智汇华云 | 深入理解Istio中的证书管理

最新推荐文章于 2023-02-21 21:57:15 发布
最新推荐文章于 2023-02-21 21:57:15 发布
阅读量731 收藏 2
点赞数
分类专栏: 华云数据技术专栏
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huayun2020/article/details/114363517
版权
本文详述了Istio中证书签发和管理的流程,包括CA Server的角色、SDS Server的工作机制以及数据面和控制面的证书认证。Istio作为一个微服务管理框架,其证书管理涉及组件如CA Server、SDS Server,通过它们实现TLS认证,确保服务间安全通信。
摘要由CSDN通过智能技术生成

Istio是由Google、IBM、Lyft联合开发的开源项目,它是一款微服务管理框架,也被称为第二代微服务Service Mesh代表。Istio的架构思想类似软件定义网络,近年来随着技术的不断发展,Istio因其轻量级、服务网格管理理念、兼容各大容器编排平台等优势在近两年脱颖而出。本期智汇华云将为大家详细描述 Istio 中证书签发和管理的整个流程以及涉及到的组件。

 

一、概述

 

本文会详细描述 Istio 中证书签发和管理的整个流程以及涉及到的组件,假设读者已经有一些技术储备,对于 Istio 中的基本概念和使用比较熟悉。

 

上图是 Istio 内部在签发证书时的流程和相关的组件。

 

