Istio 安全 mTLS认证 PeerAuthentication

最新推荐文章于 2024-07-19 03:17:45 发布
最新推荐文章于 2024-07-19 03:17:45 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: Service Mesh Istio 文章标签: istio
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34556414/article/details/132017017
版权

 这里定义了访问www.ck8s.com可以使用http也可以使用https访问,两种方式都可以访问。

那么是否可以强制使用mtls方式去访问?

mTLS认证 PeerAuthentication

PeerAuthentication的主要作用是别人在和网格里的pod进行通信的时候,是否要求mTLS

mTLS (mutual TLS,双向TLS): 让客户端和服务器端通信的时候都必须进行TLS认证默认情况下,在网格内部默认启用了mTLS了。

PERMISSIVE:工作负载接受双向TLS和纯文本流量。
当没有Sidecar的工作负载无法使用双向TLS时,此模式适合用在迁移过程。
通过使用sidecar注入迁移工作负载后,应该将模式切换为STRICT。
STRICT:工作负载仅接受双向TLS通信。

在网格里面所有的pod, 不管是istio使用到的pod,还是普通创建的pod1 pod2,都会通过mtls来进行通信,也就是互相认证。

istio本身有一个CA,网格里面都有envoy配置的sidecar,它们内部的通信就是通过mtls。

对于网格之外的主机,网格外面的主机和pod通信的时候并没有要求使用tls认证。

strict意思就是不管哪个客户端,只要和网格内部的主机通信,那么必须得使用tls认证。

 如果有多个端口可以指定对哪些端口不使用mtls,其他端口都必须使用mtls。

上面其实就演示了网格之外的主机要和pod通信的时候必须得要建立这样一个mtls的通信。

富士康质检员张全蛋
关注
专栏目录
Istio 安全详解
悦分享
01-30 98
通过将一个单一应用划分为多个原子服务的方式,可以提供更好的灵活性,可扩展性以及重用服务的能力。抵御中间人攻击,需要用到流量加密提供灵活的服务访问控制,需要用到TLS和细粒度访问策略决定哪些人在哪些时间可以做哪些事,需要用到审计工具为了解决这些问题,istio提供了完整的安全方案。本章节全面介绍了如何使用istio对服务进行安全加固(无论该服务运行在哪里)。特别地,Istio安全性可减轻来自内部和外部的(对数据,终端,通信和平台的)威胁。
istio安全模块之网格内流量与网关入站流量
a605692769的博客
04-23 729
本文使用istio版本为v1.9.2。 Istio安全架构图如下: 从图中可知安全方面主要集中在以下几个方面: 终端用户基于JWT的身份认证方案; 经网关(ingress/egress)的流量安全; 网格内部的流量安全(认证,授权); Istio自身的安全方案; 一、 网格内部流量 1. 自动双向TLS 除非显示的指定,否则通过官方的配置(default/demo等)安装的istio,均默认开启了双向TLS认证(mtls, mutual TLS),正如"I
istio 认证:对等身份认证+服务请求认证
MaoVazquez的博客
12-19 929
metadata:name: testspec:selector:app: testmtls:3001:selector 选择器istio 通过 selector 选择认证策略作用的负载selector 可以为空,表示该认证策略配置给指定命名空间或服务网格全局selector:app: testmtls 认证配置STRICT:典型用法,只接收双向 TLS 的流量PERMISSIVE:既可以接收双向 TLS 流量,也可以接收飞加密流量DISABLE:禁用双向 TLS
Istio开启mtls请求503问题分析
BoCloud博云
07-01 1752
背景 为测试Istio流量管理,将两个服务sleep、flaskapp的两个版本v1、v2(部署文件见参考链接)部署到Istio环境中,通过sleep-v1向flaskapp发起调用http://flaskapp/env/version,正常结果会交替打印出结果v1和v2,然而在调用过程中报错503 reset reason: connection failure,故将问题的步骤、现象、分...
什么是相互 TLS (mTLS)?
最新发布
weixin_35991292的博客
07-19 155
相互传输层安全 (mTLS) 是一种双向身份验证方法,确保网络连接中的双方(客户端和服务器)通过 TLS 协议进行相互验证,从而确认对方的身份。相比传统的单向 TLS,只验证服务器身份,mTLS 要求客户端和服务器都必须出示并验证各自的 TLS 证书。mTLS 的核心原理和步骤基本概念:公钥和私钥:mTLS 使用公钥加密技...
Istio mtls 使用
baobaoxiannv的博客
07-24 946
Istio 版本: 1.6.0 1:设置启动参数 $ kubectl get iop -A -oyaml > temp.yaml $ vim temp.yaml # 添加 enableAutoMtls: true PeerAuthentication CRD 解释 PeerAuthentication 定义流量是否通过隧道到达 SideCar apiVersion: security.istio.io/v1beta1 kind: PeerAuthentication metadata: nam
PeerAuthentication详解
mark's technic world
05-31 961
