istio使用lua脚本实现外部授权

最新推荐文章于 2023-05-06 15:42:09 发布
最新推荐文章于 2023-05-06 15:42:09 发布
阅读量588 收藏
点赞数
文章标签: istio 云原生 kubernetes gateway Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mywebuser/article/details/129494909
版权

使用场景

istio具有外部授权扩展,可以通过开发外部扩展的方式,到访问进行授权拦截,可参考官方的外部授权例子。但在实际应用中,外部授权已经存在了,或者是第三方的应用,不可能再重新开发了,这时使用官方的外部授权的例子已经适合了,但好在istio有好的扩展性,可以使用istio的EnvoyFilter的lua脚本功能,连接到外部授权。最近项目中有个需求,需要使用已经存在的外部服务提供istio的访问授权,查看了istio的EnvoyFilter配置实例,决定采用EnvoyFilter的lua扩展,通过lua扩展中的httpCall功能调用授权服务。lua http扩展就是envoy的扩展,详细参照这里。下面摘取httpCall()进行简单说明:

httpCall()

注意这个方法需要放到function envoy_on_request(request_handle)方法里,因为这个方法是request_handle的一个方法。

function envoy_on_request(request_handle)
  -- 使用下面的头、正文和超时对上游主机做一个 HTTP 调用。
  local headers, body = request_handle:httpCall(
  "lua_cluster",
  {
    [":method"] = "POST",
    [":path"] = "/",
    [":authority"] = "lua_cluster"
  },
  "hello world",
  5000)
  -- 添加来自 HTTP 调用的信息到将要被发送到过滤器链中下一个过滤器的头。
  request_handle:headers():add("upstream_foo", headers["foo"])
  request_handle:headers():add("upstream_body_size", #body)
end

对一台上游主机做一个 HTTP 调用。调用脚本会返回headers与body。cluster 是一个字符串,映射为一个配置好的集群管理器。headers 一个要发送的键值对的表。注意,:method:path:authority 头必须被设置。body 是一个可选的要发送的正文数据的字符串。timeout 是一个整数,指定以微秒为单位的调用超时。

返回 headers,这是响应头的一个表。返回 body,这是响应正文的字符串。如果没有正文,则返回空。

有了这个方法,就为istio的扩展提供了无限可能,可以提供更复杂的业务逻辑控制,这些逻辑控制可以使用你所熟悉的任何语言,任何体系架构,只需要提供一个接口给httpCall,在httpCall调用前后,加上简单的lua逻辑代码,实现与外部授权(不光是授权,别的业务功能亦可)服务的交互对接。

实例应用

现在有这么一个需求,访问k8s apiserver时,需要进行精确的授权,如多租户及更精确的角色权限,还有创建k8s apiserver只有rolebindings,还有在创建各种k8s对象时,需要检查特定规则的labels是不合规,类似这样的场景在k8s本身提供的apiserver中比较难以做到,这都需要通过一个外围的应用进行控制。在访问k8s apiserver 时,经过istio提供的路由访问,配合httpCall,就可以调用授权服务,进行apiserver接口的各类业务控制了。

因本例子中apiserver是https,需要将https转http才能使用,详细可看我的另一往篇文章《istio的http访问https外部服务配置》,这里只贴出EnvoyFilter部分代码

apiVersion: networking.istio.io/v1alpha3
kind: EnvoyFilter
metadata:
  name: my-auth-ef
spec:
  workloadSelector:
    labels:
      istio: ingressgateway
  configPatches:
  - applyTo: HTTP_FILTER
    match:
        context: GATEWAY
        listener:
          name: 0.0.0.0_8080
          filterChain:
            filter:
              name: envoy.filters.network.http_connection_manager
              subFilter:
                name: envoy.filters.http.router
    patch:
        operation: INSERT_BEFORE
        value:
            name: envoy.filters.http.lua
            typed_config:
              "@type": type.googleapis.com/envoy.extensions.filters.http.lua.v3.Lua
              inlineCode: |
                  local auth_headers = {
                    [":method"] = "GET",
                    [":path"] = "/authCheck",
                    [":authority"] = "httpk8s.com"
                   }
                  local headers, body = request_handle:httpCall("lua_cluster",auth_headers,auth_body,5000)
                  --auth服务返回的是json string,这里需要JSON工具转成json对象
                  --任意找一个lua的JSON包引入或者贴到此代码的前面
                  local jBody = JSON.toJSON(body)
                  if jBody then
                        if jBody.code == 200 and jBody.token then
                                request_handle:headers():add("Authorization", jBody.token)
                                return
                        else
                                request_handle:respond({[":status"] = jBody.code},body)
                        end
                  end
                  request_handle:respond({[":status"] = 401},"Unauthorized")
                end
  - applyTo: CLUSTER
    match:
      context: ANY
      cluster: {}
    patch:
      operation: ADD
      value:
        name: lua_cluster
        connect_timeout: 0.25s
        type: STRICT_DNS
        lb_policy: ROUND_ROBIN
        load_assignment:
          cluster_name: lua_cluster
          endpoints:
          - lb_endpoints:
            - endpoint:
                address:
                  socket_address:
                    address: my-auth.myistio.svc.cluster.local
                    port_value: 8091