  • 在Istiod内部有一个名为CA Server服务的组件,用来提供证书签名的服务。
  • 上图中Pod A是用户的负载,伴随着Pod A是Istio注入的sidecar,启动的主进程被称为Pilot Agent,它核心的功能是启动Envoy进程来劫持并管理Pod A的进出口流量,除此之外,在Pilot Agent还有一个名为SDS Server的组件,用来生成私钥和证书签名请求文件并向CA Server发起证书签名请求。
  • CA Server和SDS Server通信时,需要验证对方的身份,这时双方都需要有一个公共的CA根证书,这个根证书最初由CA Server在启动时创建,并存储于Kubernetes一个名为istio-ca-root-cert的ConfigMap对象中。这个ConfigMap会在注入sidecar时,挂载到sidecar的/var/r
最低0.47元/天 解锁文章
huayun2020
关注
专栏目录
小银行是否错过外部数据管理平台最佳建设期?.docx
12-16
此外,数智汇的外部数据管理平台还提供了快速集成力、一键式服务编排、数据质量评估、外部数据统一存储、数据预处理能力、API网关统一规划等功能,可以帮助银行快速实现外部数据管理平台的建设和实施。 小银行...
Istio 证书管理方式介绍
ServiceMesher
01-03 479
原文发布于Jimmy Song 的博客[1]。我在如何理解 Istio 的 mTLS 流量加密[2]这篇文章提出流量加密的关键是证书管理。我们可以使用 Istio 内置了 CA(证书授权机构)也可以使用自定义 CA 来管理网格内的证书。这篇博客将为你讲解 Istio 是如何进行证书管理的。什么是证书?在介绍 Istio证书管理方式之前,我们先来了解一下什么是证书。若你已了解证书的...
Istio】源码解读Istio Watcher 证书更新后Istio执行的逻辑
12Dong的博客
06-28 431
源码地址 https://github.com/istio/istio/blob/master/pilot/pkg/proxy/envoy/watcher.go 从这份源代码主要可以看出 在证书变更之后,Istio执行了那些逻辑。 Watcher这份Golang源代码主要是对Istio Certificate目录监管 如果Certificate目录发生变化 则将所有的Certificate文...
Istio 安全源码分析——认证体系与通信安全
ServiceMesher
10-29 1252
作者:Mayo Cream[1],Kubernetes Member,CNCF Security TAG Member,OSS Contributor。本文分析 Istio 安全认证体系与...
istio证书签发流程
yevvzi的博客
08-07 1183
envoy 证书验证 combined_validation_context 组合的证书验证上下文包含默认的CertificateValidationContext和SDS配置。 当SDS服务器返回动态CertificateValidationContext时,动态和默认的CertificateValidationContext都将合并到新的CertificateValidationContext以进行验证。 此合并是通过Message::MergeFrom()完成的,因此动态的Certifica
istio安全之Citadel
weixin_44833948的博客
09-29 1782
Citadel服务间mTLSCitadel工作原理CA ServerSDS ServerSecret ControllerMonitorCitadel功能演示开始mTLS Citadel 是 Istio 负责身份认证和证书管理的核心安全组件,1.5 版本之后取消了独立进程,作为一个模块被整合在 istiod 。 如图,Istio所希望的是在网格能够使用mTLS进行授权,而在网格外使用JWT+mTLS进行授权。服务间身份认证是使用mTLS,来源身份验证则是使用JWT。 服务间mTLS istio
毕业设计VB智汇人力管理系统(源代码+论文).zip
最新发布
08-13
VB智汇人力管理系统是一款专为现代企业设计的高效、全面的人力资源管理解决方案,它基于Visual Basic(VB)开发,集成了人力资源管理领域的多项核心功能,旨在帮助企业实现人力资源的精细化管理和高效运营。...
SAAS云财务管理系统,解决方案
04-29
### SAAS云财务管理系统——智汇财会管理系统解决方案 #### 一、产品概述 智汇财会管理系统是一款专为小微企业量身打造的财务管理软件。它由广东靖元科技有限公司自主研发,旨在通过提供一站式财务管理解决方案,...
智汇交通APP
08-04
内容简介: 1、这是一款关于驾校服务的APP。内容覆盖各大驾校的详细简介,包括您可以针对您喜欢的驾校选择你比较满意的教练进行全面的练车教学服务; 2、在本APP内,您可以针对您需要的服务方式去选择一站式拿证、有...
智慧园区运营管理平台解决方案.ppt
10-27
酒店业态,智慧安防、智慧巡更报警心、入侵报警、消防报警、视频AI电梯管理、智慧物联环境监测系统等功能,确保了酒店的安全和舒适。同时,酒店业态还提供了会议通行、停车管理、人脸识别、门禁管理、访客预约等...
istio初步了解
weixin_47677347的博客
02-21 502
istio入门
Istio(Envoy)+ Cert-Manager +Let's Encrypt for TLS
殷龙飞的专栏
06-20 2292
Istio(Envoy)+ Cert-Manager +Let’s Encrypt for TLS 更新 感谢 Laurent Demailly 的评论,这里有一些更新。这篇文章已经得到了更新: 现在有一个 Cert-Manager 官方 Helm 图表 Istio Ingress 也支持基于 HTTP/2 的 GRPC Istio Istio管理微服务世界数据流的新方...
Istio-PilotAgent源码分析
a1023934860的博客
07-29 1023
至此agnet流程分析结束,本文还有主要分析了证书的使用,对于status判断,审计,日志等没有进行分析.本文感觉agent的配置有些混乱有些用法重复.可能有同学观察到,SDSserver有xdsserver,它与xdsproxy有什么不一样的地方嘛?...
Istio 安全认证
hanjiangxue1006的博客
03-26 1079
Istio 安全认证架构 关联的组件 Citadel用于密钥和证书管理 Sidecar和周边代理实现客户端和服务器之间的安全通信 Pilot将授权策略和安全命名信息分发给代理 Mixer管理授权和审计 认证 Istio身份标识 不同平台身份标识 Kubernetes: Kubernetes 服务帐户 GKE/GCE: 可以使用 GCP 服务帐户 GCP: GCP 服务帐户...
查看ISTIO-CITADEL的证书信息
weixin_30254435的博客
07-25 361
进行任何一个POD,查看/etc/certs目录,即可知道证书信息。 kubectl exec -it reviews-v1-fd6c96c74-wptxg -c istio-proxy bash ls /etc/certs 三个证书文件: cert-chain.pem: 当前ENVOY需要提交给通信对方的ENVOY证书。有公钥。 key.pem: cert-chain.pem对...
istio的ca证书过期,更新ca证书
weixin_41069650的博客
05-23 1232
istio的ca证书过期,更新ca证书
Istio - Https Gateway
罗小爬的技术宝书
09-09 7067
之前Istio在测试环境、云环境(华为云、阿里云)上,都是用的Nginx挂载的Https证书; 测试环境: (1)外网域名(含有固定前缀,例如:*-fat.xxx.com)通过dnsPod直接指到Nginx地址; (2)在Nginx 443端口上挂载Https ssl配置(证书、私钥); (3)Nginx 443端口监听外网域名并转发请求到Istio Ingress网关IP+http端口(...
Istio安全架构--理解身份/认证/授权
网络安全研究
04-08 2527
Istio 安全的目标是: - 默认安全:应用程序代码和基础设施无需更改 - 深度防御:与现有安全系统集成以提供多层防御 - 零信任网络:在不受信任的网络上构建安全解决方案
Istio Ingress
Ybt_c_index的博客
05-11 3790
这个课题描述如何配置才能让Istio服务网格集群的服务暴露。在k8s环境,Kubernetes Ingress Resource允许用户指定集群暴露给外部的服务。它允许为每个虚拟主机和路径定义一个后端服务。 一旦Istio Ingress被指定,进入集群的流量将直接通过 istio-ingress 服务。因此,Isito的功能(如监控和路由规则)可应用于进入集群的流量。 Istio I...
小银行外部数据管理:错过最佳时期了吗?
数智汇作为专业数据管理平台提供商,以其对金融行业的深入理解和技术创新,助力银行解决这些问题。" 小银行是否错过了外部数据管理平台的最佳建设期?这个问题的答案似乎并不绝对。尽管小银行在数据维度的...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值