第五部分 Istio认证和授权策略

最新推荐文章于 2024-03-28 10:00:00 发布
最新推荐文章于 2024-03-28 10:00:00 发布
阅读量2.4k 收藏 1
点赞数
分类专栏: istio 文章标签: Istio认证策略 Istio授权策略
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013538795/article/details/89669408
版权

认证策略

通过上一部分认证架构可以了解到,认证策略是对服务收到的请求生效的。要在双向 TLS 中指定客户端认证策略,需要在 DetinationRule 中设置 TLSSettings。使用者可以通过yaml文件来编写认证策略,然后使用 istioctl 进行部署。

例如,要求 reviews 服务必须使用双向 TLS:

apiVersion: "authentication.istio.io/v1alpha1"
kind: "Policy"
metadata:
  name: "reviews"
spec:
  targets:
  - name: reviews
    peers:
  - mtls: {}

策略存储范围

Istio 可以在命名空间范围或Mesh范围存储中存储身份认证策略。

配置 MeshPolicy,指定Mesh范围策略,名称为 default

apiVersion: "authentication.istio.io/v1alpha1"
kind: "MeshPolicy"
metadata:
  name: "default"
spec:
  peers:
  - mtls: {}

配置Policy,指定命名空间范围策略。例如命名空间myns,如不指定,则是默认命名空间:

apiVersion: "authentication.istio.io/v1alpha1"
kind: "Policy"
metadata:
  name: "default"
  namespace: "myns"
spec:
  peers:
  - mtls: {}

命名空间范围存储中的策略只能影响同一命名空间中的服务。Mesh范围内的策略可以影响Mesh中的所有Istio服务。防止冲突和滥用,只能在Mesh范围存储中定义一个策略。该策略必须命名为 default 并且有一个空的 targets: 部分。

目标选择器

身份认证策略的目标指定策略适用于哪些服务。以下示例展示的是一个 targets: 部分,指定该策略适用于:

  • product-page 服务,任意端口
  • reviews服务,9000端口
targets:
 - name: product-page
 - name: reviews
   ports:
   - number: 9000

如果您未提供 targets: 部分,则 Istio 将策略与策略存储范围内的所有服务匹配。因此,targets: 部分可以帮助您指定策略的范围:

  1. Mesh范围策略:在Mesh范围存储中定义的策略,没有目标选择器部分。Mesh中最多只能有一个Mesh范围的策略。
  2. 命名空间范围的策略:在命名空间范围存储中定义的策略,名称为 default 且没有目标选择器部分。每个命名空间最多只能有一个命名空间范围的策略。
  3. 特定于服务的策略:在命名空间范围存储中定义的策略,具有非空目标选择器部分。命名空间可以具有零个,一个或多个特定于服务的策略。

对于每项服务,Istio 都应用最窄的匹配策略。顺序是:特定服务>命名空间范围>网格范围。如果多个特定于服务的策略与服务匹配,则 Istio 随机选择其中一个。运维人员在配置其策略时必须避免此类冲突。

值得注意的是,为了强制Mesh范围和命名空间范围的策略的唯一性,Istio 每个Mesh只接受一个身份认证策略,每个命名空间只接受一个身份认证策略。Istio 还要求Mesh范围和命名空间范围的策略具有特定名称 default。

传输认证

peers: 部分定义了策略中传输身份验证支持的身份验证方法和相关参数。该部分可以列出多个方法,并且只有一个方法必须满足认证才能通过。但是,从 Istio 0.7 版本开始,当前支持的唯一传输身份验证方法是双向 TLS。如果您不需要传输身份验证,请完全跳过此部分。使用双向 TLS 启用传输身份验证的 peers: 部分:

peers:
  - mtls: {}

目前(Istio1.1),双向 TLS 设置不需要任何参数。因此,-mtls: {}、- mtls: 或 - mtls: null 声明被视为相同。将来,双向 TLS 设置可以携带参数以提供不同的双向 TLS 实现。