注意上面的cluster的address 是authentication service的地址

mywebuser
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Istio 实现 ext-authz 外部扩展鉴权以及对接基于 k8s 的微服务
JohnYang's CSDN Home
06-01 729
可以实现基于redis的token鉴权以及实现rbac鉴权。转载请注明来源:https://janrs.com/vrsrIstio外部鉴权本质是基于Envoy实现的,直接看EnvoyIsio官方的Demo。
Istio 中的授权策略详解
ServiceMesher
07-22 1734
本文节选自 ServiceMesher 社区出品的开源电子书《Istio Handbook——Istio 服务网格进阶实践》,阅读地址:https://www.servicemesher...
k8s istio 外部权限控制(业务系统权限控制)
weixin_44492098的博客
10-11 818
k8s istio业务系统权限控制
Envoy HTTP过滤中的外部授权
JosephThatwho的博客
03-18 1718
概述 外部授权过滤调用授权服务检查收到的请求是否被授权授权过滤可以是网络过滤也可以是HTTP过滤。如果网络过滤判定请求未授权,则会关闭链接;如果HTTP过滤判定请求未授权,则会返回403状态码。 外部授权过滤最好放在过滤链的最前面,在其他过滤处理请求前先鉴权。 如果外部服务不可访问,那么将通过可用过滤中的failure_mode_allow配置项来决定请求是否被授权。如果该项设置为true,那么请求会被允许。默认值是false。 服务的定义 流量上下文通过下面列出的服务传递给外部授权
服务网格Istiolua过滤及测试样例
a605692769的博客
12-31 2030
Envoy中除了功能强大的http连接管理之外,envoy还内置了诸多的http过滤(L7),用于自定义扩展http请求代理功能,如故障注入、外部授权、限流等。 其中lua过滤允许在请求和响应流期间运行 Lua 脚本,该特性为扩展自定义处理流程预留了很大的操作空间。
Istio1.5 & Envoy 数据面 WASM 实践
ServiceMesher
04-27 787
Istio 1.5 回归单体架构,并抛却原有的 out-of-process 的数据面扩展方式,转而拥抱基于 WASM 的 in-proxy 扩展,以期获得更好的性能。本文基于网易杭州研...
Hango Rider:网易数帆开源 Envoy 企业级自定义扩展框架
NetEaseResearch的博客
02-11 2801
目前,Rider 扩展框架已经全面开源,并且被集成于开源 API 网关 Hango 当中,为 Hango 网关提供了灵活、强大、易用的自定义扩展能力。
网易基于 Envoy 的云原生网关实践
m0_67778103的博客
03-09 1414
简介:Envoy 是由 Lyft 开源的高性能网络代理软件。相比于 Nginx、HAProxy 等经典代理软件,Envoy 具备丰富的可观察性和灵活的可扩展性,并且引入了基于 xDS API 的动态配置方案。目前,Envoy 被广泛应用于新兴微服务网关与服务网格之中作为核心数据面。而本次分享将从网易数帆实践出发,介绍网易数帆是如何基于开源 Envoy 构建高性能、易扩展、可观察的云原生微服务网关函谷(Hango)的。 函谷开源地址: github.com/hango-io/hango-gateway ..
用 Wasm 为数据库增加用户定义函数
weixin_42376823的博客
03-18 1722
作者: arcosx 百度高级研发工程师,负责机学习平台研发 前言 UDF (User-defined function) 意为用户提供或定义的函数。在数据库领域,UDF 代表一种机制:通过添加一个函数来扩展数据库服务的功能。 WebAssembly (Wasm) 是一个可移植、体积小、加载快并且兼容 Web 的全新格式。近年来 Wasm 不仅仅在前端领域广泛应用,也开始在服务端大展身手。其在服务端提供了接近原生代码的性能,但是又不损失安全性。 笔者在参加 NebulaGraph 举办的 Nebula H
istio集成prometheus-operator, alertmanager
Yu的博客
07-18 1596
创建证书 进入istio1.6.1目录 生成证书 NAME固定为istio.prometheus,因为prometheus需要这个名称的secret NAMESPACE为当前的istio-system make -f ./istio-1.6.1/tools/certs/Makefile NAME="istio.prometheus" NAMESPACE="istio-system" "prometheus"-certs-wl 创建证书 kubectl create secret ...
EnvoyFilter
变成习惯
07-23 3132
