基于Kubernates的istio中白名单配置

最新推荐文章于 2023-04-03 15:35:13 发布
最新推荐文章于 2023-04-03 15:35:13 发布
阅读量1k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/h_tinkinginjava/article/details/109339357
版权

在Kubernates中,引入了istio管理流量,这时所有的入口流量均通过istio中的ingressgateway转发至目标服务,若是想要配置白名单,限制访问流量,那么需要创建一个istio的AuthorizationPolicy资源,该资源通过label绑定ingressgateway的pod。事例如下:

kubectl apply -f - <<EOF
apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: ingress-policy
  namespace: istio-system
spec:
  selector:
    matchLabels:
      app: istio-ingressgateway    
  action: ALLOW                   
  rules:
  - from:
    - source:
       ipBlocks: [“*.*.*.*”]
EOF

在配置白名单中会出现sourceIP被更改的问题,此时可以去官网了解一下Kubernates的SourceIP机制。

主要有一下3种目标服务访问方式:

1、在集群外访问:集群外访问集群内的目标服务时,由于部署 了istio,此时,所有流量会通过istio的ingressgateway,流量在通过节点node时,sourceIP会被替换为node的IP地址,然后流量到达ingressgateway pods,此时白名单的配置生效,然而sourceIP已经不是原来的IP地址了。

