istio:MTLS导致 bookinfo 访问不通

最新推荐文章于 2023-07-26 22:37:42 发布
最新推荐文章于 2023-07-26 22:37:42 发布
阅读量801 收藏 1
点赞数 1
分类专栏: istio
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/textdemo123/article/details/102629972
版权

背景:
最新一直在学习istio相关知识 ,book info作为官方的第一个case,我在部署了 流量规则之后就访问不通了
我部署的两个规则文件
destination-rule-all.yaml

apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
  name: productpage
spec:
  host: productpage
  subsets:
  - name: v1
    labels:
      version: v1
---
apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
  name: reviews
spec:
  host: reviews
  subsets:
  - name: v1
    labels:
      version: v1
  - name: v2
    labels:
      version: v2
  - name: v3
    labels:
      version: v3
---
apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
  name: ratings
spec:
  host: ratings
  subsets:
  - name: v1
    labels:
      version: v1
  - name: v2
    labels:
      version: v2
  - name: v2-mysql
    labels:
      version: v2-mysql
  - name: v2-mysql-vm
    labels:
      version: v2-mysql-vm
---
apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
  name: details
spec:
  host: details
  subsets:
  - name: v1
    labels:
      version: v1
  - name: v2
    labels:
      version: v2
---

virtual-service-all-v1.yaml

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: productpage
spec:
  hosts:
  - productpage
  http:
  - route:
    - destination:
        host: productpage
        subset: v1
---
apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: reviews
spec:
  hosts:
  - reviews
  http:
  - route:
    - destination:
        host: reviews
        subset: v1
---
apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: ratings
spec:
  hosts:
  - ratings
  http:
  - route:
    - destination:
        host: ratings
        subset: v1
---
apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: details
spec:
  hosts:
  - details
  http:
  - route:
    - destination:
        host: details
        subset: v1
---

在这里插入图片描述
部署规则之前都是可以访问的,随机访问 rating的 V1,V2,V3版本 ,部署之后 就出现如上图所示。
这个报错在 istio service mesh里面还是很常见的,503 ,找不到具体的访问端点。
问题分析
看了一天多的官方文档,找到了思路,原来是 MTLS的问题, 我的istio集群在安装的时候 默认是开启 MTLS的
怎么确认集群开启了 mesh-scope级别的MTLS?
在这里插入图片描述
现在问题已经很明确了, 我当时部署的DestinationRule 是不包含MTLS策略的,所以 在virtualservice定义之后 ,后端的端点由于 没有认证服务端,所以路由不过去 ,导致 503
如果未指定相互TLS模式,对等方将无法使用传输身份验证,并且ISTIO将拒绝绑定到SideCar的相互TLS连接
什么是MTLS
MTLS 是自签名双向认证
原理大致如图
在这里插入图片描述
istio的认证体系
在这里插入图片描述
istio MTLS认证流程
ISTIO隧道服务通过客户端和服务器端envoy代理来进行通信服务。对于客户端调用具有相互TLS身份验证的服务器:

istio将出站流量从客户端路由到客户端的本地sidecar envoy。

客户端envoy开始与服务器端envoy进行相互TLS握手。在握手过程中,客户端envoy还执行安全命名检查,以验证服务器证书中提供的服务帐户是否被授权运行目标服务。

客户端envoy和服务器端envoy建立相互的tls连接,istio将通信从客户端envoy转发到服务器端envoy。

授权后,服务器端envoy通过本地TCP连接将流量转发给服务器服务
istio 中如何使用MTLS
具体参考官文 : Policies and Security
istio中 有三种级别的MTLS ,
mesh-scope级别的

apiVersion: "authentication.istio.io/v1alpha1"
kind: "MeshPolicy"
metadata:
  name: "default"
spec:
  peers:
  - mtls: {}

namespace-scope级别

apiVersion: "authentication.istio.io/v1alpha1"
kind: "Policy"
metadata:
  name: "default"
  namespace: "ns1"
spec:
  peers:
  - mtls: {}

针对具体service级别

apiVersion: "authentication.istio.io/v1alpha1"
kind: "Policy"
metadata:
  name: "reviews"
spec:
  targets:
  - name: reviews
  peers:
  - mtls: {}

传输身份验证

peers:部分定义策略中传输身份验证支持的身份验证方法和相关参数。节可以列出多个方法,只有满足一个方法才能通过身份验证。但是,从ISTIO 0.7版本开始,当前支持的唯一传输身份验证方法是相互TLS。

以下示例显示对等方:使用相互TLS启用传输身份验证部分。

peers:
  - mtls: {}

相互TLS设置有一个可选的模式参数,用于定义对等传输身份验证的严格性。这些模式记录在身份验证策略参考文档中。

默认的相互TLS模式是严格的。因此,mode:strict等同于以下所有内容:

