基于服务网格的集群访问控制

最新推荐文章于 2024-09-30 16:14:03 发布
最新推荐文章于 2024-09-30 16:14:03 发布
阅读量513 收藏 12
点赞数 13
文章标签: 容器 云原生 service mesh
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m1024292777/article/details/142639500
版权

随着容器化、云原生等概念的火热,越来越多的应用都开始选择支持云原生部署,但是对于大型企业应用来说,各种为服务的拆分会导致集群运维的压力越来越大,尤其是服务之间的安全通信至关重要。

在容器化集群中,传统的基于IP或端口的访问控制方式已经无法满足需求。引入服务网格(如Istio)不仅可以简化服务间的通信,还能通过强大的访问控制策略增强安全性。下面我们将通过一个简单的示例来说明如何利用Istio中的AuthorizationPolicy资源实现细粒度的访问控制。

1. 什么是服务网格?

服务网格是一种轻量级的基础设施层,用于服务间的网络通信。它提供了一种统一的方式来管理服务之间的交互,包括身份验证、授权、监控等。Istio 是一个非常流行的服务网格框架实现,可以帮助我们轻松实现这些功能。

2. 实现细粒度访问控制

对于在集群中服务网格的访问控制主要有以下两种场景:

  • 集群外请求访问集群内应用

  • 集群内应用之间的互相调用

假设我们有一个简单的微服务架构,包含两个服务:frontend 和 backend。我们需要实现两个需求

  • 只有1.2.3.4/16IP段能访问frontend

  • 只有frontend才能访问 backend 应用服务。

3. 示例实现

配置1:只有1.2.3.4/16IP段能访问frontend

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: test
spec:
  action: DENY
  rules:
  - from:
    - source:
        ipBlocks:
        - 1.2.3.4/16
  selector:
    matchLabels:
      app: frontend

配置2: 只有default资源池下的frontend才能访问 backend 服务。

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: test
spec:
  action: DENY
  rules:
  - from:
    - source:
        ipBlocks:
        - 1.2.3.4/16
  selector:
    matchLabels:
      app: frontend

通过以上的配置1,frontend应用(选择器为app:frontend)只会接受1.2.3.4/16网段的请求访问,而在集群内惊醒服务调用backend时,配置2通过集群RBAC机制的ServiceAccount识别,只允许frontend通过GET或POST访问/api/*接口,由此可实现简易的集群访问控制。

对于集群外访问的应用控制,Heimdall云原生网关系统提供了黑白名单相关功能用以实现对集群外访问的IP(段)地址或域名进行访问权限的控制。通过提供的菜单页面可以快速实现IP(段)以及域名黑白名单,可以为紧急安全事件提供快捷处理的入口。

以上只是istio服务网格在访问控制方面的简单应用。随着其不断迭代升级,现在的istio通过AuthorizationPolicy等诸多资源的配合,可实现鉴权、认证、访问控制、外接三方认证以及自定义扩展等与权限相关的功能,通过这些功能可以实现各种细粒度需求的权限控制。

欢迎大家积极留言共建,期待与各位技术大咖的深入交流!

此外,欢迎大家下载我们的inBuilder低代码平台开源社区版,可免费下载使用,加入我们,开启开发体验之旅!