最低0.47元/天 解锁文章
self_defining
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Istio的数据平面的流量控制模型介绍:详细分析并解释Istio的流量管理机制
程序员光剑
07-28 1018
Istio 是一款开源的服务网格(Service Mesh)管理框架,由 Google、IBM 和 Lyft 联合开发,基于 Envoy Proxy 代理实现,在微服务架构提供一种简单有效的方式来进行服务间通信、安全策略、可观察性等功能的统一管理。
【本人秃顶程序员】微服务2.0时代:Spring Cloud Netflix与 Kubernetes&Istio比较
本人秃顶程序员的博客
01-30 1644
←←←←←←←←←←←← 快!点关注 自微服务架构开始兴起已近三年多了,早期的Spring Cloud Netflix架构已经成熟,并已被Spring Cloud整合到解决通常云问题的新解决方案,例如,Sleuth,Zipkin,Contract等就是这种情况。 但是现在架构趋向于朝着不同的方向发展。在这篇文章,我们将分析迄今为止微服务架构的路径以及未来将伴随我们的工具和技术。 第1集:微服务...
Nginx、Ingress-Nginx、istio白名单设置
最新发布
m0_37642477的博客
04-03 1462
nginx黑白名单
OpenShift 4 之Istio-Tutorial (10) 访问白名单、黑名单
多恩斯基的博客
01-19 863
本系列OpenShift Servic Mesh教程是基于Red Hat官方公开发行的《Introducing Istio Service Mesh for Micoservices》出版物,我将所有操作在OpenShift 4.2.x环境进行了验证。喜欢读英文或者需要了解更多和场景相关知识点的小伙伴可以通过上面的链接下载该书慢慢阅读。 白名单和黑名单是用来允许或禁止访问Service Mesh...
istio使用教程和示例(导流,请求路由,访问拒绝,黑白名单,限速)
热门推荐
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
11-28 1万+
我们先下载下来istio的压缩包,其samples目录包含使用示例,我们使用其的Bookinfo应用 使用下面命令可以创建Bookinfo应用的组件 kubectl create ns istio-demo kubectl create -f &amp;amp;amp;amp;amp;amp;lt;(istioctl kube-inject -f samples/bookinfo/platform/kube/bookinfo.yaml)...
Istio系列学习(十四)----Istio策略适配器配置和Env适配器配置
我在深圳的这些日子的博客
02-15 733
一、Istio策略适配器配置 Istio Adapter 机制的另外一个重要应用是策略执行。 策略执行Adapter 负责处理 Mixer 转发的 Check 请求,并将该请求分发给对应的策略执行后端,根据后端的判断逻辑返回拒绝或通过,来控制网格内服务之间的访问。 List适配器 最简单的判断逻辑的 Adapter,它配置了一个黑名单或者白名单,匹配白名单则放行; 匹配黑名单则拒绝。 1.Handler的配置 对Handler的配置如下。 ◎ providerUrl:名单的地址,当使用本地名单时可以不进
Istio 的授权策略详解
ServiceMesher
07-22 1734
本文节选自 ServiceMesher 社区出品的开源电子书《Istio Handbook——Istio 服务网格进阶实践》,阅读地址:https://www.servicemesher...
第十一课 Kubernetes生产级实践-ServiceMesh代表作istio
QnHyn
10-25 483
第十一课 Kubernetes生产级实践-ServiceMesh代表作istio tags: k8s 慕课网 categories: ServiceMesh istio 文章目录第十一课 Kubernetes生产级实践-ServiceMesh代表作istio第一节 ServiceMesh代表作1.1 ServiceMesh介绍1.2 lstio架构和原理1.3 部署面向生产的istio第二节 istio核心功能实践2.1 部署微服务bookinfo2.2 智能路由第三节 深入遥测学习3.1
凌晨 12 点突发 Istio 生产事故!一顿操作猛如虎解决了
Qingcloudedu的博客
10-21 411
事故起因 业务上新集群,本来以为"洒洒水",11 点切,12 点就能在家睡觉了。流量切过来后,在验证过程,发现网页能够正常打开,在登录时返回了 502,当场懵逼。在相关的容器日志发现一个高频的报错条目“7000 端口无法连接”,向业务组了解到这是 redis 集群的一个端口,前后端是通过 redis 交互的,该集群同时还有 7001-7003 其它三个端口。 用 nc 命令对 redis 集群进行连接测试:向服务端发送 keys * 命令时,7000 端口返回的是 HTTP/1.1 400 Bad Re
istio学习—基于腾讯云的服务网格
qq_37283341的博客
10-13 796
从零开始部署istio微服务 前言 本教程基于腾讯云提供的服务网格,即istio 准备工作 在腾讯云创建一个集群(或自己安装k8s) 开通腾讯云的容器服务的服务网格(需要找客服开通白名单)(若自己配置istio可以根据官网的安装指南完成安装) 正式开始 示例应用 这里直接使用istio官网提供的Bookinfo应用(在下一章教程我会尝试自己编写应用) Bookinfo 应用分为四个单独的微服务: productpage. 这个微服务会调用 details 和 reviews 两个微服务,用
authorizationPolicy详解
mark's technic world
05-27 3189
学习目标 什么是AuthorizationPolicy 授权功能是 Istio 安全体系的一个重要组成部分,它用来实现访问控制的功能,即判断一个请求是否允许通过,这个请求可以是从外部进入 Istio 内部的请求,也可以是在 Istio 内部从服务 A 到服务 B 的请求。可以把授权功能近似地认为是一种四层到七层的“防火墙”,它会像传统防火墙一样,对数据流进行分析和匹配,然后执行相应的动作。 流程 Authorization policies support ALLOW, DENY ..
k8s实战之istio资源详解
07-02
云平台令使用它们的公司受益匪浅。但不可否认的是,上云会给 DevOps 团队带来压力。为了可移植性,开发人员必须使用微服务来构建应用,同时运维人员也正在管理着极端庞大的混合云和多云的部署环境。 Istio 允许您连接、保护、控制和观察服务。从较高的层面来说,Istio 有助于降低这些部署的复杂性,并减轻开发团队的压力。它是一个完全开源的服务网格,作为透明的一层接入到现有的分布式应用程序里。它也是一个平台,拥有可以集成任何日志、遥测和策略系统的 API 接口。Istio 多样化的特性使您能够成功且高效地运行分布式微服务架构,并提供保护、连接和监控微服务的统一方法。本课程详细讲解istio的各种crd资源,如何写yaml配置文件,以及他们会起什么作用。
记一次,istio1.4升级到1.7,当开启AuthorizationPolicy时,js访问服务跨域问题。
小洲同学的博客
05-13 438
istio1.4是用的Policy做原始认证和ServiceRole做的rbac,1.4版本也遇到过跨域,当时通过配置VS的corsPolicy得以解决: istio1.7在配置了VS的corsPolicy的情况下,当服务开启AuthorizationPolicy时候,还是会发生跨域问题。翻看了下istio1.7的源码,发现VS的corsPolicy内容增加了allowOrigins为list<map<String,String>>类型。(具体的原理有时间在来补充。。。)
istio服务安全
wenwenxiong的专栏
04-26 1449
istio RBAC(基于角色访问控制) istio RBAC支持namespace-level,service-level,method-level的服务访问控制。 Role-Base语义,支持服务到服务,用户到服务的认证 可以灵活的定义roles和role-bindings的properties mixter的认证相关instance为authorization apiVersi...
Istio简介
时光旅行者
12-24 574
什么是Istio? 官方地址https://istio.io/ 目前而言,在公司内使用云平台有大量的优点,然而,使用云技术也给DevOps团队带来压力,比如:开发人员必须使用微服务来设计系统可移植性,同时,运维人员也在管理非常庞大的混合部署和多云部署。Istio可以让你对服务的连接、安全、控制和监控进行管理。 进一步来说,ISTIO有助于减少这些部署的复杂性,减轻开发团队的压力。它是一个完全...
istio学习(三)修改Istio的ingressgateway实现会话保持并获取客户端真实IP地址
文若书生的专栏
11-18 1818
对于很多后端服务业务,我们都希望得到客户端源 IP。由于 istio ingressgateway 以及 sidecar 的存在,后端服务如果需要获取客户端源 IP,特别是四层协议,情况会变得比较复杂。下面介绍一种实现方式。
Istio 实现客户端源 IP 的保持
吉小白的博客
06-08 616
Istio 实现客户端源 IP 的保持
Istio 安全认证
hanjiangxue1006的博客
03-26 1078
Istio 安全认证架构 关联的组件 Citadel用于密钥和证书管理 Sidecar和周边代理实现客户端和服务器之间的安全通信 Pilot将授权策略和安全命名信息分发给代理 Mixer管理授权和审计 认证 Istio身份标识 不同平台身份标识 Kubernetes: Kubernetes 服务帐户 GKE/GCE: 可以使用 GCP 服务帐户 GCP: GCP 服务帐户...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值