Istio 中的授权策略详解

最新推荐文章于 2023-08-01 20:03:00 发布
最新推荐文章于 2023-08-01 20:03:00 发布
阅读量1.7k 收藏 1
点赞数 1
文章标签: java 编程语言 大数据 区块链 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38754564/article/details/107527162
版权
本文深入探讨 Istio 的授权策略,包括全局、namespace 局部和明确 match label 的策略,以及匹配算法。介绍了如何配置和使用 AuthorizationPolicy,通过示例展示了规则匹配、权限控制,并提供了操作步骤和清理方法。授权策略在 Istio 安全体系中扮演关键角色,实现访问控制,防止未经授权的流量进入或离开服务网格。
摘要由CSDN通过智能技术生成

本文节选自 ServiceMesher 社区出品的开源电子书《Istio Handbook——Istio 服务网格进阶实践》,阅读地址:https://www.servicemesher.com/istio-handbook/

授权功能是 Istio 中安全体系的一个重要组成部分,它用来实现访问控制的功能,即判断一个请求是否允许通过,这个请求可以是从外部进入 Istio 内部的请求,也可以是在 Istio 内部从服务 A 到服务 B 的请求。可以把授权功能近似地认为是一种四层到七层的“防火墙”,它会像传统防火墙一样,对数据流进行分析和匹配,然后执行相应的动作。

本节所有概念和操作都基于 Istio 1.6 版本。

授权功能是通过授权策略 (AuthorizationPolicy) 来进行配置和使用的,下面是一个完整的授权策略示例:

                apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
 name: httpbin-policy
 namespace: foo
spec:
  selector:
    matchLabels:
      app: httpbin
  action: ALLOW
  rules:
  - from:
    - source:
        principals: ["cluster.local/ns/default/sa/sleep"]
    to:
    - operation:
        methods: ["GET"]
        paths: ["/info*"]
    when:
    - key: request.auth.claims[iss]
      values: ["https://foo.com"]

这个授权策略的含义是:筛选出 foo 这个 namespace 中含有 app: httpbin label 的 pod,对发送到这些 pod 的请求进行匹配,如果匹配成功,则放行当前请求,匹配规则如下:发起请求的 pod 的 Service Account 需要是 cluster.local/ns/default/sa/sleep ,请求使用 HTTP 协议,请求的具体方法类型是 GET ,请求的 URL 为 /info* ,并且请求中需要包含由 https://foo.com 签发的有效的 JWT Token。

从这个例子中可以看出一个授权策略主要包含以下几个部分:

name:授权策略的名称,仅用于标识授权策略本身,不会影响规则的匹配和执行。•namespace:当前授权策略对象所在的 namespace ,可以使用这个字段配置不同作用范围的授权策略,详见授权策略的作用范围[1]。•selector:使用 label 来选择当前授权策略作用于哪些 pod 上。注意,这里设置的是服务端的 pod ,因为最终这些规则会转换成 Envoy 规则由服务端的 Envoy Proxy 来具体执行。例如有 client 和 server 两个 service ,它们的 pod 对应的 label 分别为 app: client 和 app: server ,为了针对从 client 到 server 的请求进行配置授权策略,这里的 selector 应该设置为 app: server。•action:可以为 ALLOW(默认值)或者 DENY。•rules:匹配规则,如果匹配成功,就会执行对应的 action ,详见授权策略的规则详解[2]

授权策略的作用范围

授权策略可以按照作用域的大小分成三个不同的类型:全局策略、某个 namespace 内的局部策略和具有明确 match label 的授权策略。下面分别进行说明。

全局策略

授权策略位于 istio 的 root namespace 中(例如 istio-system),且匹配所有的 pod。这种规则会作用于整个集群中的所有 pod。

下面的例子中有3个全局策略,第一个是全局 ALLOW ,第二个和第三个是全局 DENY ,后面这两个作用类似,但又有重要的区别,详见授权策略的匹配算法。

                kubectl apply -f - <<EOF
apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: global-allow
  namespace: istio-system
spec:
  action: ALLOW
  rules:
  - {}
EOF


kubectl apply -f - <<EOF
apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: global-deny
  namespace: istio-system
spec:
  action: DENY
  rules:
  - {}
EOF


kubectl apply -f - <<EOF
apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: global-deny
  namespace: istio-system
spec:
  {}
EOF

某个 namespace 内的局部策略

授权策略位于除了 root namespace 之外的任何一个 namespace 中,且匹配所有的 pod ,这种情况下,这个策略会作用于当前 namespace 中的所有 pod。

