Kubernetes使用流量管理平台Istio(五)

最新推荐文章于 2024-02-22 18:37:53 发布
最新推荐文章于 2024-02-22 18:37:53 发布
阅读量635 收藏
点赞数
分类专栏: K8s与容器系列 文章标签: 云原生 kubernetes isito
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37837432/article/details/124051250
版权

基于Istio的授权

每个envoy代理都运行一个授权引擎,该引擎在运行时授权请求。

  • 当请求到达代理时,授权引擎根据当前授权策略评估请求上下文,并返回授权结果ALLOW或DENY。
  • 授权策略支持ALLOW或DENY动作,拒绝策略优先于允许策略。
  • 如果将任何允许策略应用于工作负载,则默认情况下,不符合该策略的访问都将被禁止。
    在这里插入图片描述

授权策略

selector字段指定策略的目标
action字段指定允许还是拒绝请求
rules指定何时触发动作

  • rules下的from字段指定请求的来源
  • rules下的to字段指定请求的操作
  • rules下的when字段指定应用规则所需的条件
apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: "httpbin-viewer"
  namespace: foo
spec:
  selector:
    matchLabels:
      app: httpbin
  action: ALLOW
  rules:
  - from:
    - source:
        principals: ["cluster.local/ns/bar/sa/sleep"]
    to:
    - operation:
        methods: ["GET"]
     when:
     - key: request.auth.claims
       values: ["https://accounts.google.com"]

策略目标

  • 可以通过metadata/namespace字段和可选的selector字段来指定策略的范围和目标
  • metadata/namespace告诉策略适用于哪个命名空间。如果将其值设置为根名称空间,则该策略将用于网格中的所有名称空间。
  • 根命名空间的值时可配置的,默认值为istio-system
  • 可以使用selector字段来进一步限制策略以应用于特定工作负载。
  • 如果未设置,则授权策略将应用于与授权策略相同的命名空间中的所有工作负载。
apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: "httpbin-viewer"
  namespace: foo
spec:
  selector:
    matchLabels:
      app: httpbin
  action: ALLOW
  rules:
  - to:
    - operation:
        methods: ["GET"]

值匹配

授权策略中的大多数字段都支持以下所有匹配模式:

  • 完全匹配: 即完整的字符串匹配
  • 前缀匹配: “*”结尾的字符串。例如, “test.abc.*”匹配“test.abc.com”、“test.abc.cn”
  • 后缀匹配: “*”开头的字符串。例如, “*.abc.com”匹配“test.abc.com”、“test1.abc.com”
  • 存在匹配: * 用于指定非空的任意内容,可以使用格式filedname:[“*”]指定必须存在的字段,这意味着该字段可以匹配任意内容,但是不能为空
apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: "httpbin-viewer"
  namespace: foo
spec:
  selector:
    matchLabels:
      app: httpbin
  action: ALLOW
  rules:
  - to:
    - operation:
        paths: ["/test/*", "*/info"]

全部允许和默认全部拒绝授权策略

允许完全访问default命名空间中的所有工作负载

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: allow-all
  namespace: default
spec:
  action: ALLOW
  rules:
  - {}

不允许任何对admin命令空间工作负载的访问

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: deny-all
  namespace: admin
spec:
  {}

认证与未认证身份

如果要使工作负载可公开访问,则需要将source部分留空

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: "httpbin-viewer"
  namespace: foo
spec:
  selector:
    matchLabels:
      app: httpbin
      version: v1
  action: ALLOW
  rules:
  - to:
    - operation:
        methods: ["GET", "POST"]

将principal设置为"*" 代表仅允许经过认证的用户

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: "httpbin-viewer"
  namespace: foo
spec:
  selector:
    matchLabels:
      app: httpbin
      version: v1
  action: ALLOW
  rules:
  - from:
    - source:
      principals: ["*"]
  - to:
    - operation:
        methods: ["GET", "POST"]

