Kubernetes使用流量管理平台Istio(四)

已于 2022-04-08 10:14:03 修改
阅读量1k 收藏 1
点赞数
分类专栏: K8s与容器系列 文章标签: 云原生 kubernetes isito
于 2022-04-07 22:58:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37837432/article/details/124027052
版权

基于Istio的认证

Istio通过客户端和服务器端Policy Enforcement Points(PEPS)建立服务到服务的通信通道,PEPS在istio架构中的实现是envoy。

Peer authentication:

  • 用于服务到服务的认证,一验证进行连接的客户端。

istio提供双向TLS作为传输认证的全栈解决方案,无需更改服务代码就可以启用它。这个解决方案为:

  • 为每个服务提供强大的身份,表示其角色,以实现跨集群和云的互操作性。
  • 保护服务到服务的通信
  • 提供密钥管理系统,以自动进行密钥和证书的生成,分发和轮换

Request authentication

  • 用于最终用户认证,以验证附加到请求的凭据
  • istio使用JSON Web Token(JWT)验证启用请求级认证,并使用自定义认证实现或任务OpenID Connect的认证实现来简化开发人员体验。

Istio认证架构

  • 未设置模式的网格范围的peer认证策略默认使用PERMISSIVE模式。
  • 发送请求的客户端服务负责遵循必要的认证机制
  • RequestAuthentication: 应用程序负责获取jwt凭证并将其附加到请求
  • PeerAuthentication:
    • istio会自动将两个PEPS之间的所有流量升级为双向TLS
    • 如果认证策略禁用了双向TLS模式,则istio将继续在PEPS之间使用纯文本
    • 要覆盖此行为,destination rules显示禁用双向TLS模式
      在这里插入图片描述

双向TLS认证

当一个工作负载使用双向TLS认证向另一个工作负载发送请求时,该请求的处理方式如下:

  • istio将出站流量从客户端重新路由到客户端的本地sidecar envoy
  • 客户端envoy与服务器端envoy开始双向TLS握手。在握手期间,客户端envoy还做了安全命名检查,以验证服务器证书中显示的服务账户是否被授权运行目标服务
  • 客户端envoy和服务器端envoy建立了一个双向的TLS连接,istio将流量从客户端envoy转发到服务器端envoy
  • 授权后,服务器端envoy通过本地TCP连接将流量转发到服务器服务

宽容模式

允许服务同时接受纯文本流量和双向TLS流量,这个功能极大地提升了双向TLS的入门体验。

安全命名

服务器身份被编码在证书里,但服务名称通过服务发现或DNS被检索,安全命名信息将服务器身份映射到服务名称,身份a到服务名称b的映射表示“授权a运行服务b”。

认证策略

认证策略是对服务收到的请求生效的;
要在双向TLS中指定客户端认证策略,需要在DetinationRule中设置TLSSetting.

自定义双向认证

apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
  name: db-mtls
spec:
  host: mydbserver.prod.svc.cluster.local
  trafficPolicy:
    tls:
      mode: MUTUAL
      clientCertificate: /etc/certs/clientcert.pem
      privateKey: /etc/certs/private.pem
      caCertificates: /etc/certs/cacerts.pem

单向认证,不去校验客户端

apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
  name: tls-foo
spec:
  host: "*.foo.com"
  trafficPolicy:
    tls:
      mode: SIMPLE

使用默认istio双向认证

apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
  name: ratings-istio-mtls
spec:
  host: ratings.prod.svc.cluster.local
  trafficPolicy:
    tls:
      mode: ISTIO_MUTUAL

PeerAuthentication

严格tls认证,不支持明文

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: "default"
  namespace: "istio-system"
spec:
  mtls:
    mode: STRICT

标签app=httpbin不开启认证

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: "overwrite-example"
  namespace: "foo"
spec:
  selector:
    matchLabels:
      app: httpbin
  mtls:
    mode: DISABLE

RequestAuthentication

RequestAuthentication认证策略指定验证JSON Web Token(JWT)所需的值。这些值包括:

  • token在请求中的位置
  • 请求的issuer
  • 公共JSON Web Key Set(JWKS)
    istio会根据request认证策略中的规则检查提供的令牌(如果已提供),并拒绝令牌无效的请求。当请求不带有令牌时,默认情况下将接受它们。
apiVersion: security.istio.io/v1beta1
kind: RequestAuthentication
metadata:
  name: "jwt-example"
  namespace: istio-system
spec:
  selector:
    matchLabels:
      istio: ingressgateway
  jwtRules:
  - issuer: "testing@secure.istio.io"
    jwksUri: "https://raw.githubusercontent.com/istio/istio/release-1.12/security/tools/jwt/samples/jwks.json"