下面的例子中是3个 namespace 级别的策略,第一个是 ALLOW ,第二个和第三个是 DENY ,像全局策略一样,后面这两个作用类似,但又有重要的区别,详见授权策略的匹配算法。

                kubectl apply -f - <<EOF
apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: foo-namespace-allow
  namespace: foo
spec:
  action: ALLOW
  rules:
  - {}
EOF
最低0.47元/天 解锁文章
weixin_38754564
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
y134.第七章 服务网格与治理-Istio从入门到精通 -- 授权策略(二十)
Raymond的博客
09-15 298
Istio授权机制为Istio网格的workload提供了mesh-level、namespace-level和workload-level的访问控制机制,它提供如下特性。
Istio授权策略
Micky_Yang的博客
08-07 2712
一、理解授权   为了保障集群的服务的安全,Istio提供了一系列开箱即用的安全机制,对服务进行访问控制就是其非常重要的一个部分,这个功能被称为授权授权功能会按照预定义的配置针对特定的请求进行匹配,匹配成功之后会执行对应的动作,例如放行请求或者拒绝请求。   由于作用的对象是服务,因此,授权功能主要适用于四层至七层(相比较而言,传统的防火墙主要用于二至四层),例如gRPC、HTTP、HTTPS和HTTP2以及TCP协议等等,对基于这些协议的请求进行授权检测,Istio都可以提供原生支持。   从数据流
Istio 安全 授权管理AuthorizationPolicy
小楼一夜听春雨,深巷明朝卖杏花
08-01 947
本质其实就是设置谁可以访问,谁不可以访问。默认命名空间是没有AuthorizationPolicy---允许所有的客户端访问。如果对Pod1生成两个策略,一个是allow,一个是deny,两个冲突的时候那么allow就不再生效了,deny是生效的。这里是没有指定应用到谁上面去,有没有指定使用哪些客户端,这样就是拒绝了所有的了。这个和cka考试里面的网络策略是类似的。它是可以实现更加细颗粒度限制的。上面{}代表着所有的客户端。这个代表是允许命名空间ns1客户端可以访问。但是并不想让所有的客户端都可以访问。
一文了解Istio外部授权
xcbeyond|疯狂源自梦想,技术成就辉煌
03-23 365
点击上方“程序猿技术大咖”,关注并选择“设为星标”回复“加群”获取入群讨论资格!初识Istio Authorization我们都知道认证(Authentication、Authn)与授权Authorization、Authz)一同构建了起网络应用安全的基本屏障。通常,授权对认证有一定的依赖。比如我们熟悉的OAuth或者基于JWT Token的授权Istio授权充分利用了Envoy的授权插件,基...
记一次,istio1.4升级到1.7,当开启AuthorizationPolicy时,js访问服务跨域问题。
小洲同学的博客
05-13 405
istio1.4是用的Policy做原始认证和ServiceRole做的rbac,1.4版本也遇到过跨域,当时通过配置VS的corsPolicy得以解决: istio1.7在配置了VS的corsPolicy的情况下,当服务开启AuthorizationPolicy时候,还是会发生跨域问题。翻看了下istio1.7的源码,发现VS的corsPolicy内容增加了allowOrigins为list<map<String,String>>类型。(具体的原理有时间在来补充。。。)
authorizationPolicy详解
mark's technic world
05-27 3109
学习目标 什么是AuthorizationPolicy 授权功能是 Istio 安全体系的一个重要组成部分,它用来实现访问控制的功能,即判断一个请求是否允许通过,这个请求可以是从外部进入 Istio 内部的请求,也可以是在 Istio 内部从服务 A 到服务 B 的请求。可以把授权功能近似地认为是一种四层到七层的“防火墙”,它会像传统防火墙一样,对数据流进行分析和匹配,然后执行相应的动作。 流程 Authorization policies support ALLOW, DENY ..
istio-1.6.7-linux-amd64.tar.gz
08-03
5. **Mixer**:虽然在Istio 1.6,Mixer的部分功能已被Pilot接管,但在早期版本,Mixer处理策略执行和遥测数据收集。 **安装与部署:** 安装Istio 1.6.7通常涉及以下几个步骤: 1. 解压文件:使用`tar -zxvf ...
服务网格Istio实战教程
最新发布
07-11
#### 二、Istio架构与组件详解 **Istio**是一个开源的服务网格平台,它通过一系列灵活的API和服务间通信控制手段,帮助开发者构建高度可扩展、安全和可靠的分布式系统。 - **控制平面(Control Plane)**:主要...
服务网格新生代--Istio1
08-08
Istio 服务网格详解Istio 是一款由 Google、IBM 和 Lyft 联合开发的开源服务网格解决方案,旨在提供一个连接、管理和保护微服务的开放平台。自2017年5月发布以来,Istio 已经成为微服务架构重要的组件。它将...
learning-istio:记录istio相关知识与实践
03-26