来源身份认证

origins: 部分定义了原始身份验证支持的身份验证方法和相关参数。Istio 仅支持 JWT 原始身份验证。策略支持多个JWT身份认证,与传输身份验证类似,必须满足身份验证才能通过。例如,该origin接受 Google 发布的 JWT:

origins:
- jwt:
    issuer: "https://accounts.google.com"
    jwksUri: "https://www.googleapis.com/oauth2/v3/certs"

主认证绑定

主认证关系用键值对的方式存储绑定关系。默认情况下,Istio 使用 peers: 部分中配置的身份验证。如果在 peers: 部分中未配置身份验证,Istio 将保留身份验证。策略编写者可以使用 USE_ORIGIN 值覆盖此行为。此值将 Istio 配置为使用 origin 的身份验证作为主体身份验证。将来,Istio将支持条件绑定,如,当传输体为 X 时为 USE_PEER,否则为 USE_ORIGIN。以下示例显示了 principalBinding 键,其值为 USE_ORIGIN:

principalBinding: USE_ORIGIN

更新认证策略

使用者可以随时更改身份认证策略。Istio 几乎实时地将更改推送到端点。但是,Istio 无法保证所有端点同时收到新策略。以下是在更新身份认证策略时避免中断的建议:

  1. 启用或禁用双向 TLS:使用带有 mode: 键和 PERMISSIVE 值的临时策略。这会将接收服务配置为接受两种类型的流量:纯文本和 TLS。因此,不会丢弃任何请求。一旦所有客户端切换到预期协议,无论是否有双向 TLS,您都可以将 PERMISSIVE 策略替换为最终策略。
  2. 对于 JWT 身份验证迁移:在更改策略之前,请求应包含新的 JWT。一旦服务器端完全切换到新策略,旧 JWT(如果有的话)可以被删除。需要更改客户端应用程序才能使这些更改生效。
peers:
- mtls:
    mode: PERMISSIVE

授权策略

配置授权策略,需要指定两个Kubernetes CustomResourceDefinition( CRD)对象,ServiceRole 和 ServiceRoleBinding。

  • ServiceRole 定义了一组访问服务的权限。
  • ServiceRoleBinding 向特定主题授予 ServiceRole,例如用户、组或服务等。

ServiceRole 和 ServiceRoleBinding 的组合规定:允许谁在哪些条件下做什么。对应相关字段:

  • 谁对应ServiceRoleBinding 中的 subject 部分。
  • 做什么对应ServiceRole 中的 permissions 部分。
  • 哪些条件对应ServiceRole 或 ServiceRoleBinding 中使用 Istio 属性指定的 conditions 部分。

ServiceRole

ServiceRole规范包括规则和权限列表等。每条规范的标准字段如下:

  1. services:服务名称列表。您可以将值设置为 * 以包括指定命名空间中的所有服务。
  2. methods:HTTP 方法名称列表,对于 gRPC 请求的权限,HTTP默认为POST。您可以将值设置为 * 以包含所有 HTTP 方法。
  3. paths:HTTP 路径或 gRPC 方法。 gRPC 方法必须采用 /packageName.serviceName/methodName 的形式,并且区分大小写。

ServiceRole 规范仅适用于 metadata 部分中指定的命名空间。规则中需要 services 和 methods 字段。 paths 是可选的。如果未指定规则或将其设置为 *,则它适用于任何实例。例如service-admin角色,以完全访问 default 命名空间中的所有服务:

apiVersion: "rbac.istio.io/v1alpha1"
kind: ServiceRole
metadata:
  name: service-admin
  namespace: default
spec:
  rules:
  - services: ["*"]
    methods: ["*"]

products-viewer角色有读取权限,包括 GET 和 HEAD,能够访问 default 命名空间中的 products.default.svc.cluster.local 服务。

apiVersion: "rbac.istio.io/v1alpha1"
kind: ServiceRole
metadata:
  name: products-viewer
  namespace: default
spec:
  rules:
  - services: ["products.default.svc.cluster.local"]
    methods: ["GET", "HEAD"]

