器向...
易语言-易语言Mutual微博系统
06-29
在本项目"易语言-易语言Mutual微博系统"中,开发者利用易语言及其相关的扩展界面支持库和互联网支持库,构建了一个功能完善的微博服务系统。这个系统可能包含了用户注册、登录、发布微博、查看他人微博、评论互动等...
CMCGAN: A Uniform Framework for Cross-Modal Visual-Audio Mutual Generation
02-22
CMCGAN: A Uniform Framework for Cross-Modal Visual-Audio Mutual Generation
Testing Mutual TLS(0.8)
Ybt_c_index的博客
07-02 564
通过这个task,你将学会如何: 核实Istio内彼此之间的TLS身份认证设置 手动测试身份认证 Before you begin 这个task假设你有一个k8s集群: 安装Istio并开启全局互相TLS认证: kubectl apply -f install/kubernetes/istio-demo-auth.yaml 或使用 Helm 将 global.mtls.enab...
TLS单、双向认证资料
11-27
TLS单向认证、双向认证wireshark抓包、单、双向认证客户端log、证书生成脚本、TLS客户端、服务器创建脚本
三种访问模式(Per-Call Service,Sessionful Service,Singleton Service)
tkggcds2002的专栏
07-15 990
1.单调服务(Per-Call Service):每次的客户端请求分配一个新的服务实例。类似于Net Remoting的SingleCall模式; 单调服务(Per-Call Service):每次的客户端请求分配一个新的服务实例。服务实例的生存周期紧紧限制于一次调用的开始与结束之间。客户端的每次请求都会产生新的服务实例来响应这个调用。类似于Net Remoting的SingleCall模
OpenShift 4 之Istio-Tutorial (8) 在服务之间配置Mutual TLS双向传输安全
多恩斯基的博客
01-19 819
Service Mesh中,两个微服务之间双向传输安全是由Sidecar完成的。如下图,运行微服务的容器和Sidecar容器之间是网络互信的,因此是通过通过一般网络连接的,而Service A和Service B之间的网络安全传输是通过在与它们相对应的Sidecar之间的Mutual TLS实现的。本文演示如何为访问Preference微服务配置双向传输安全Mutual TLS。 在开始配置前需...
TLS 协议与 TLS 证书的生成、配置
巡山小妖008
12-22 3447
这里不详细说明 TLS 协议的内容,请另行查阅文档 画外:由于 RSA/ECC 两类非对称加密算法被广泛的应用在各类加密通讯中,因此下面说明的证书生成、签名过程,同样也适用于其他场景,比如 SSH 密钥对生成、JWT 密钥对生成等等。 TLS 协议 我们需要加密网络数据以实现安全通信,但是有一个现实的问题: 非对称加密算法(RSA/ECC 等)可以方便地对数据进行签名/验证,但是计算...
Autosar之自签名证书与CA证书
喜欢打篮球的普通人
05-29 1469
验证完整性主要依赖于消息摘要算法的特性,摘要算法的原理是根据一定的运算规则提取原始数据中的信息,被提取的信息就是原始数据的消息摘要,也称为数据指纹。对一份数据,进行一个单向的 Hash 函数,生成一个固定长度的 Hash 值,这个值就是这份数据的摘要著名的摘要算法有 MD5 算法和 SHA 系列算法。摘要算法具有以下特点:一致性: 相同数据多次计算的摘要是相同的,不同的数据(在不考虑碰撞时)的摘要是不同的;不可逆性: 只能正向提取原始数据的摘要,无法从摘要反推出原始数据;
istio服务安全
wenwenxiong的专栏
04-26 1444
istio RBAC(基于角色访问控制) istio RBAC支持namespace-level,service-level,method-level的服务访问控制。 Role-Base语义,支持服务到服务,用户到服务的认证 可以灵活的定义roles和role-bindings的properties mixter的认证相关instance为authorization apiVersi...
TLS双向认证配置(nginx+apache)
weixing100200的专栏
01-07 1342
client 访问apache,apache配置双向认证参数: #Mutual TLS authentication SSLVerifyClient require SSLVerifyDepth 2 深度,客户端证书到根证书的深度 SSLCACertificateFile /etc/pki/tls/certs/abcgkmangcn/rootca.crt (客户端证书对应的根证书) nignx+...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值