智汇华云 | 深入理解Istio中的证书管理

最新推荐文章于 2023-01-04 09:56:32 发布
最新推荐文章于 2023-01-04 09:56:32 发布
阅读量732 收藏 2
点赞数
分类专栏: 华云数据技术专栏
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huayun2020/article/details/114363517
版权
本文详述了Istio中证书签发和管理的流程,包括CA Server的角色、SDS Server的工作机制以及数据面和控制面的证书认证。Istio作为一个微服务管理框架,其证书管理涉及组件如CA Server、SDS Server,通过它们实现TLS认证,确保服务间安全通信。
摘要由CSDN通过智能技术生成

Istio是由Google、IBM、Lyft联合开发的开源项目,它是一款微服务管理框架,也被称为第二代微服务Service Mesh代表。Istio的架构思想类似软件定义网络,近年来随着技术的不断发展,Istio因其轻量级、服务网格管理理念、兼容各大容器编排平台等优势在近两年脱颖而出。本期智汇华云将为大家详细描述 Istio 中证书签发和管理的整个流程以及涉及到的组件。

 

一、概述

 

本文会详细描述 Istio 中证书签发和管理的整个流程以及涉及到的组件,假设读者已经有一些技术储备,对于 Istio 中的基本概念和使用比较熟悉。

 

上图是 Istio 内部在签发证书时的流程和相关的组件。

 