inBuilder低代码平台
关注
Istio服务网格进阶③:基于Istio服务网格实现灰度发布机制
江晓龙的博客
09-01 1496
灰度发布的例子:一个应用程序有2个版本,V1版本为线上生产环境的版本的,V2版本为即将上线的版,需要同时将两个版本的应用程序部署,并且全部接入到负载均衡中,通过灰度发布控制,V1版本承担90%的流量,V2版本承担10%的的流量,观察运行效果,循序渐进,最新V1版本下线,V2版本提供线上服务。Kubernetes集群的Pod程序版本升级的默认方式就是滚动发布,先运行一个新版本的Pod,健康检查机制通过后才会将旧版本的Pod删除,不断的执行这个过程,直到所有的Pod全部升级成新的版本为止。绑定hosts解析。.
基于Kubernetes的服务网格介绍
Docker的专栏
01-22 1135
在Kubernetes和微服务之间,服务网格提供了重要的一层。Kubernetes已经解决了容器编排的问题,对于云原生生态圈来说,剩下的问题是如何使微服务的交付更有效和更有弹性。这个问题...
谈谈我对服务网格的理解
阿里巴巴云原生的博客
11-14 544
服务网格作为一种用来管理应用服务通信的基础核心技术,为应用服务间的调用带来了安全、可靠、快速、应用无感知的流量路由、安全、可观测能力。
istio服务网格
qq_41674943的博客
12-24 856
istio服务网格服务网格介绍什么是istio名词解析Sidecar 是什么Sidecar 如何工作istio特点使用场景工作说明为什么要使用istioistio 使用教程安装istio部署示例应用通过检查返回的页面标题对外开放应用程序确定入站 IP 和端口设置入站 IP 地址和端口其他平台的环境配置验证外部访问查看Kiali仪表板服务构成实现效果智能路由监控分布式追踪访问日志熔断使用JWT进行访问控制我们应该始终使用服务网格吗? 服务网格介绍 现代应用程序通常被设计成微服务的分布式集合,每个服务执行一些
云原生|技术基石】4:速通云原生基石-Istio服务网格
热门推荐
06-14 4万+
现在本篇文章的学习可以学到:Istio的基本原理、架构以及组成部件的作用。Istio提供一种简单的方式来建立已部署的服务的网络,具备负载均衡,服务服务认证,监控等等功能,而不需要改动任何服务代码。简单的说,有了istio,你的服务就不再需要任何微服务开发框架(典型如spring cloud,dubbo),也不再需要自己动手实现各种复杂的服务治理的功能(很多是spring cloud和dubbo也不能提供的,需要自己动手)。只要服务的客户端和服务器可以进行简单的直接网络访问,就可以通过将网络层委托给。 ..
是否选择多集群 —— 使用服务网格集群间通信
ServiceMesher
04-06 282
本文翻译自To Multicluster, or Not to Multicluster: Inter-Cluster Communication Using a Service Mes...
基于 Apache APISIX 的服务网格方案
weixin_45583158的博客
08-20 2069
服务网格Service Mesh)是处理服务间通信的基础设施层。它负责构成现代云原生应用程序的复杂服务拓扑来可靠地交付请求。通常会为每个服务实例提供一个“边车”(sidecar)代理实例...
K8S 服务网格
王小工小工历程
08-08 1374
K8s(Kubernetes)服务网格是一种将服务之间的通信从应用层解耦到基础设施层的技术,它提供了一种透明且独立于语言的方式来自动化运维应用程序的网络功能。
服务服务网格有什么区别,Istio告诉你
琦彦
07-31 10000
原文发表于kubernetes中文社区,为作者原创翻译,原文地址 更多kubernetes文章,请多关注kubernetes中文社区 目录 微服务架构的好处 微服务架构的组件 微服务架构的复杂性 为什么我们需要服务网格服务网格架构的组件 微服务的业务逻辑 基本网络功能 应用网络功能 服务网格控制平面 使用Istio实施服务网格 Istio的核心能力 核心Istio组件 当组织将应用程序分解为多个较小的服务组件时,即称为微服务。与传统的单体应用方式相比...
kubernetes访问控制服务网格istio
04-19
在Kubernetes集群中,访问控制是保障系统安全的重要机制,它确保只有经过适当授权的用户或服务能够执行特定的操作。Kubernetes采用基于角色的访问控制(Role-Based Access Control,简称RBAC)来实现这一目标。RBAC...
行业-基于云原生服务网格的AI模型部署方案.rar
09-14
3. **安全性和隔离性**:服务网格提供认证、授权和加密机制,保护AI模型免受未授权访问,同时可以实现服务之间的隔离,防止单一模型故障影响整个系统。 4. **可观测性**:服务网格收集并分析服务间的交互数据,提供...
分布式计算、并行计算及集群网格、云计算的区别.docx
10-06
云计算是一种基于互联网的计算方式,用户可以通过网络访问和使用远程的计算资源,而不需要了解底层的计算资源是如何部署的。云计算可以看作是分布式计算和网格计算的发展方向,是一种更加灵活、可靠和高效的计算模式...
【赵渝强老师】K8s的DaemonSets控制器
赵渝强老师CSDN博客主页
09-21 1563
DaemonSet控制器相当于在节点上启动了一个守护进程。通过使用DaemonSet可以确保一个Pod的副本运行在 Node节点上。如果有新的Node节点加入集群,DaemonSet也会自动给新加入的节点增加一个Pod的副本;反之,当有Node节点从集群中移除时,DaemonSet也可以保证将这些Pod自动回收。当删除 DaemonSet将会删除它创建的所有Pod。Kubernetes允许在节点上针对不同的类型的守护进程单独启动一个DaemonSet;
【分布式微服务云原生】windows+docker+mysql5.7.44一主一从主从复制
Dylaniou的博客
09-27 1244
在Windows系统上通过Docker部署MySQL主从复制,以下是详细的步骤和命令,帮助你设置一主一从的MySQL复制环境。
【分布式微服务云原生】有哪些流行的微服务架构以及各自的组件,怎么完成服务治理等。
Dylaniou的博客
09-28 1020
在具体实践中,微服务架构需要解决客户端如何访问服务服务间的通信方式、服务的发现与管理以及服务的备份与应急处理等问题。服务治理的核心目标是确保服务之间的高效、可靠通信,同时简化服务的生命周期管理,提高系统的整体稳定性和可维护性。服务治理包括服务注册与发现、配置管理、服务路由、负载均衡、熔断机制、服务监控和故障定位等方面。微服务架构的流行设计模式包括API网关模式、客户端UI组合模式、服务与数据库一一对应模式、Saga模式、断路器模式、按业务能力或子域分解模式等。服务与数据库一一对应模式。
云原生周刊:Argo CD v2.13 发布候选版本丨2024.9.30
KubeSphere
09-30 457
最新发布的 Ratify v1.3.0 不仅增强了签名验证功能,还优化了密钥管理和错误信息,同时提升了项目的整体安全性。在日益复杂的 IT 环境中,手动管理和更新多个 Kubernetes 集群的部署配置成为了一项既耗时又容易出错的任务。为了解决这一挑战,本文详细介绍了如何利用 Ansible 这一强大的自动化工具,实现 Kubernetes 集群部署更新的自动化处理。NixOS 是一个基于 Nix 的 Linux 发行版,允许用户以声明式方式定义整个系统的配置和包依赖,从而简化了环境管理和部署。
云原生数据库 PolarDB
最新发布
yuanmomoya的博客
09-30 460
云原生数据库 PolarDB 是阿里云自研产品,在存储计算分离架构下,利用了软硬件结合的优势,为用户提供秒级弹性、高性能、海量存储、安全可靠的数据库服务。100%兼容MySQL和PostgreSQL生态,支持分布式扩展,高度兼容Oracle语法。
【分布式微服务云原生】K8s(Kubernetes)基本概念和使用方法
Dylaniou的博客
09-27 1238
Kubernetes简称K8S,是一个强大的开源容器编排平台,用于自动化部署、扩展和管理容器化应用程序。它最初由Google设计,并由Cloud Native Computing Foundation(CNCF)维护。以下是Kubernetes的一些基本概念和使用方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值