- mtls: {}
- mtls:
- mtls: null

如果未指定相互TLS模式,对等方将无法使用传输身份验证,并且ISTIO将拒绝绑定到SideCar的相互TLS连接。在应用层,服务仍然可以处理它们自己的相互tls会话。
解决办法:
方法1. 删除 mesh-scope级别的MTLS
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
访问试试效果
在这里插入图片描述
方法2.
部署符合MTLS规则的 DestinationRule

apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
  name: productpage
spec:
  host: productpage
  trafficPolicy:
    tls:
      mode: ISTIO_MUTUAL
  subsets:
  - name: v1
    labels:
      version: v1
---
apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
  name: reviews
spec:
  host: reviews
  trafficPolicy:
    tls:
      mode: ISTIO_MUTUAL
  subsets:
  - name: v1
    labels:
      version: v1
  - name: v2
    labels:
      version: v2
  - name: v3
    labels:
      version: v3
---
apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
  name: ratings
spec:
  host: ratings
  trafficPolicy:
    tls:
      mode: ISTIO_MUTUAL
  subsets:
  - name: v1
    labels:
      version: v1
  - name: v2
    labels:
      version: v2
  - name: v2-mysql
    labels:
      version: v2-mysql
  - name: v2-mysql-vm
    labels:
      version: v2-mysql-vm
---
apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
  name: details
spec:
  host: details
  trafficPolicy:
    tls:
      mode: ISTIO_MUTUAL
  subsets:
  - name: v1
    labels:
      version: v1
  - name: v2
    labels:
      version: v2
---