  • 在Istiod内部有一个名为CA Server服务的组件,用来提供证书签名的服务。
  • 上图中Pod A是用户的负载,伴随着Pod A是Istio注入的sidecar,启动的主进程被称为Pilot Agent,它核心的功能是启动Envoy进程来劫持并管理Pod A的进出口流量,除此之外,在Pilot Agent还有一个名为SDS Server的组件,用来生成私钥和证书签名请求文件并向CA Server发起证书签名请求。
  • CA Server和SDS Server通信时,需要验证对方的身份,这时双方都需要有一个公共的CA根证书,这个根证书最初由CA Server在启动时创建,并存储于Kubernetes一个名为istio-ca-root-cert的ConfigMap对象中。这个ConfigMap会在注入sidecar时,挂载到sidecar的/var/r
最低0.47元/天 解锁文章
huayun2020
关注
专栏目录
智汇华云 | 华云软件定义网络 DCI介绍
weilidai的博客
08-03 255
SDN控制器的路由条目通告给华云软件定义网络GW, 华云软件定义网络GW根据配置面的VNI MAPPING信息将转换EVPN路由的Vxlan ID,Route Target以及修改路由下一跳为华云软件定义网络GW,然后通告给远端华云软件定义网络GW。华云软件定义网络支持基于EVPN VxLAN 的两个及以上数据心的连接,简称DCI(Data Center Interconnect),即华云软件定义网络支持多数据心之间以MP-BGP EVPN 作为控制平面的VxLAN Overlay网络。...
ISTIO-cert-manager-and-smallstep-ca:在以下示例,我将展示如何通过一小步来设置证书管理器,自动创建证书以及配置双向TLS ISTIO入口网关。
03-09
SmallStep是一个非常强大的工具,可用于许多建议和用例。 在以下示例,我将展示如何通过一小步设置证书管理器,自动创建证书以及配置双向TLS ISTIO入口网关。 要求: Kubernetes集群 掌舵(3人及以上) Kubectl 异辛醇 ISTIO的安装方式如下: istioctl install --set profile=demo 原子安装 克隆回购,然后运行: chmod +x setup.sh; ./setup.sh --name-space=istio-system 手动程序 1.在kubernetes集群上安装crt-manager kubectl apply -f https://github.com/jetstack/cert-manager/releases/download/v1.2.0/cert-manager.yaml 验证Pod已创建并正
Istio 证书管理方式介绍
ServiceMesher
01-03 479
原文发布于Jimmy Song 的博客[1]。我在如何理解 Istio 的 mTLS 流量加密[2]这篇文章提出流量加密的关键是证书管理。我们可以使用 Istio 内置了 CA(证书授权机构)也可以使用自定义 CA 来管理网格内的证书。这篇博客将为你讲解 Istio 是如何进行证书管理的。什么是证书?在介绍 Istio证书管理方式之前,我们先来了解一下什么是证书。若你已了解证书的...
深入Istio架构和功能--理解数据面/控制面/流量管理/安全/可观察性
网络安全研究
05-28 3931
Istio提供了服务网络(ServiceMesh)基础环境。解决了开发人员和运维人员所面临的从单体应用向分布式微服务架构转变的挑战。
一文带你彻底理解最热门微服务框架 Istio ( 文末送书,数量有限,先到先得!)...
easylife206的专栏
08-29 1586
什么是 Istio作为服务网格的实现产品,Istio 一经推出就备受瞩目,成为各大厂商和开发者争相追逐的 “香馍馍”。我个人认为 Istio 会成为继 Kubernete...
万字长文详解Istio
weixin_45727359的博客
01-09 338
简介在本教程,我们将介绍服务网格的基础知识,并了解它如何实现分布式系统架构。我们将主要关注Istio,它是服务网格的一种具体实现。在此过程,我们将介绍Istio的核心架构。什么是服务网...
智汇华云 | bcache原理及实践
weilidai的博客
05-13 383
​ 一、前言 简单介绍下bcache,bcache是linux内核块设备层的cache。主要是使用SSD盘在IO速度较慢的HDD盘上面做一层缓存,从而来提高HDD盘的IO速率。一个缓存设备(SSD)可以同时为多个后端设备(HDD)提供缓存。既然是缓存,那自然就会想到缓存策略,bcache支持三种缓存策略: writeback:回写策略,所有的数据将先写入缓存盘,然后等待系统将数据回写入后端数据盘。 writethrough:直写策略(默认策略),数据将会同时写入缓存盘和后端数据盘。 writ
智汇华云 | flashcache原理及实践
huayun2020的博客
04-29 234
flashcache,是facebook技术团队开发的新开源项目,主要目的是用SSD硬盘来缓存数据以加速MySQL的一个内核模块。可以看到,它最初是用来做数据库加速,但同时,它也被作为通用的缓存模块而设计,能够用于任何搭建在块设备上的应用程序。 一、简介及原理 1、工作原理 基于Device Mapper,它将快速的SSD硬盘和普通的硬盘映射成一个 带缓存的逻辑块设备,作为用户操作的接口。用户直接对这个逻辑设备执行读写操作,而不直接对底层的SSD或者普通硬盘操作。如果对底层的这些块设备操作, 那么会失
使用 Cert-Manager 和 SPIRE 管理 Istio 证书
最新发布
ServiceMesher
01-04 443
原文发布于Jimmy Song 的博客[1]。在上一篇博客[2]我介绍了 Istio 是如何管理证书的,这篇文章将指导你如何使用外置 CA,通过集成SPIRE[3]和cert-manager[4]实现细粒度的证书管理和自动证书轮换。如果你还不了解什么是 SPIRE 以及为什么我们要使用 SPIRE,推荐你阅读以下内容:•为什么 Istio 要使用 SPIRE 做身份认证?[5...
istio指南(文版)
10-09
istio指南(文版)是源自istio官网英文版的翻译版。
云原生社区最新力作《深入理解 Istio》出版
云原生实验室
06-27 488
云原生社区最新力作 —— 《深入理解 Istio》出版发售❝云原生实验室和电子工业出版社将为大家送出 5 本《深入理解 Istio:云原生服务网格进阶实战》。关注本公众号参与抽奖即可获取。听说过服务网格并试用过 Istio 的人可能都会有以下 5 个疑问:为什么 Istio 要绑定 Kubernetes 呢?Kubernetes 和服务网格分别在云原生扮演什么角色?Is...
Istio】源码解读Istio Watcher 证书更新后Istio执行的逻辑
12Dong的博客
06-28 431
源码地址 https://github.com/istio/istio/blob/master/pilot/pkg/proxy/envoy/watcher.go 从这份源代码主要可以看出 在证书变更之后,Istio执行了那些逻辑。 Watcher这份Golang源代码主要是对Istio Certificate目录监管 如果Certificate目录发生变化 则将所有的Certificate文...
查看ISTIO-CITADEL的证书信息
weixin_30254435的博客
07-25 361
进行任何一个POD,查看/etc/certs目录,即可知道证书信息。 kubectl exec -it reviews-v1-fd6c96c74-wptxg -c istio-proxy bash ls /etc/certs 三个证书文件: cert-chain.pem: 当前ENVOY需要提交给通信对方的ENVOY证书。有公钥。 key.pem: cert-chain.pem对...
Istio 安全源码分析——认证体系与通信安全
ServiceMesher
10-29 1253
作者:Mayo Cream[1],Kubernetes Member,CNCF Security TAG Member,OSS Contributor。本文分析 Istio 安全认证体系与...
istio证书签发流程
yevvzi的博客
08-07 1184
envoy 证书验证 combined_validation_context 组合的证书验证上下文包含默认的CertificateValidationContext和SDS配置。 当SDS服务器返回动态CertificateValidationContext时,动态和默认的CertificateValidationContext都将合并到新的CertificateValidationContext以进行验证。 此合并是通过Message::MergeFrom()完成的,因此动态的Certifica
坐标轮换法_深入了解Istio 1.6证书轮换
cunfu5234的博客
01-08 399
坐标轮换法 Istio是基于Envoy Proxy构建的功能强大的服务网格,可解决连接部署在云基础架构(例如Kubernetes )的服务的问题,并以安全,有弹性和可观察的方式进行连接。 Istio的控制平面可用于指定声明性策略,例如有关断路,流量路由,身份验证/授权等的策略。 等 Istio提供的一项重要功能是工作负载标识。 使用工作负载身份,我们可以将身份编码为可验证的文档,并围绕该身份实...
istio安全之Citadel
weixin_44833948的博客
09-29 1783
Citadel服务间mTLSCitadel工作原理CA ServerSDS ServerSecret ControllerMonitorCitadel功能演示开始mTLS Citadel 是 Istio 负责身份认证和证书管理的核心安全组件,1.5 版本之后取消了独立进程,作为一个模块被整合在 istiod 。 如图,Istio所希望的是在网格能够使用mTLS进行授权,而在网格外使用JWT+mTLS进行授权。服务间身份认证是使用mTLS,来源身份验证则是使用JWT。 服务间mTLS istio
istio的ca证书过期,更新ca证书
weixin_41069650的博客
05-23 1233
istio的ca证书过期,更新ca证书
小银行外部数据管理:错过最佳时期了吗?
数智汇作为专业数据管理平台提供商,以其对金融行业的深入理解和技术创新,助力银行解决这些问题。" 小银行是否错过了外部数据管理平台的最佳建设期?这个问题的答案似乎并不绝对。尽管小银行在数据维度的...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值