利用Citadel,设置服务间的身份认证和授权策略,确保只有经过验证的请求才能访问服务。 五、Shell脚本在Istio的作用 在学习Istio的过程,Shell脚本常被用于自动化部署、测试和维护任务。例如,创建Kubernetes...
Custom-Istio-Manifest:回购演示使用Istio清单(AuthorizationPolicies,Istio网关,VirtualServices,DestinationRules,PeerAuthentication)保护名称空间和部署的安全
03-27
安全的Istio清单 由Helm管理的Istio清单可为Kubernetes提供名称空间和部署特定的安全性。 它能做什么 部署与服务 部署服务和两个版本的UI(“主”和“测试”)。 在服务/ UI部署之前创建服务,将其端口暴露在Kubernetes集群内部。 虚拟服务和DestinationRules 为主机定义DesinationRules,并使用“版本”标签来应用VirtualService级别的规则。 为每个服务和UI定义VirtualServices(具有针对不同版本定义的流量百分比的UI) mTLS,零信任和例外 在整个名称空间启用mTLS。 通过禁止名称空间内的所有流量来实施​​零信任。 创建基于主体的零信任例外,以允许UI与后端服务之间进行通信。 入口 创建一个Istio Ingress网关,以允许将监视和路由规则应用于进入群集的外部流量。 我在哪里看
Dapr分布式应用运行时详解及实列.docx
08-24
- **身份验证和授权**:集成身份验证和授权服务,如JWT验证。 - **容错和重试**:自动处理服务调用失败,支持重试和超时策略。 - **调用链路跟踪**:集成OpenTracing和Zipkin进行分布式跟踪。 通过这些特性,...
安全保障基于软件全生命周期-Istio授权机制
qiaotl的博客
07-27 267
通过实际例子演示如何通过配置AuthorizationPolicy控制应用间访问权限。
记一次istio+springcloud gateway 处理跨域问题
shileilei1988的博客
08-03 1144
istio网管配置,springcloud网管配置,跨域配置
ISTIO文档解读学习(三)
dingyahui的博客
03-04 914
Istio安全 将单一应用程序分解为微服务可提供各种好处,包括更好的灵活性、可伸缩性以及服务复用的能力。但是,微服务也有特殊的安全需求:1)为了抵御间人攻击,需要流量加密。2)为了提供灵活的服务访问控制,需要双向 TLS 和细粒度的访问策略。3)要审核谁在什么时候做了什么,需要审计工具。istio安全整体概述 ...
k8s实战之istio资源详解
07-02
云平台令使用它们的公司受益匪浅。但不可否认的是,上云会给 DevOps 团队带来压力。为了可移植性,开发人员必须使用微服务来构建应用,同时运维人员也正在管理着极端庞大的混合云和多云的部署环境。 Istio 允许您连接、保护、控制和观察服务。从较高的层面来说,Istio 有助于降低这些部署的复杂性,并减轻开发团队的压力。它是一个完全开源的服务网格,作为透明的一层接入到现有的分布式应用程序里。它也是一个平台,拥有可以集成任何日志、遥测和策略系统的 API 接口。Istio 多样化的特性使您能够成功且高效地运行分布式微服务架构,并提供保护、连接和监控微服务的统一方法。本课程详细讲解istio的各种crd资源,如何写yaml配置文件,以及他们会起什么作用。
安装AuthorizationPolicy和EnvoyFilter
Rory的博客
04-22 281
报错: failed to call kfp.Client().create_run_from_pipeline_func in in-cluster juypter notebook 解决: apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: bind-ml-pipeline-nb-wangzy-p #修改名称 namespace: kubeflow spec: selector: m
基于Kubernates的istio白名单配置
h_tinkinginjava的博客
10-28 1031
在Kubernates,引入了istio管理流量,这时所有的入口流量均通过istio的ingressgateway转发至目标服务,若是想要配置白名单,限制访问流量,那么需要创建一个istioAuthorizationPolicy资源,该资源通过label绑定ingressgateway的pod。事例如下: kubectl apply -f - <<EOF apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy me
Ubuntu 9.10 NFS server & client 配置安装
Mdemonhunter
12-10 2276
简单介绍在Ubuntu 9.10 上成功配置NFS 过程。 1    root 下, apt-get install portmap nfs-kernel-server nfs-common        有人说apt-get install  nfs-kernel
Istio流量管理详解:协议扩展与服务发现机制
MCP(Mesh Configuration Protocol)适配器,如Consul MCP Adapter,可以将第三方注册表的服务集成到Istio,实现了跨平台的服务发现能力。 在流量管理方面,Istio提供了丰富的功能。例如,它可以设定负载均衡...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值