在普通TCP协议上使用istio授权

如果您授权策略中对TCP工作负载使用了任何只适用于HTTP的字段,istio将会忽略它们

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: "httpbin-viewer"
  namespace: foo
spec:
  selector:
    matchLabels:
      app: httpbin
  action: ALLOW
  rules:
  - from:
    - source:
      principals: ["cluster.local/ns/default/sa/http-bin-v2"]
  - to:
    - operation:
        ports: ["8080"]
平凡似水的人生
关注
专栏目录
云原生Kubernetes微服务Istio:介绍、原理、应用及实战案例
景天科技苑
07-18 2万+
随着云原生技术的日益成熟,微服务架构已成为大型企业构建复杂应用的首选方案。然而,微服务架构的复杂性也带来了诸如服务治理、流量管理、安全认证等挑战。Istio作为一个开源的服务网格(Service Mesh)平台,为Kubernetes中的微服务提供了一套全面的治理解决方案。本文将详细介绍Istio的基本概念、工作原理、应用场景,并通过一个实战案例展示其在实际项目中的应用。
第四篇:kubernetes部署istio
kjkdd的博客
01-12 1261
说明: 总的目标是在k8s集群部署gitlab、jenkins,并且在本地提交代码到gitlab后jenkin流水线可以自动编译打包成为docker镜像然后部署到k8s中并实现客户端外部域名访问,在文档分为多个部分,其中涉及的技术有docker安装、k8s搭建、部署gitlab、部署jenkins、部署sonarqube、gitlab和jenkin联动、jenkins和sonarqube联动、pipline脚本编写、istio部署、istio服务网关等…
Kubersphere平台中开启 Istio 及自动注入
qq_36200932的博客
02-24 1254
Kubersphere平台中开启 Istio 及自动注入
29.云原生KubeSphere服务网格实战之Istio安装配置
最新发布
野心与梦
02-22 1万+
云原生KubeSphere服务网格实战之Istio安装配置
Istio 中的授权策略详解
ServiceMesher
07-22 1748
本文节选自 ServiceMesher 社区出品的开源电子书《Istio Handbook——Istio 服务网格进阶实践》,阅读地址:https://www.servicemesher...
Kubernetes 中为 Istio 配置Kiali、Jaeger、Prometheus、Grafana
qq_45654492的博客
05-20 1391
1.在istio-1.13.4的父目录下打开cmd,安装Kiali、Jaeger、Prometheus、Grafana kubectl apply -f istio-1.13.4/samples/addons/kiali.yaml serviceaccount/kiali created configmap/kiali created clusterrole.rbac.authorization.k8s.io/kiali-viewer created clusterrole.rbac.authoriz.
在KubeSphere启动服务网格Istio并解决解决ContainerCreating问题
云来山更佳,云去山如画
08-17 4218
在KubeSphere启动服务网格Istio并解决解决ContainerCreating问题
eBay-孟凡杰&辛肖刚-基于kubernetes集群联邦和Istio流量管理1
08-04
eBay基于Kubernetes集群联邦和Istio流量管理详解 在这个资源中,我们将详细介绍eBay基于Kubernetes集群联邦和Istio流量管理方案。该方案旨在解决大型分布式系统中的流量管理问题,通过Kubernetes集群联邦和...
kubernetes访问控制与服务网格istio
04-19
综上所述,Kubernetes的RBAC机制和Istio服务网格一起,为企业级容器化应用提供了强大的安全访问控制和流量管理。通过精细的角色和策略定义,你可以确保只有合适的用户和服务能够执行特定操作,同时利用Istio实现更...
istio流量管理能力.docx
09-03
Istio的核心组件包括Pilot,它负责流量管理。在数据面,每个服务都会有一个Proxy(通常使用Envoy实现),Pilot通过向这些Proxy发送配置信息来控制服务之间的连接和外部通信。Service和Proxy的组合构成了服务网格,使...
云原生Kuberneteskubernetes 核心技术 - Label 和 Selector
热门推荐
商务合作 | 共同学习 | 携手共进
08-17 5万+
Kubernetes 核心技术之 Label 和 Selector 详细介绍。
authorizationPolicy详解
mark's technic world
05-27 3297
学习目标 什么是AuthorizationPolicy 授权功能是 Istio 中安全体系的一个重要组成部分,它用来实现访问控制的功能,即判断一个请求是否允许通过,这个请求可以是从外部进入 Istio 内部的请求,也可以是在 Istio 内部从服务 A 到服务 B 的请求。可以把授权功能近似地认为是一种四层到七层的“防火墙”,它会像传统防火墙一样,对数据流进行分析和匹配,然后执行相应的动作。 流程 Authorization policies support ALLOW, DENY ..
Istio 服务网格如何处理安全问题?
tanjunchen的博客
03-05 1411
Istio 服务网格如何处理安全问题? 《本文翻译自https://istio.tetratelabs.io/blog/istio-security/》 在这篇博客中,我将解释 Istio 如何解决诸如流量加密、提供灵活的服务访问控制、配置双向 TLS 和细粒度访问策略与审计等问题。 Istio 安全架构 Istio 主要由以下组件提供安全功能: 1、用于管理密钥和证书的证书颁发机构 (CA) 2、Sidecar 代理:实现客户端和服务器之间的安全通信(它们用作策略执行点 (PEP)) 3、.
kubesphere 卸载 istio后 部署服务一直处理队列中
山巅
07-26 1353
删除以下两个资源(k8s准入控制)
kubesphere服务网格servicemesh(Istio)示例:部署 Bookinfo 和管理流量
学亮编程手记
02-20 2983
Istio,作为一种开源服务网格解决方案,为微服务提供了强大的流量管理功能。以下是 Istio 官方网站上关于流量管理的简介: Istio流量路由规则可以让您很容易的控制服务之间的流量和 API 调用。Istio 简化了服务级别属性的配置,比如熔断器、超时和重试,并且能轻松的设置重要的任务,如 A/B 测试、金丝雀发布、基于流量百分比切分的概率发布等。它还提供了开箱即用的故障恢复特性,有助于增强应用的健壮性,从而更好地应对被依赖的服务或网络发生故障的情况。 KubeSphere 基于 Istio 提供了
Istio 安全
Doub1's Blog
11-26 423
Istio 安全引言认证策略DestinationRule 中的 TLSSettings 引言 本篇文章简单讲讲Istio的安全策略,之前的文章可以在同专栏下找到。 认证策略 认证策略是对上游服务器生效的(接收请求的服务)。 策略的作用域我们可以明确规定. 网格范围内 apiVersion: authentication.istio.io/v1alpha1 kind: MeshPolicy metadata: name: default spec: peers: - mtls:
k8s kubesphere进入ks-installer容器删除istio并重启ks-installer命令
学亮编程手记
02-19 1928
1.首先进入ks-installer pod,删除istio包 # kubectl -n kubesphere-system get po | grep ks-installer ks-installer-58899ccb89-xqpft 1/1 Running 0 10h # kubectl -n kubesphere-system exec -ti ks-installer-58899ccb89-xqpft sh # helm delete ist
kubernetes:字段选择器(field-selector)标签选择器(labels-selector)和筛选 Kubernetes 资源
琦彦
10-15 1万+
字段选择器(field-selector) 字段选择器允许您根据一个或多个资源字段的值筛选 Kubernetes 资源。 下面是一些使用字段选择器查询的例子: metadata.name=my-service metadata.namespace!=default status.phase=Pending 下面这个kubectl命令将筛选出status.phase字段值为Run...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

平凡似水的人生

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值