istio 认证:对等身份认证+服务请求认证

已于 2024-03-11 14:04:00 修改
阅读量935 收藏 21
点赞数 25
文章标签: istio 网络 服务器
于 2023-12-19 14:40:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44140067/article/details/135077634
版权
本文介绍了istio中两种身份认证方式:对等身份认证(PeerAuthentication)和服务请求认证(RequestAuthentication)。对等身份认证通过mTLS实现,涉及证书获取流程、配置定义和作用范围;服务请求认证主要使用JWT令牌,详细阐述了istio的JWT认证流程。这两种认证策略支持全服务网格、命名空间和工作负载不同范围的配置,以及端口粒度的灵活性。
摘要由CSDN通过智能技术生成

istio 中有两种不同的身份认证方式:

  1. 基于 mTLS 的对等身份认证 PeerAuthentication
  2. 基于 JWT(JSON Web Token)令牌的服务请求认证 RequestAuthentication

对等身份认证 PeerAuthentication

概念

  • 提供服务到服务的认证
  • 服务网格的主要场景就是服务到服务的认证
  • 基于双向 TLS 实现对等身份认证

证书获取流程

在这里插入图片描述

  1. Envoy 向 pilot-agent 发起一个 SDS (Secret Discovery Service) 请求,要求获取自己的证书和私钥
  2. Pilot-agent 生成私钥和 CSR(Certificates Signing Request,证书签名请求),向 Istiod 发送证书签发请求,请求中包含 CSR 和该 pod 中服务的身份信息
  3. Istiod 根据请求中服务的身份信息(Service Account)为其签发证书,将证书返回给 Pilot-agent
  4. Pilot-agent 将证书和私钥通过 SDS 接口返回给 Envoy