此外,规则还支持所有字段的前缀匹配和后缀匹配。例如,您可以在 default命名空间中定义具有以下权限的 tester 角色:

  1. 完全访问前缀为 test-* 的所有服务,例如:test-bookstore、test-performance、test-api.default.svc.cluster.local。
  2. 读取(GET)使用 */reviews 后缀访问的所有路径,例如:在 bookstore .default.svc.cluster.local 服务中的 /books/reviews、/events/booksale/reviews、/reviews。
apiVersion: "rbac.istio.io/v1alpha1"
kind: ServiceRole
metadata:
  name: tester
  namespace: default
spec:
  rules:
  - services: ["test-*"]
    methods: ["*"]
  - services: ["bookstore.default.svc.cluster.local"]
    paths: ["*/reviews"]
    methods: ["GET"]

在 ServiceRole 中,namespace + services + paths + methods 的组合定义了如何访问服务。在某些情况下,您可能需要为规则指定其他条件。例如,规则可能仅适用于服务的某个版本,或仅适用于具有特定标签的服务,如 foo。您可以使用 constraints 轻松指定这些条件。

例如,下面的 ServiceRole 定义在以前的 products-viewer 角色基础之上添加了一个约束:request.headers[version] 为 v1 或 v2 。在约束和属性页面中列出了约束支持的 key 值。在属性值是 map 类型的情况下,例如 request.headers,key 是 map 中的一个条目,例如 request.headers[version]。

apiVersion: "rbac.istio.io/v1alpha1"
kind: ServiceRole
metadata:
  name: products-viewer-version
  namespace: default
spec:
  rules:
  - services: ["products.default.svc.cluster.local"]
    methods: ["GET", "HEAD"]
    constraints:
    - key: request.headers[version]
      values: ["v1", "v2"]

ServiceRoleBinding

ServiceRoleBinding 规范包括两部分:

  1. roleRef 指的是同一命名空间中的 ServiceRole 资源。
  2. subjects 分配给角色的列表。

您可以使用 user 或一组 properties 显式指定 *subject*。ServiceRoleBinding subject 中的 property 类似于 ServiceRole 规范中的 *constraint*。 property 还允许您使用条件指定分配给此角色的一组帐户。它包含一个 key 及其允许的*值*。约束支持的 key 值列在约束和属性页面中。

下面的例子显示了一个名为 test-binding-products 的 ServiceRoleBinding,它将两个 subject 绑定到名为 product-viewer 的 ServiceRole 并具有以下 subject

  • 代表服务 a 的服务帐户,service-account-a。
  • 代表 Ingress 服务的服务帐户 istio-ingress-service-account 并且 它的 JWT 中的 mail 项声明为 a@foo.com。
apiVersion: "rbac.istio.io/v1alpha1"
kind: ServiceRoleBinding
metadata:
  name: test-binding-products
  namespace: default
spec:
  subjects:
  - user: "service-account-a"
  - user: "istio-ingress-service-account"
    properties:
      request.auth.claims[email]: "a@foo.com"
    roleRef:
    kind: ServiceRole
    name: "products-viewer"

如果您想要公开访问服务,可以将 subject 设置为 user:"*" 。此值将 ServiceRole 分配给所有(经过身份验证和未经身份验证的)用户和服务,例如:

apiVersion: "rbac.istio.io/v1alpha1"
kind: ServiceRoleBinding
metadata:
  name: binding-products-allusers
  namespace: default
spec:
  subjects:
  - user: "*"
    roleRef:
    kind: ServiceRole
    name: "products-viewer"

要将 ServiceRole 分配给经过身份验证的用户和服务,请使用 source.principal:"*" 代替,例如:

apiVersion: "rbac.istio.io/v1alpha1"
kind: ServiceRoleBinding
kind: ServiceRoleBinding
metadata:
  name: binding-products-all-authenticated-users
  namespace: default
spec:
  subjects:
  - properties:
      source.principal: "*"
    roleRef:
    kind: ServiceRole
    name: "products-viewer"