EnvoyFilter EnvoyFilter 提供了一种机制,来自定义 Istio Pilot 生成的 Envoy 配置。使用 EnvoyFilter 可以 修改某些字段的值,添加特定的过滤,甚至添加全新的监听、集群等。必须谨慎使用此功能,因为不正确的配置可能会破坏整个网格的稳定性。与其他 Istio 网络对象不同,EnvoyFilters 是附加应用的。对于特定命名空间中的给定工作负载,可以有任意数量的 EnvoyFilters。这些 EnvoyFilters 的应用顺序如下:配置根命名空间中的所有
Istio使用Envoy配置网关
ycloud
05-06 899
使用Envoy代理来配置网关,以实现对服务流量的管理和控制。而为了能在对外提供服务的同时,不向客户端暴露整个服务网格
Envoy打印请求和响应Body
z2011415107的博客
11-24 1372
1、添加Lua Filter实现对请求和响应的拦截 参考:https://www.envoyproxy.io/docs/envoy/latest/configuration/http/http_filters/lua_filter#dynamic-metadata-object-api 利用Lua脚本提取请求和响应Body信息,并设置到dynamicMetadata中。Lua脚本内容如下: function envoy_on_request(request_handle) local req.
Istio EnvoyFilter+Lua 简单实现动态路由转发
MichaelJScofield的专栏
09-20 1162
因为种种原因,我们需要实现一个将服务名和subset携带在http请求的header里面,根据这个来实现将服务转发去特定的istio的服务的subset。比如以下example:携带tag: gray的话,将其路由去msg-group 的gray subset。该版本返回数据:携带的话,将其路由去msg-group 的default subset。
envoy实现_Istio进阶学习系列 基于WebAssembly实现Envoy与Istio的功能扩展
weixin_39921224的博客
12-04 1044
背景Istio 从发布开始就使用 Envoy 作为自己的数据平面,充分利用了 Envoy 提供的服务发现、路由、熔断、负载均衡等功能。与此同时,Istio 项目也一直致力于提供一个便于灵活扩展的平台,以满足用户多样化的需求。在过去的一年半中, Google 的团队一直在努力用 WebAssembly 技术为 Envoy 代理添加动态扩展,并推出了针对 Envoy 代理的 WebAssem...
Spring Web MVC 源码分析(二)----- Handle Http Request流程
chouse10938的博客
05-19 263
上文已详尽描述DispatcherServlet的初始化,本文将详尽描述Spring Web MVC 如何处理一个Http请求。 一、架构说明 Spring Web MVC 处理一个Web 请求如下图: 1.用户发送请求到Dispatcher Servlet上...
自封装RequestHttp请求方法
weixin_40890907的博客
09-01 2676
Async函数能使多个相关的异步操作如同同步操作一样聚合起来,使其相互间的关系更为清晰、过程更为简洁、调试更为方便。 返回一个Promise对象。 自封装JS文件 import axios from 'axios' import * as CONFIG from './config' // 返回请求 //根据接口返回的格式进行相应修改 function httpResponse (res...
基于WASM的无侵入式全链路A/B Test实践
阿里云云栖号
03-17 1232
简介: 我们都知道,服务网格(ServiceMesh)可以为运行其上的微服务提供无侵入式的流量治理能力。通过配置VirtualService和DestinationRule,即可实现流量管理、超时重试、流量复制、限流、熔断等功能,而无需修改微服务代码。 本文所述的实践是根据请求Header实现全链路A/B测试。 1 背景介绍 我们都知道,服务网格(ServiceMesh)可以为运行其上的微服务提供无侵入式的流量治理能力。通过配置VirtualService和DestinationRule,即可实现流.
lua中handler函数的理解
upbins的专栏
01-16 4194
lua,封装了一个hanlder的函数,之前对它一知半解,现在记录下 源码如下: function handler(obj, method) return function(...) return method(obj, ...) end end 由此可看到,handler通过接收的两个参数obj, method创建了一个匿名函数并将其返回,并且调用匿
redis使用lua脚本实现setnx和expier
最新发布
07-25
可以使用Lua脚本实现Redis的SETNX(set if not exists)和EXPIRE操作。下面是一个示例Lua脚本,可以实现这两个操作: ```lua local key = KEYS[1] local value = ARGV[1] local expire_time = tonumber(ARGV[2]) ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值