配置定义

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
meta
最低0.47元/天 解锁文章
快,把我桶也提着
关注
y132.第七章 服务网格与治理-Istio从入门到精通 -- Istio认证及配置案例(十八)
Raymond的博客
09-13 280
Peer Authentication Policy负责为工作负载指定其作为服务器端时实施TLS通信的方式,它支持如下模式PERMISSIVE:工作负载支持mTLS流量和纯文本(明文)流量,通常仅应该于将应用迁移至网格过程中的过渡期间使用;STRICT:工作负载仅支持mTLS流量;DISABLE:禁用mTLS;UNSET:从上级继承认证策略的设定;
Istio的mTLS认证
Micky_Yang的博客
08-14 3326
一、理解mTLS   TLS在web端使用的非常广泛,针对传输的内容进行加密,能够有效的防止中间人攻击。双向TLS(Two way TLS/Mutual TLS,简称mTLS)的主要使用场景是在B2B和Server-toServer的场景中,以支持服务服务之间的身份认证与授权。      mTLS主要负责服务服务之间传输层面的认证,具实现在sidecar中,在具进行请求时,讲经历如下过程:   1)客户端发出的请求将被发送到客户端sidecar   2)客户端sidecar与服务端sidecar开
Tetrate 推出业内首个 Istio 认证管理员考试
kozazyh的专栏
11-13 841
Tetrate 推出业内首个 Istio 认证管理员考试 独家号极客精选原文链接 企业正在增加对数字化转型的投资,并雇用合适的人才来加速这一旅程。根据 Linux 基金会发布的 2020 年开源工作报告[1],52% 的招聘经理更倾向于雇用有证书的人,而两年前只有 47%。不出所料 93% 的招聘经理表示难以找到足够的人才。Tetrate 今天宣布公开提供Tetrate 认证 Istio 管理员(CIAT)[2]考试,该考试评估执行 Istio 服务网格安装和配置以及配置流量管理、弹性和故障...
安全保障基于软件全生命周期-Istio认证机制
qiaotl的博客
07-27 1305
通过实际例子演示Istio中的认证工作原理(包括PeerAuthentication和RequestAuthentication)
服务治理框架(Istio)的认证服务与访问控制
武天旭的博客
04-14 900
在微服务架构下,每个服务是无状态的,由于服务端需要存储客户端的登录状态,因此传统的session认证方式在微服务中不再适用。理想的实现方式应为无状态登录,流程通常如下:1、客户端请求服务服务端对用户进行登录认证。2、认证通过,服务端将用户登录信息进行加密并形成令牌,最后再返回至客户端作为登录凭证。3、在步骤2之后,客户端每次请求都须携带认证的令牌。4、服务端对令牌进行解密,判断是否有效,若有效则认证通过,否则返回失败信息。
Istio 安全 mTLS认证 PeerAuthentication
小楼一夜听春雨,深巷明朝卖杏花
08-01 1547
mTLS (mutual TLS,双向TLS): 让客户端和服务器端通信的时候都必须进行TLS认证默认情况下,在网格内部默认启用了mTLS了。在网格里面所有的pod, 不管是istio使用到的pod,还是普通创建的pod1 pod2,都会通过mtls来进行通信,也就是互相认证。上面其实就演示了网格之外的主机要和pod通信的时候必须得要建立这样一个mtls的通信。对于网格之外的主机,网格外面的主机和pod通信的时候并没有要求使用tls认证。STRICT:工作负载仅接受双向TLS通信。
为什么 Istio 要使用 SPIRE 做身份认证
ServiceMesher
06-22 217
今年 6 月初,Istio 1.14 发布[1],该版本中最值得关注的特性是新增对 SPIRE 的支持。SPIFFE[2]和 SPIRE 都是 CNCF 孵化项目,其中 SPIRE 是 SPIFFE 的实现之一。本文将带你了解 SPIRE 对于零信任架构的意义,以及 Istio 是为何使用 SPIRE 实现身份认证。Kubernetes 中的身份认证我们都知道 Is...
详解Istio服务治理技术及环境搭建
HarmonyCloud_的博客
09-14 769
3 异构系统的统一治理。各个微服务治理架构中的各个中间件也不停的升级迭代,在微服务架构中,每个微服务的开发和维护工作分为了不通的团队进行,如果企业内部不制定相关的版本使用规范,久而久之,很容易导致各个不同服务使用的中间价或治理组件的版本不统一、能力参差不齐,很难统一治理。对于这些传统微服务框架而言,想要使用某些功能,就需要集成相关的SDK,这不仅需要在项目中添加相关的依赖,可能还需要对业务代码进行一些改造,在其中增加治理相关的代码或者配置等,那么这样业务层就与治理层耦合严重。
Istio安全架构--理解身份/认证/授权
网络安全研究
04-08 2577
Istio 安全的目标是: - 默认安全:应用程序代码和基础设施无需更改 - 深度防御:与现有安全系统集成以提供多层防御 - 零信任网络:在不受信任的网络上构建安全解决方案
深入了解Istio的身份验证与授权机制
最新发布
AI天才研究院
12-28 336
1.背景介绍 Istio是一个开源的服务网格,它为微服务架构提供了网络管理、安全性和监控等功能。Istio的身份验证与授权机制是其核心功能之一,它可以确保只有经过身份验证并具有相应权限的服务才能访问其他服务。 在本文中,我们将深入了解Istio的身份验证与授权机制,包括其核心概念、算法原理、具操作步骤以及数学模型公式。此外,我们还将讨论一些实际代码示例和未来发展趋势。 2.核心概念与联系 ...
istio 理解1
lingqiao023的博客
05-21 505
Istio 中负责流量管理的核心组件是: 控制平面的 Pilot:负责管理 Service Mesh 中的所有 Envoy 实例,制定服 务的规范模型,分配路由规则。 数据平面的 Envoy:负责路由、负载均衡和上报遥测信息。 检查下当前 Service Mesh(注入到pod中的envoy 代理) $ istioctl proxy-status NAME CDS LDS ED
Istio中的安全策略
JosephThatwho的博客
03-15 767
服务带来灵活性、可伸缩性和复用性的同时,还需要考虑一下安全问题: 使用流量加密组织中间人攻击 提供灵活的访问控制,比如双向TLS加密和细粒度的访问策略 检索谁在什么时间做了什么操作,这需要审计工具 Istio可以处理内外部的威胁,给数据、端点、通信和平台提供安全性。 Istio提供了强身份认证、权限策略、传输TLS加密以及认证、授权和审计(AAA)工具。 上层架构 Istio的安全性涉及多个部分: 用于密钥和证书管理的证书颁发机构(CA) 配置API服务器分发给代理 认证策略 鉴权策略 安全命名
istio学习(二) 使用JWT进行权限验证
文若书生的专栏
01-26 2229
文章目录前言1、生成JWK2、测试密钥可用性3、创建RequestAuthentication4、访问测试5、创建AuthorizationPolicy6、JAVA生成密钥 前言 参考:https://www.cnblogs.com/kirito-c/p/12464531.html 提示:以下是本篇文章正文内容,下面案例可供参考 1、生成JWK 在linux使用OPENSSL生成公钥和私钥 # 1. 生成 2048 位(不是 256 位)的 RSA 密钥 openssl genrsa -out rsa
[istio]istio学习笔记
小小李的博客
12-27 708
1.k8s部署,可以参考k8s部署 2.下载istio curl -L https://istio.io/downloadIstio | sh - 将istio的bin加入到环境变量 [root@master ~]# cat ~/.bash_profile |grep istio PATH=/home/yunwei/istio-1.5.1/bin:$PATH:$HOME/bin 3.安装istio istioctl manifest apply --set profile=demo .
Istio的安全性
Linux_cui的博客
08-14 391
istio安全认证
获取错误:当试图让pgsql使用rails时,用户“postgres”的对等身份验证失败
asdfgh0077的博客
04-16 493
I'm getting the error: 我收到错误: FATAL: Peer authentication failed for user "postgres" when I try t
Istio 1.0 # 基础认证策略 # 设置终端用户认证
来啊 快活啊
08-03 2420
Istio 0.8版本增强了服务间双向认证,1.0版本增加了终端用户认证的功能,这样整个服务网格的认证策略就齐全了;目前只支持JWT Authentication,可以使用authentication policy进行配置; 公司的OAuth2 Server使用的是Cloudary Foundary的UAA,Cloudary Foundary的UAA Server完全按照规范来设计的,所以跟Is...
Istio 安全
Doub1's Blog
11-26 420
Istio 安全引言认证策略DestinationRule 中的 TLSSettings 引言 本篇文章简单讲讲Istio的安全策略,之前的文章可以在同专栏下找到。 认证策略 认证策略是对上游服务器生效的(接收请求服务)。 策略的作用域我们可以明确规定. 网格范围内 apiVersion: authentication.istio.io/v1alpha1 kind: MeshPolicy metadata: name: default spec: peers: - mtls:
Istio的JWT认证授权
Micky_Yang的博客
08-15 1406
一、理解JWT   JWT(Json Web Token)是一种多方传递可信JSON数据的方案,一个JWT token由.分隔的三部分组成:{Header}.{Payload}.{Signature},其中Header是Base64编码的JSON数据,包含令牌类型typ、签名算法alg以及密钥ID kid等信息;Payload是需要传递的claims数据,也是Base64编码的JSON数据,其中有些字段是JWT标准已经有了的字段,如:exp、iat、iss、sub和aud等等,也可以根据需求添加自定义字段;
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

快,把我桶也提着

如果对您有帮助欢迎支持哦~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值