在普通 TCP 协议上使用 Istio 认证

Istio 授权支持使用任何普通 TCP 协议的 service,例如 MongoDB。在这种情况下,您可以像配置 HTTP 服务一样配置 service role 和 service role binding。不同之处在于,某些字段、约束和属性不支持TCP协议的service,这些字段包括:

  • service role 配置对象中的 paths 和 methods 字段。
  • service role binding 配置对象中的 group 字段。

如果你在TCP service 中使用了任意 HTTP 特有的字段,Istio将会忽略它。您有一个 MongoDB service 在 27017 端口上监听,下面的示例配置了一个 service role 和一个 service role binding,仅允许 Istio 网格中的 `bookinfo-ratings-v2 访问 MongoDB service。

apiVersion: "rbac.istio.io/v1alpha1"
kind: ServiceRole
metadata:
  name: mongodb-viewer
  namespace: default
spec:
  rules:
  - services: ["mongodb.default.svc.cluster.local"]
    constraints:
    - key: "destination.port"
      values: ["27017"]
---
apiVersion: "rbac.istio.io/v1alpha1"
kind: ServiceRoleBinding
metadata:
  name: bind-mongodb-viewer
  namespace: default
spec:
  subjects:
  - user: "cluster.local/ns/default/sa/bookinfo-ratings-v2"
  roleRef:
    kind: ServiceRole
    name: "mongodb-viewer"

授权宽容模式

授权宽容模式(authorization permissive mode)是 Istio 1.1 发布版中的实验特性。其接口可能在未来的发布中发生变化,不建议在生产版本使用。授权宽容模式允许您在将授权策略提交到生产环境部署之前对其进行验证。

可以在全局授权配置和单个独立策略中启用授权宽容模式。如果在全局授权配置中设置,所有策略都将切换至授权宽容模式,不管其本身的模式。如果您设置全局授权模式为 ENFORCED,单个策略设置的强制模式将起作用。如果您没有设置任何模式,全局授权配置和单个策略都将默认被设置为 ENFORCED。

要全局启用宽容模式,将全局 Istio RBAC 授权配置中的 enforcement_mode: 设置为 PERMISSIVE,如下面的示例所示。

apiVersion: "rbac.istio.io/v1alpha1"
kind: ClusterRbacConfig
metadata:
  name: default
spec:
  mode: 'ON_WITH_INCLUSION'
  inclusion:
    namespaces: ["default"]
  enforcement_mode: PERMISSIVE

 如要为特定策略启用宽容模式,请将策略配置文件中的 mode: 设置为 PERMISSIVE,如下面的示例所示。

apiVersion: "rbac.istio.io/v1alpha1"
kind: ServiceRoleBinding
metadata:
  name: bind-details-reviews
  namespace: default
spec:
  subjects:
    - user: "cluster.local/ns/default/sa/bookinfo-productpage"
  roleRef:
    kind: ServiceRole
    name: "details-reviews-viewer"
  mode: PERMISSIVE

