PeerAuthentication详解

最新推荐文章于 2023-08-01 19:20:29 发布
最新推荐文章于 2023-08-01 19:20:29 发布
阅读量910 收藏
点赞数
分类专栏: k8s实战之kubectl源码分析 文章标签: 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hxpjava1/article/details/117414262
版权

 欢迎关注我的公众号:

 目前刚开始写一个月,一共写了18篇原创文章,文章目录如下:

istio多集群探秘,部署了50次多集群后我得出的结论

istio多集群链路追踪,附实操视频

istio防故障利器,你知道几个,istio新手不要读,太难!

istio业务权限控制,原来可以这么玩

istio实现非侵入压缩,微服务之间如何实现压缩

不懂envoyfilter也敢说精通istio系列-http-rbac-不要只会用AuthorizationPolicy配置权限

不懂envoyfilter也敢说精通istio系列-02-http-corsFilter-不要只会vs

不懂envoyfilter也敢说精通istio系列-03-http-csrf filter-再也不用再代码里写csrf逻辑了

不懂envoyfilter也敢说精通istio系列http-jwt_authn-不要只会RequestAuthorization

不懂envoyfilter也敢说精通istio系列-05-fault-filter-故障注入不止是vs

不懂envoyfilter也敢说精通istio系列-06-http-match-配置路由不只是vs

不懂envoyfilter也敢说精通istio系列-07-负载均衡配置不止是dr

不懂envoyfilter也敢说精通istio系列-08-连接池和断路器

不懂envoyfilter也敢说精通istio系列-09-http-route filter

不懂envoyfilter也敢说精通istio系列-network filter-redis proxy

不懂envoyfilter也敢说精通istio系列-network filter-HttpConnectionManager

不懂envoyfilter也敢说精通istio系列-ratelimit-istio ratelimit完全手册

学习目标

什么是PeerAuthentication

PeerAuthentication defines how traffic will be(mtls) tunneled (or not) to the sidecar.

资源详解

FieldTypeDescriptionRequired
selectorWorkloadSelectorThe selector determines the workloads to apply the ChannelAuthentication on. If not set, the policy will be applied to all workloads in the same namespace as the policy.No
mtlsMutualTLSMutual TLS settings for workload. If not defined, inherit from parent.No
portLevelMtlsmapPort specific mutual TLS settings.No

没有selector

全局有效

pa-default-global.yaml

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: default
  namespace: istio-system
spec:
  mtls:
    mode: STRICT

For mesh level, put the policy in root-namespace according to your Istio installation.

默认工作负载都启用mtls

关闭productpage mtls

dr-productpage-mtls-disable.yaml

apiVersion: networking.istio.io/v1beta1
kind: DestinationRule
metadata:
  name: productpage
spec:
  host: productpage
  subsets:
  - labels:
      version: v1
    name: v1
  trafficPolicy:
    tls:
      mode: DISABLE

访问失败

名称空间有效

pa-default.yaml

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: default
spec:
  mtls:
    mode: STRICT

selector

pa-productpage-selector.yaml

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: productpage
spec:
  selector:
    matchLabels:
      app: productpage
  mtls:
    mode: STRICT

mtls

PeerAuthentication.MutualTLS.Mode

NameDescription
UNSETInherit from parent, if has one. Otherwise treated as PERMISSIVE.
DISABLEConnection is not tunneled.
PERMISSIVEConnection can be either plaintext or mTLS tunnel.
STRICTConnection is an mTLS tunnel (TLS with client cert must be presented).

mode

UNSET

pa-productpage-mode-UNSET.yaml

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: productpage
spec:
  selector:
    matchLabels:
      app: productpage
  mtls:
    mode: UNSET

DISABLE

pa-productpage-mode-DISABLE.yaml

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: productpage
spec:
  selector:
    matchLabels:
      app: productpage
  mtls:
    mode: DISABLE

PERMISSIVE

pa-productpage-mode-PERMISSIVE.yaml

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: productpage
spec:
  selector:
    matchLabels:
      app: productpage
  mtls:
    mode: PERMISSIVE

STRICT

pa-productpage-mode-STRICT.yaml

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: productpage
spec:
  selector:
    matchLabels:
      app: productpage
  mtls:
    mode: STRICT