拒绝没有token的请求

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: "frontend-ingress"
  namespace: istio-system
spec:
  selector:
    matchLabels:
      istio: ingressgateway
  action: DENY
  rules:
  - from:
    - source:
        notRequestPrincipals: ["*"]
平凡似水的人生
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
istio-demo:Istio,用于在kubernetes平台上连接,保护,控制和观察服务的服务网格
04-20
Istio 1.7.3 是一个服务网格,用于连接,保护,控制和观察kubernetes平台上的服务。 从较高的角度来看,Istio有助于降低这些部署的复杂性,并减轻开发团队的负担。 要求: 您需要一个正在运行的Kubernetes集群。 安装Istio引擎 运行初始化脚本以下载并安装Istio 1.7.3,然后设置入口环境以导出INGRESS_HOST , INGRESS_PORT , SECURE_INGRESS_PORT和GATEWAY_URL 。 部署样本应用程序 运行应用程序脚本来部署我们的 按照登录的URL访问应用程序: : : 检查部署状态(kubernetes名称空间=默认值) 在终端上使用以下命令: kubectl get pods --namespace default 在工作负载GCP控制台上 安装Istio工具(UI) 可用的工具用户界面:
Kubernetes 跨集群流量调度实战 :访问控制
dotNET跨平台
12-06 196
背景众所周知,Flomesh 的服务网格产品osm-edge[1]是基于 SMI(Service Mesh Interface,服务网格接口) 标准的实现。SMI 定义了流量标识、访问控制、遥测和管理的规范。在上一篇中,我们体验过了多集群服务(Multi-Cluster Service,MCS),以及流量在多集群中的调度策略,属于最基本最基础的能力,这篇会带大家体验一下基于 SMI 实现的...
[Kubernetes] 云原生 Istio 介绍
最新发布
959
05-10 1037
服务网格 Istio
29.云原生KubeSphere服务网格实战之Istio安装配置
野心与梦
02-22 8351
云原生KubeSphere服务网格实战之Istio安装配置
在KubeSphere启动服务网格Istio并解决解决ContainerCreating问题
云来山更佳,云去山如画
08-17 3882
在KubeSphere启动服务网格Istio并解决解决ContainerCreating问题
kubesphere服务网格servicemesh(Istio)示例:部署 Bookinfo 和管理流量
学亮编程手记
02-20 2915
Istio,作为一种开源服务网格解决方案,为微服务提供了强大的流量管理功能。以下是 Istio 官方网站上关于流量管理的简介: Istio流量路由规则可以让您很容易的控制服务之间的流量和 API 调用。Istio 简化了服务级别属性的配置,比如熔断器、超时和重试,并且能轻松的设置重要的任务,如 A/B 测试、金丝雀发布、基于流量百分比切分的概率发布等。它还提供了开箱即用的故障恢复特性,有助于增强应用的健壮性,从而更好地应对被依赖的服务或网络发生故障的情况。 KubeSphere 基于 Istio 提供了
kubernetes访问控制与服务网格istio
04-19
综上所述,Kubernetes的RBAC机制和Istio服务网格一起,为企业级容器化应用提供了强大的安全访问控制和流量管理。通过精细的角色和策略定义,你可以确保只有合适的用户和服务能够执行特定操作,同时利用Istio实现更...
learning-kubernetes:学习Kubernetes ServiceMesh Istio
02-05
**IstioKubernetes中的部署** 在Kubernetes中部署Istio,首先需要准备Istio的安装文件,可以通过Istio官网下载最新版本。然后,使用`istioctl`命令行工具来安装Istio的控制平面,并将Envoy Sidecar注入到Pod...
eBay-孟凡杰&辛肖刚-基于kubernetes集群联邦和Istio流量管理1
08-04
eBay基于Kubernetes集群联邦和Istio流量管理详解 在这个资源中,我们将详细介绍eBay基于Kubernetes集群联邦和Istio流量管理方案。该方案旨在解决大型分布式系统中的流量管理问题,通过Kubernetes集群联邦和...
kubernetes实践:Istio之策略与遥测
02-24
一个用来连接,管理和保护服务的开发平台Istio提供一种简单的方式建立已部署...流量管理(Pilot):控制服务之间的流量和API调用的流向,使得调用更灵活可靠,并使网络在恶劣情况下更加健壮。b.可观察性:通过集成zipkin