使用其他授权机制

虽然建议使用Istio 授权机制,但是Istio也支持其他授权插件,比如Mixer组件,它允许你插入自己的身份验证和授权机制。详情请了解Mixer使用和配置。

上官浩仁
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Istio的JWT认证授权
Micky_Yang的博客
08-15 1344
一、理解JWT   JWT(Json Web Token)是一种多方传递可信JSON数据的方案,一个JWT token由.分隔的三部分组成:{Header}.{Payload}.{Signature},其中Header是Base64编码的JSON数据,包含令牌类型typ、签名算法alg以及密钥ID kid等信息;Payload是需要传递的claims数据,也是Base64编码的JSON数据,其中有些字段是JWT标准已经有了的字段,如:exp、iat、iss、sub和aud等等,也可以根据需求添加自定义字段;
Istio 中的授权策略详解
ServiceMesher
07-22 1714
本文节选自 ServiceMesher 社区出品的开源电子书《Istio Handbook——Istio 服务网格进阶实践》,阅读地址:https://www.servicemesher...
深入了解Istio的身份验证与授权机制
禅与计算机程序设计艺术
12-28 293
1.背景介绍 Istio是一个开源的服务网格,它为微服务架构提供了网络管理、安全性和监控等功能。Istio的身份验证与授权机制是其核心功能之一,它可以确保只有经过身份验证并具有相应权限的服务才能访问其他服务。 在本文中,我们将深入了解Istio的身份验证与授权机制,包括其核心概念、算法原理、具体操作步骤以及数学模型公式。此外,我们还将讨论一些实际代码示例和未来发展趋势。 2.核心概念与联系 ...
微服务治理框架(Istio)的认证服务与访问控制
武天旭的博客
04-14 853
在微服务架构下,每个服务是无状态的,由于服务端需要存储客户端的登录状态,因此传统的session认证方式在微服务中不再适用。理想的实现方式应为无状态登录,流程通常如下:1、客户端请求某服务,服务端对用户进行登录认证。2、认证通过,服务端将用户登录信息进行加密并形成令牌,最后再返回至客户端作为登录凭证。3、在步骤2之后,客户端每次请求都须携带认证的令牌。4、服务端对令牌进行解密,判断是否有效,若有效则认证通过,否则返回失败信息。
Istio安全架构--理解身份/认证/授权
网络安全研究
04-08 2501
Istio 安全的目标是: - 默认安全:应用程序代码和基础设施无需更改 - 深度防御:与现有安全系统集成以提供多层防御 - 零信任网络:在不受信任的网络上构建安全解决方案
istio 实战:JWT 认证
01-05
JWT 是一种轻量级的身份验证和授权机制,广泛用于分布式系统中。 JWT 认证Istio 中的角色是确保只有经过身份验证的用户和服务能够访问特定的资源。以下将详细介绍如何在 Istio 中配置和使用 JWT 认证。 首先,...
kubernetes实践:Istio策略与遥测
02-24
Istio提供一种简单的方式建立已部署服务网络,具备负载均衡,服务间认证和监控等功能。而不需要改变任何服务代码。想要为服务增加对Istio的支持,只需要在环境中部署一个sidecar,使用Istio控制面板功能配置和管理...
CVE-2020-8595:Istio认证绕过1
08-03
Istio使用JSON Web Token (JWT) 来进行身份验证和授权,这是一种广泛使用的轻量级安全协议。JWT包含了用户信息,并通过数字签名来确保其完整性。`issuer` 和 `jwksUri` 是JWT配置中的重要字段,`issuer`指定了JWT的...
istio:istio示例和资源
03-21
istio示例和资源 istioctl 1.8.3二进制文件: : minikube安装: ://minikube.sigs.k8s.io/docs/start/ minikube istio: ://istio.io/latest/docs/setup/platform-setup/minikube/ minikube start:“ minikube ...
Istio安全
qq_42747099的博客
04-01 324
认证 Istio授权 启用授权 使用RbacConfig对象启用Istio授权。 RbacConfig对象,可以指定mode值进行权限限制: OFF:禁用Istio授权。 ON:为网格中的所有服务启用了Istio授权。 ON_WITH_INCLUSION:仅对inclusion字段中指定的服务和命名空间启用Istio授权。 ON_WITH_EXCLUSION:对网格中的所有服务启用Ist...
Istio 实现 ext-authz 外部扩展鉴权以及对接基于 k8s 的微服务
JohnYang's CSDN Home
06-01 723
可以实现基于redis的token鉴权以及实现rbac鉴权。转载请注明来源:https://janrs.com/vrsrIstio的外部鉴权本质是基于Envoy实现的,直接看EnvoyIsio官方的Demo。
