Istio 中的授权策略详解

最新推荐文章于 2023-12-28 01:17:37 发布
最新推荐文章于 2023-12-28 01:17:37 发布
阅读量1.7k 收藏 1
点赞数 1
文章标签: java 编程语言 大数据 区块链 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38754564/article/details/107527162
版权
本文深入探讨 Istio 的授权策略,包括全局、namespace 局部和明确 match label 的策略,以及匹配算法。介绍了如何配置和使用 AuthorizationPolicy,通过示例展示了规则匹配、权限控制,并提供了操作步骤和清理方法。授权策略在 Istio 安全体系中扮演关键角色,实现访问控制,防止未经授权的流量进入或离开服务网格。
摘要由CSDN通过智能技术生成

本文节选自 ServiceMesher 社区出品的开源电子书《Istio Handbook——Istio 服务网格进阶实践》,阅读地址:https://www.servicemesher.com/istio-handbook/

授权功能是 Istio 中安全体系的一个重要组成部分,它用来实现访问控制的功能,即判断一个请求是否允许通过,这个请求可以是从外部进入 Istio 内部的请求,也可以是在 Istio 内部从服务 A 到服务 B 的请求。可以把授权功能近似地认为是一种四层到七层的“防火墙”,它会像传统防火墙一样,对数据流进行分析和匹配,然后执行相应的动作。

本节所有概念和操作都基于 Istio 1.6 版本。

授权功能是通过授权策略 (AuthorizationPolicy) 来进行配置和使用的,下面是一个完整的授权策略示例:

                apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
 name: httpbin-policy
 namespace: foo
spec:
  selector:
    matchLabels:
      app: httpbin
  action: ALLOW
  rules:
  - from:
    - source:
        principals: ["cluster.local/ns/default/sa/sleep"]
    to:
    - operation:
        methods: ["GET"]
        paths: ["/info*"]
    when:
    - key: request.auth.claims[iss]
      values: ["https://foo.com"]

这个授权策略的含义是:筛选出 foo 这个 namespace 中含有 app: httpbin label 的 pod,对发送到这些 pod 的请求进行匹配,如果匹配成功,则放行当前请求,匹配规则如下:发起请求的 pod 的 Service Account 需要是 cluster.local/ns/default/sa/sleep ,请求使用 HTTP 协议,请求的具体方法类型是 GET ,请求的 URL 为 /info* ,并且请求中需要包含由 https://foo.com 签发的有效的 JWT Token。

从这个例子中可以看出一个授权策略主要包含以下几个部分:

name:授权策略的名称,仅用于标识授权策略本身,不会影响规则的匹配和执行。•namespace:当前授权策略对象所在的 namespace ,可以使用这个字段配置不同作用范围的授权策略,详见授权策略的作用范围[1]。•selector:使用 label 来选择当前授权策略作用于哪些 pod 上。注意,这里设置的是服务端的 pod ,因为最终这些规则会转换成 Envoy 规则由服务端的 Envoy Proxy 来具体执行。例如有 client 和 server 两个 service ,它们的 pod 对应的 label 分别为 app: client 和 app: server ,为了针对从 client 到 server 的请求进行配置授权策略,这里的 selector 应该设置为 app: server。•action:可以为 ALLOW(默认值)或者 DENY。•rules:匹配规则,如果匹配成功,就会执行对应的 action ,详见授权策略的规则详解[2]

授权策略的作用范围

授权策略可以按照作用域的大小分成三个不同的类型:全局策略、某个 namespace 内的局部策略和具有明确 match label 的授权策略。下面分别进行说明。

全局策略

授权策略位于 istio 的 root namespace 中(例如 istio-system),且匹配所有的 pod。这种规则会作用于整个集群中的所有 pod。

下面的例子中有3个全局策略,第一个是全局 ALLOW ,第二个和第三个是全局 DENY ,后面这两个作用类似,但又有重要的区别,详见授权策略的匹配算法。

                kubectl apply -f - <<EOF
apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: global-allow
  namespace: istio-system
spec:
  action: ALLOW
  rules:
  - {}
EOF


kubectl apply -f - <<EOF
apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: global-deny
  namespace: istio-system
spec:
  action: DENY
  rules:
  - {}
EOF


kubectl apply -f - <<EOF
apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: global-deny
  namespace: istio-system
spec:
  {}
EOF

某个 namespace 内的局部策略

授权策略位于除了 root namespace 之外的任何一个 namespace 中,且匹配所有的 pod ,这种情况下,这个策略会作用于当前 namespace 中的所有 pod。