Kubersphere平台中开启 Istio 及自动注入
qq_36200932的博客
02-24 1165
Kubersphere平台中开启 Istio 及自动注入
Kubernetes使用Istio
gyfghh的博客
06-20 1243
南北流量(NORTH-SOURTH-TRAFFIC):客户端到服务器之间通信流量东西流量(EAST-WEST-TRAFFIC):指的是服务器和服务器之间的流量
kubernetes Istio是什么
软件工程小施同学 的专栏
11-16 1069
一、Istio Istio 是一个服务网格,它允许集群中的 pods 和服务之间进行更详细、复杂和可观察的通信。 它通过使用 CRD 扩展 Kubernetes API 来进行管理,它将代理容器注入到所有 pods 中,然后由这些 pods 来控制集群中的流量。 二、kube-proxy Kubernetes 中的服务是由运行在每个节点上的kube-proxy组件实现的,该组件创建 iptables 规则,并将请求重定向到 Pod。 因此,服务就是 iptables 规则。 ...
15分钟在笔记本上搭建 Kubernetes + Istio开发环境
阿里云技术
01-28 1101
11月13~15日,KubeCon 上海大会召开,云原生是这个秋天最火热的技术。很多同学来问如何上手 KubernetesIstio 服务网格开发。本文将帮助你利用Docker CE桌面版,15分钟在笔记本上从零搭建 Kubernetes + Istio开发环境,开启云原生之旅。 说明:本文测试通过环境 Docker CE 18.09 (Kubernetes 1.10.3) 以及 Isti...
Kubernetes使用流量管理平台Istio(一)
邢宁
04-05 1355
什么是服务网格? 服务网格(Service Mesh)这个术语通常用于描述构成这些应用程序的微服务网络以及应用之间的交互。随着规模和复杂性的增常,服务网格越来越难以理解和管理。 它的需求包括服务发现、负载均衡、故障恢复、指标收集和监控以及通常更加复杂的运维需求,例如A/B测试、金丝雀发布、限流、访问控制和端到端认证等。 为什么要使用Istio? HTTP、gRPC、WebSocket和TCP流量的自动负载均衡 通过丰富的路由规则、重试、故障转移和故障注入,可以对流量行为进行细粒度控制。 可插入的策略层和
使用 Kubernetes 学习istio微服务
多回访
05-05 313
前提条件 需要创建Kubernetes 集群 部署istio 设置 Kubernetes 集群 //生成一个环境变量用于存储运行教程指令要用到的命名空间的名字。 //查看名称空间 [root@master soft]# kubectl get ns NAME STATUS AGE default Active 38d kube-node-lease Active 38d kube-public Active 38d kube
服务网格Istio入门-详细记录Kubernetes安装Istio使用
南瓜慢说
08-09 326
我最新最全的文章都在 南瓜慢说 www.pkslow.com ,文章更新也只在官网,欢迎大家来喝茶~~ 1 服务网格Istio Istio是开源的Service Mesh实现,一般用于Kubernetes集群容器中的连接、监控和保护。它的核心特性有: 流量管理 通过简单配置实现服务之间的流量; 简化服务级属性如熔断、超时、重试; 支持A/B测试、金丝雀发布等。 安全 通信层面的安全控制; 开发人员只需要专注于应用程序开发。 可观察性 Metrics; Logging; Tracing。 平.
使用 KubernetesIstio Service Mesh 构建混合云
u012516914的专栏
07-15 301
这篇文章将带你了解使用 KubernetesIstio Service Mesh 构建多集群及混合云的过程和需要考虑的问题。Kubernetes使用 Kubernetes 可以快速部...
istio介绍(二)
chengfangdong的博客
10-21 443
ks-controller-manager 封装的对象,ks-controller-manager的封装功能逻辑以crd对象的方式表现在etcd中,ks-apiserver通过连接k8s-apiserver操作etcd中的crd数据(crd data)即可,操作 ks-controller-manager 扩展的逻辑功能。原因是他们共享了一个分析流水线。ks-apiserver 的主要功能是聚合整个系统的业务功能对外提供同一的API入口,如下图所示ks-apiserver聚合的功能对象主要包含以下几类。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

平凡似水的人生

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值