学习目标 什么是PeerAuthentication PeerAuthentication defines how traffic will be(mtls) tunneled (or not) to the sidecar. 资源详解 Field Type Description Required selector WorkloadSelector The selector determines the workloads to apply th...
Istio的mTLS认证
Micky_Yang的博客
08-14 3322
一、理解mTLS   TLS在web端使用的非常广泛,针对传输的内容进行加密,能够有效的防止中间人攻击。双向TLS(Two way TLS/Mutual TLS,简称mTLS)的主要使用场景是在B2B和Server-toServer的场景中,以支持服务与服务之间的身份认证与授权。      mTLS主要负责服务与服务之间传输层面的认证,具体实现在sidecar中,在具体进行请求时,讲经历如下过程:   1)客户端发出的请求将被发送到客户端sidecar   2)客户端sidecar与服务端sidecar开
Istio中的安全策略
JosephThatwho的博客
03-15 760
微服务带来灵活性、可伸缩性和复用性的同时,还需要考虑一下安全问题: 使用流量加密组织中间人攻击 提供灵活的访问控制,比如双向TLS加密和细粒度的访问策略 检索谁在什么时间做了什么操作,这需要审计工具 Istio可以处理内外部的威胁,给数据、端点、通信和平台提供安全性。 Istio提供了强身份认证、权限策略、传输TLS加密以及认证、授权和审计(AAA)工具。 上层架构 Istio安全性涉及多个部分: 用于密钥和证书管理的证书颁发机构(CA) 配置API服务器分发给代理 认证策略 鉴权策略 安全命名
深入了解Istio的身份验证与授权机制
AI天才研究院
12-28 323
1.背景介绍 Istio是一个开源的服务网格,它为微服务架构提供了网络管理、安全性和监控等功能。Istio的身份验证与授权机制是其核心功能之一,它可以确保只有经过身份验证并具有相应权限的服务才能访问其他服务。 在本文中,我们将深入了解Istio的身份验证与授权机制,包括其核心概念、算法原理、具体操作步骤以及数学模型公式。此外,我们还将讨论一些实际代码示例和未来发展趋势。 2.核心概念与联系 ...
istio 理解1
lingqiao023的博客
05-21 501
Istio 中负责流量管理的核心组件是: 控制平面的 Pilot:负责管理 Service Mesh 中的所有 Envoy 实例,制定服 务的规范模型,分配路由规则。 数据平面的 Envoy:负责路由、负载均衡和上报遥测信息。 检查下当前 Service Mesh(注入到pod中的envoy 代理) $ istioctl proxy-status NAME CDS LDS ED
安全保障基于软件全生命周期-Istio认证机制
qiaotl的博客
07-27 1302
通过实际例子演示Istio中的认证工作原理(包括PeerAuthentication和RequestAuthentication
理解mTLS
vimin_1314的博客
12-14 9663
为 Ingress-nginx 配置双向认证(mtls) 转载:为 Ingress-nginx 配置双向认证(mtls) - 知乎 (zhihu.com) 首先什么是 mtls (双向认证)?它是一个过程,在这个过程中,客户机和服务器都通过证书颁发机构彼此验证身份。 相信 tls 大家都比较熟悉,就是 server 端提供一个授信证书,当我们使用 https 协议访问server端时,client 会向 server 端索取证书并认证(浏览器会与自己的授信域匹配或弹出不安全的页面)。 mtls 则.
mTLS: TLS/CA/证书 简介
Mr_rain的专栏
03-02 1527
简称英文全称中文全称CA证书颁发机构PCA私有证书颁发机构,又名私有 CASSL安全套接字层协议TLS传输层安全性协议HTTP超文本传输协议HTTPS超文本传输安全协议EV SSLEV 证书,又名扩展验证证书OV SSLOV 证书,又名组织验证证书DV SSL证书,又名域验证证书通配符证书MDC多域 SSL 证书UCC统一通信证书TLD顶级域PKI公钥基础设施OCSP在线证书状态协议CSP加密服务提供商Public key公钥私钥。
网络数字身份认证
过客2019
02-22 1365
这篇文章是《HTTP API 认证授权术》的姊妹篇,在那篇文章中,主要介绍了 HTTP API 认证和授权技术中用到的 HTTP Basic, Digest Access, HMAC, OAuth, JWT 等各种方式,主要是 API 上用到的一些技术,这篇文章主要想说的是另一个话题——身份认证。也就是说,怎么确认这个数据就是这个人发出来的? 目录 用户密码 密钥对和证书 证书生成过程演示 双向认证 mTLS 用户密码 要解决这个问题,我们先来看一个最简单的解——使用密码,通常来说,在网络上要证
NGINX Service Mesh 中的 mTLS 架构
NGINX开源社区的博客
06-28 270
原文作者:Faisal Memon of F5。
mtls加密双向认证
热门推荐
sun007700的专栏
01-27 1万+
SSL/TLS 双向认证(一) -- SSL/TLS 工作原理_ustccw-CSDN博客_双向认证 SSL/TSL双向认证过程与Wireshark抓包分析_区块链之美-CSDN博客_ssl双向认证抓包
mTLS: openssl创建CA证书
Mr_rain的专栏
03-02 1895
证书可以通过openssl或者keytool创建,在本篇文章中,只介绍openssl。
Istio架构与Kubernetes实战:微服务管理与安全
Istio通过Citadel提供强大的安全特性,如MTLS(Mutual TLS),实现服务间的身份验证和端到端的加密通信。此外,它还支持细粒度的访问控制和策略执行,确保只有授权的请求才能到达服务。 6. 监控和可观测性: ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值