portLevelMtls

pa-productpage-portLevelMtls.yaml

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: productpage
spec:
  selector:
    matchLabels:
      app: productpage
  mtls:
    mode: STRICT
  portLevelMtls:
    9080:
      mode: DISABLE
hxpjava1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Istio中的安全策略
JosephThatwho的博客
03-15 726
微服务带来灵活性、可伸缩性和复用性的同时,还需要考虑一下安全问题: 使用流量加密组织中间人攻击 提供灵活的访问控制,比如双向TLS加密和细粒度的访问策略 检索谁在什么时间做了什么操作,这需要审计工具 Istio可以处理内外部的威胁,给数据、端点、通信和平台提供安全性。 Istio提供了强身份认证、权限策略、传输TLS加密以及认证、授权和审计(AAA)工具。 上层架构 Istio的安全性涉及多个部分: 用于密钥和证书管理的证书颁发机构(CA) 配置API服务器分发给代理 认证策略 鉴权策略 安全命名
HTTPS原理以及Java实现
清箫的专栏
12-07 6014
HTTPS协议是HTTP协议和SSL协议的结合体,使用HTTPS发送数据意味着消息首先经过SSL加密,然后通过HTTP协议转发,最后再由接收方的SSL解密。 都知道SSL/TLS使用了非对称加密(RAS或DSA),但非对称加密是很复杂而且很慢的。所以在实际中,客户端拿到第三方CertificateAuthority提供的数字证书(包含公钥),解出公钥之后并不是直接用公钥对数据做非对称加密。而是利
Istio 安全 mTLS认证 PeerAuthentication
最新发布
小楼一夜听春雨,深巷明朝卖杏花
08-01 1503
mTLS (mutual TLS,双向TLS): 让客户端和服务器端通信的时候都必须进行TLS认证默认情况下,在网格内部默认启用了mTLS了。在网格里面所有的pod, 不管是istio使用到的pod,还是普通创建的pod1 pod2,都会通过mtls来进行通信,也就是互相认证。上面其实就演示了网格之外的主机要和pod通信的时候必须得要建立这样一个mtls的通信。对于网格之外的主机,网格外面的主机和pod通信的时候并没有要求使用tls认证。STRICT:工作负载仅接受双向TLS通信。
PostgreSQL 登录报错 psql: FATAL: Peer authentication failed for user
u011250186的博客
12-17 5491
在 peer 错误前,我安装 pgsql 后使用默认用户 postgres 登录的时候报错,当我直接敲命令# psql, psql: could not connect to server: No such file or directory Is the server running locally and accepting connections on Unix...
PostgreSQL: IDENT authentication failed for user postgres
BRUNI (不如你) 's CSDN BLOG
09-21 9024
PostgreSQL: IDENT authentication failed for user postgres出现这个问题是因为PostgreSQL的Client Authentication 使用了ident authentication. 通过修改pg_hda.conf可以解决.Ref: http://www.postgresql.org/docs/8.1/interactive/cl
QValueAxis详解
04-06
QValueAxis详解QValueAxis详解QValueAxis详解QValueAxis详解QValueAxis详解QValueAxis详解QValueAxis详解QValueAxis详解QValueAxis详解QValueAxis详解QValueAxis详解QValueAxis详解QValueAxis详解QValueAxis详解...
iptables 详解iptables 详解
12-02
iptables 详解
Meta标签详解
10-31
Meta标签详解
cdn技术详解
01-25
cdn技术详解,高清影印版,内含部分心得。 cdn技术详解,高清影印版,内含部分心得。
WebView详解
03-03
WebView详解
Postgres 解决"Peer authentication failed for user 'postgres'"的问题
weixin_34326429的博客
04-17 287
为什么80%的码农都做不了架构师?>>> ...
PostgreSQL提示:‘psql: FATAL: ”Peer authentication failed for user ”postgres“’错误
weixin_42555131的博客
07-03 8413
#将文件Database administrative 下列中的peer改为trust $sudo nano /etc/postgresql/10/main/pg_hba.conf #重新加载配置 $sudo /etc/init.d/portgresql reload #peer(不可信),trust(可信),md5(加密)          ...
FATAL: Peer authentication failed for user "postgres" 解决方法
万里归来少年心
04-02 6880
使用如下命令创建数据库mydb时,会抛出错误: [root@April ~]# createdb mydb createdb: could not connect to database template1: FATAL: role "root" does not exist mydb是待创建的数据库名称,root是用户名。由于在postgreSQL数据库中没有名为root...
[istio]istio学习笔记
小小李的博客
12-27 692
1.k8s部署,可以参考k8s部署 2.下载istio curl -L https://istio.io/downloadIstio | sh - 将istio的bin加入到环境变量 [root@master ~]# cat ~/.bash_profile |grep istio PATH=/home/yunwei/istio-1.5.1/bin:$PATH:$HOME/bin 3.安装istio istioctl manifest apply --set profile=demo .
Istio的安全性
Linux_cui的博客
08-14 328
istio安全认证
Istio安全架构--理解身份/认证/授权
网络安全研究
04-08 2463
Istio 安全的目标是: - 默认安全:应用程序代码和基础设施无需更改 - 深度防御:与现有安全系统集成以提供多层防御 - 零信任网络:在不受信任的网络上构建安全解决方案
k8s问题分析解决unable to recognize "pet-set.yaml": no matches for kind "PetSet" in version "apps/v1beta1"
热门推荐
ucsheep-You see sheep!
08-20 2万+
本来是想在k8s中创建一个有状态的服务的,结果写好yaml文件,启动的时候,却报出如下错误。 unable to recognize "pet-set.yaml": no matches for kind "PetSet" in version "apps/v1beta1" 翻译的结果是,在api-version "apps/v1beta1"中没有匹配的kind “PetSet”。 最终确...
IO Error: Connection reset by peer, Authentication lapse 140354 ms.问题的解决
java is 因缺思厅
08-07 1万+
今天在公司服务器上搭建新环境,部署项目时,一切准备就绪了,但是却发现项目总是启动失败,启动日志报:“IO Error: Connection reset by peer, Authentication lapse 140354 ms…”这个错误。 因为这个错误是在数据库连接时报出来的,我第一反应是数据库连接异常—权限问题,可能是密码或用户名有误,找了dba确认密码,用户名无误后,就开始寻找其他突破...
Peer authentication failed for user
weixin_33888907的博客
06-06 2270
2019独角兽企业重金招聘Python工程师标准>>> ...
C语言链表详解.ppt
11-15
C语言链表详解.ppt

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

hxpjava1

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值