38.云原生之Istio安全-流量鉴权加密
最新发布
wangluoanquan111的博客
03-28 1067
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。[Istio 文档](https://istio.io/latest/zh/docs/tasks/security/authentication/mtls-Istio流量主要包含入口流量和内部流量,入口流量是需要TLS进行加密的,加密解密过程是需要消耗CPU资源的,若是集群规模比较大内部服务多,内部流量。
istio证书签发流程
yevvzi的博客
08-07 1169
envoy 中的证书验证 combined_validation_context 组合的证书验证上下文包含默认的CertificateValidationContext和SDS配置。 当SDS服务器返回动态CertificateValidationContext时,动态和默认的CertificateValidationContext都将合并到新的CertificateValidationContext中以进行验证。 此合并是通过Message::MergeFrom()完成的,因此动态的Certifica
ISTIO熔断说起-轻舟网关熔断
网易数帆社区博客
03-31 493
最近大家经常被熔断洗脑,股市的动荡,让熔断再次出现在大家眼前。微服务中的熔断即服务提供方在一定时间内,因为访问压力太大或依赖异常等原因,而出现异常返回或慢响应,熔断即停止该服务的访问,防止发生雪崩效应。轻舟网关基于Envoy实现,在社区熔断思路上进行扩展。本文从Istio中熔断说起,拨云见日,漫谈轻舟网关熔断。 从熔断说起 最近大家经常被熔断洗脑,股市的动荡,有幸两周内见证了美股的四次熔断...
使用Istio打造微服务(第2部分) - 认证授权
weixin_33888907的博客
03-25 1389
作者;Rinor Maloku译者:殷龙飞审校:邱世达原文:medium.com/google-clou…这篇文章是使用Istio打造微服务的第二部分,如果没有看第一篇的话,请先看第一部分内容,因为这篇博客是以第一篇博客为基础进行进一步深入的。在第一篇文章中,我们建立了一个Kubernetes集群,并且在上面部署了 Istio 和示例微服务应用程序“Sentiment Analysis”,用...
IS-OAuth:OAuth2.0
weixin_30458043的博客
07-02 71
ylbtech-IS-OAuth:OAuth2.0 OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 2.0即完全废止了OAuth1.0。 OAuth 2.0关注客户端开发者的简易性。要么通过组织在资源拥有者和HTTP服务商之间的被批准的交互动作代表用户,要么允许第三方应用代表用户获得访问的权限。同时为Web应用,桌面应用和手机,和起居室设备提供专门的认...
Istio学习笔记:IngressGateway实现基于OAuth2.0+JWT的API鉴权
10-28 4940
本文主要记录在Istio 1.6.8中,利用Istio Security的RequestAuthentication、AuthorizationPolicy、以及EnvoyFilter等 实现基于OAuth2.0 + JWT的API鉴权功能。客户端(浏览器)通过网关访问后端服务api(/apis/xxx/api),istio ingress gateway进行后端服务的统一鉴权处理。仅供个人参考。
一张图快速了解 Istio 的 EnvoyFilter
万猫学社
07-18 2842
EnvoyFilter 提供了一种机制来定制 Istio Pilot 生成的 Envoy 配置。使用 EnvoyFilter 修改某些字段的值,添加特定的过滤器,甚至添加
Kubernetes客户端认证—— 基于ServiceAccount的JWTToken认证
2301_77342543的博客
08-04 377
在 Kubernetes 官方手册中给出了 “用户” 的概念,Kubernetes 集群中存在的用户包括 “普通用户” 与 “ServiceAccount”, 但是 Kubernetes 没有普通用户的管理方式,通常只是将使用集群根证书签署的有效证书的用户都被视为合法用户。那么对于使得 Kubernetes 集群有一个真正的用户系统,就可以根据上面给出的概念将 Kubernetes 用户分为“内部用户”与“外部用户”。如何理解内部与外部用户呢?
基于Istio的微服务熔断策略性能建模与分析
辛梓帆的毕业论文探讨了在当前互联网技术快速发展和微服务架构广泛应用的背景下,如何有效地管理和优化服务熔断策略,特别是在云原生环境中。该论文的焦点在于基于Istio的微服务治理,Istio是一个强大的工具,用于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值