访问测试也是通过的。

参考文档:
Mutual TLS Deep-Dive
Authentication Policy
Policies and Security

大鹏blog
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Istio的mTLS认证
Micky_Yang的博客
08-14 3252
一、理解mTLS   TLS在web端使用的非常广泛,针对传输的内容进行加密,能够有效的防止中间人攻击。双向TLS(Two way TLS/Mutual TLS,简称mTLS)的主要使用场景是在B2B和Server-toServer的场景中,以支持服务与服务之间的身份认证与授权。      mTLS主要负责服务与服务之间传输层面的认证,具体实现在sidecar中,在具体进行请求时,讲经历如下过程:   1)客户端发出的请求将被发送到客户端sidecar   2)客户端sidecar与服务端sidecar开
Istio开启mtls请求503问题分析
BoCloud博云
07-01 1733
背景 为测试Istio流量管理,将两个服务sleep、flaskapp的两个版本v1、v2(部署文件见参考链接)部署到Istio环境中,通过sleep-v1向flaskapp发起调用http://flaskapp/env/version,正常结果会交替打印出结果v1和v2,然而在调用过程中报错503 reset reason: connection failure,故将问题的步骤、现象、分...
Istio mtls 使用
baobaoxiannv的博客
07-24 917
Istio 版本: 1.6.0 1:设置启动参数 $ kubectl get iop -A -oyaml > temp.yaml $ vim temp.yaml # 添加 enableAutoMtls: true PeerAuthentication CRD 解释 PeerAuthentication 定义流量是否通过隧道到达 SideCar apiVersion: security.istio.io/v1beta1 kind: PeerAuthentication metadata: nam
【无标题】instio bookinfo reviews组件无法启动解决方案
云淡风轻
01-04 560
问题 istio 的reviews-v2等组件无法启动,一直crash # k logs -f reviews-v2-5fd4f8c79f-s8xk4 Unhandled exception Type=Bus error vmState=0x00000000 J9Generic_Signal_Number=00000028 Signal_Number=00000007 Error_Value=00000000 Signal_Code=00000002 Handler1=00007FD945130D30
关于Bookinfo在Kubesphere部署不显示网关地址的Bug解决方法
qq_54331104的博客
08-14 672
在之前我们成功搭建了K8s,Kubesphere,以及Harbor。在昨天我们进行了实例应用Bookinfo的部署,通过这个过程熟悉灰度发布和金丝雀发布。但是在这个过程中我们遇到了个小Bug,给大家分享一下解决办法。 如何部署Bookinfo就不再过多的赘述了,相关的博客和文章有很多,只是说一下解决办法。 问题描述 如图一所示我们在设置网关的时候不显示网关地址,并且在图二中我们看到在应用路由中获取的IP地址为undefined,此时访问productp...
istioIstio官方文档中文版
02-04
4. **安全特性**:Istio通过MTLS(Mutual TLS)实现服务间的强身份认证和加密通信,确保网络流量的安全性。Citadel 提供自动证书管理和身份验证,简化了安全配置。 5. **策略执行与遥测**:Mixer 提供了一种灵活的...
tlscerts:mtls.dev
05-23
mtls.dev它是什么?... make integration-build和make integration -这些测试示例代码段,首先提供服务,然后使用客户端访问服务器。为什么是叉子? cfssl不是为wasm构建的,需要升级依赖项( ) 在这里分叉: :
istio 实战:JWT 认证
最新发布
01-05
- mtls: origins: - jwt: issuer: "https://jwt-issuer.example.com" jwksUri: "https://jwt-issuer.example.com/jwks" ``` 上述示例中,我们为名为 `example-service` 的服务定义了一个认证策略,要求连接它的...
resilient-microservices-with-istio:利用Istio开发弹性微服务的学士学位论文
03-21
它可以实现访问控制、配额限制、日志记录和监控指标的收集,确保服务之间的交互符合规定。 4. **Citadel**:Citadel专注于提供身份验证和授权,确保服务网格中的安全通信。它支持自动的MTLS(Mutual TLS),使服务...
golearnistio:通过示例和一点Golang学习Istio
03-29
第16章:Istio:mTLS 第17章:Istio:出口 第18章:运行应用程序性能测试 第19章:Istio:多集群设置 这是什么一回事呢? 这是关于您学习Istio的信息。 如果你想,当然。 而背后的故事是..我需要一个
逃脱只会部署集群系列 —— Istio实现微服务流量治理bookinfo案例
一别两宽丶各生欢喜
01-16 945
一、实例介绍 1、创建bookinfo实例: $ kubectl create namespace bookinfo $ kubectl -n bookinfo create -f samples/bookinfo/platform/kube/bookinfo.yaml $ kubectl -n bookinfo get po NAME READY STATUS RESTARTS AGE details-v1-597...
istio 常见问题排查
xcbeyond|疯狂源自梦想,技术成就辉煌
07-26 908
istio场景问题排查
istio安全之Citadel
weixin_44833948的博客
09-29 1614
Citadel服务间mTLSCitadel工作原理CA ServerSDS ServerSecret ControllerMonitorCitadel功能演示开始mTLS Citadel 是 Istio 中负责身份认证和证书管理的核心安全组件,1.5 版本之后取消了独立进程,作为一个模块被整合在 istiod 中。 如图,Istio所希望的是在网格中能够使用mTLS进行授权,而在网格外使用JWT+mTLS进行授权。服务间身份认证是使用mTLS,来源身份验证中则是使用JWT。 服务间mTLS istio中的
搭建http2 mTLS通道,实现本地/远程端口转发(gost)
wzp1986的专栏
11-07 1333
mTLS于端口转发示例
istio访问异常问题处理
zing的博客
01-08 2100
问题简述 通过istio实现灰度发布,浏览器访问报404错误,但是通过curl传递一个Host请求头就能访问成功。 问题复现 Rancher UI界面启动Istio,并开启ingress网关 命名空间启动Istio自动注入 部署nginx应用 ###deploy-nginx-v1.yaml apiVersion: apps/v1 kind: Deployment metadata: labels: app: nginx version: v1 name: nginx-v1 n
理解SDP软件定义边界--概念、架构、流程
网络安全研究
03-09 4650
目前,虚拟专用网络(VPN)是很多公司远程访问的解决方案之一。但是,VPN用户一旦获得授权就可以广泛访问公司网络上的资源。这种广泛访问的方法使潜在的敏感资源和信息暴露给VPN用户和攻击者。因此,围绕软件定义的边界解决方案(SDP)成为安全远程访问的一个更具吸引力的替代方案。
istio 1.3.0 安装试用
scwang18的博客
09-14 1629
1. 简介 istio 目前最新版本为1.3.0,支持helm、ansiabled的安装方式,推荐通过Helm安装,可以支持很多精细的配置。 本文演示了helm3和istio 1.3的安装过程。 2、下载helm helm 3相比helm 2.14.3变化还是比较大,跟istio的兼容性好像还有问题,推荐安装helm 2.14.3,后面的实验都是用2.14.3 (1)安装helm3 helm 3实...
Istio—组件及其架构
屈帅波的技术博客
11-28 1068
1.工作机制 (1)自动注入 创建应用程序的时候自动注入Sidecar代理。在K8S场景下创建Pod的时候,Kube-apiserver调用管理面组件的Sidecar-Injector服务,自动修改应用程序的描述信息并注入Sidecar。在真正创建Pod时,在创建业务容器的同时在Pod中创建Sidecar。在真正创建Pod时,在创建业务容器的同时在Pod中创建Sidecar容器。 (2)流量拦截 ...
Istio深度解析:ServiceMesh服务网格新星
"深度剖析ServiceMesh服务网格新生代Istio" Istio是ServiceMesh领域的一个新星,由Google、IBM和Lyft共同创建,它迅速吸引了业界的广泛关注。作为一个开源平台,Istio旨在连接、管理和保护微服务,帮助构建更加安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值