下面的例子中是3个 namespace 级别的策略,第一个是 ALLOW ,第二个和第三个是 DENY ,像全局策略一样,后面这两个作用类似,但又有重要的区别,详见授权策略的匹配算法。

                kubectl apply -f - <<EOF
apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: foo-namespace-allo
最低0.47元/天 解锁文章
weixin_38754564
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
y134.第七章 服务网格与治理-Istio从入门到精通 -- 授权策略(二十)
Raymond的博客
09-15 297
Istio授权机制为Istio网格的workload提供了mesh-level、namespace-level和workload-level的访问控制机制,它提供如下特性。
记一次,istio1.4升级到1.7,当开启AuthorizationPolicy时,js访问服务跨域问题。
小洲同学的博客
05-13 401
istio1.4是用的Policy做原始认证和ServiceRole做的rbac,1.4版本也遇到过跨域,当时通过配置VS的corsPolicy得以解决: istio1.7在配置了VS的corsPolicy的情况下,当服务开启AuthorizationPolicy时候,还是会发生跨域问题。翻看了下istio1.7的源码,发现VS的corsPolicy内容增加了allowOrigins为list<map<String,String>>类型。(具体的原理有时间在来补充。。。)
Istio 安全 授权管理AuthorizationPolicy
小楼一夜听春雨,深巷明朝卖杏花
08-01 937
本质其实就是设置谁可以访问,谁不可以访问。默认命名空间是没有AuthorizationPolicy---允许所有的客户端访问。如果对Pod1生成两个策略,一个是allow,一个是deny,两个冲突的时候那么allow就不再生效了,deny是生效的。这里是没有指定应用到谁上面去,有没有指定使用哪些客户端,这样就是拒绝了所有的了。这个和cka考试里面的网络策略是类似的。它是可以实现更加细颗粒度限制的。上面{}代表着所有的客户端。这个代表是允许命名空间ns1客户端可以访问。但是并不想让所有的客户端都可以访问。
authorizationPolicy详解
mark's technic world
05-27 3079
学习目标 什么是AuthorizationPolicy 授权功能是 Istio 安全体系的一个重要组成部分,它用来实现访问控制的功能,即判断一个请求是否允许通过,这个请求可以是从外部进入 Istio 内部的请求,也可以是在 Istio 内部从服务 A 到服务 B 的请求。可以把授权功能近似地认为是一种四层到七层的“防火墙”,它会像传统防火墙一样,对数据流进行分析和匹配,然后执行相应的动作。 流程 Authorization policies support ALLOW, DENY ..
Custom-Istio-Manifest:回购演示使用Istio清单(AuthorizationPolicies,Istio网关,VirtualServices,DestinationRules,PeerAuthentication)保护名称空间和部署的安全
03-27
安全的Istio清单 由Helm管理的Istio清单可为Kubernetes提供名称空间和部署特定的安全性。 它能做什么 部署与服务 部署服务和两个版本的UI(“主”和“测试”)。 在服务/ UI部署之前创建服务,将其端口暴露在Kubernetes集群内部。 虚拟服务和DestinationRules 为主机定义DesinationRules,并使用“版本”标签来应用VirtualService级别的规则。 为每个服务和UI定义VirtualServices(具有针对不同版本定义的流量百分比的UI) mTLS,零信任和例外 在整个名称空间启用mTLS。 通过禁止名称空间内的所有流量来实施​​零信任。 创建基于主体的零信任例外,以允许UI与后端服务之间进行通信。 入口 创建一个Istio Ingress网关,以允许将监视和路由规则应用于进入群集的外部流量。 我在哪里看
k8s环境Istio应用详解
03-21
Istio的ServiceMesh Dashboard提供了一种可视化的方式来观察网格的服务、流量和策略执行情况。 总的来说,Istio在k8s环境的应用为微服务架构带来了强大的流量管理和安全特性,包括灰度发布、服务发现、负载均衡...
锂电池防火策略详解
01-19
锂电池一般分为锂金属电池和锂离子电池。锂离子电池因可充电且能量密度高,其应用越来越广泛。锂离子电池的安全性是抑制锂离子电池及相关行业...  锂电池防火策略简介  锂电池防火需要建立具有战略纵深的多道防
消费电子的锂电池防火策略详解
10-15
锂电池一般分为锂金属电池和锂离子电池。锂离子电池因可充电且能量密度高,其应用越来越广泛。锂离子电池的安全性是抑制锂离子电池及相关行业(如...  锂电池防火策略简介  锂电池防火需要建立具有战略纵深的多
Redis的数据过期策略详解
09-09
主要介绍了Redis的数据过期策略,文通过示例代码介绍的很详细,相信对大家的理解和学习具有一定的参考借鉴价值,有需要的朋友可以参考借鉴,下面来一起看看吧。
SAP 计划策略详解
11-09
详细介绍了SAP计划策略,介绍了需求类的应用,详解了SAP按单和按库生产的计划策略如10,11,70……并展示了一些系统的截图
一文了解Istio外部授权
xcbeyond|疯狂源自梦想,技术成就辉煌
03-23 356
点击上方“程序猿技术大咖”,关注并选择“设为星标”回复“加群”获取入群讨论资格!初识Istio Authorization我们都知道认证(Authentication、Authn)与授权(Authorization、Authz)一同构建了起网络应用安全的基本屏障。通常,授权对认证有一定的依赖。比如我们熟悉的OAuth或者基于JWT Token的授权Istio授权充分利用了Envoy的授权插件,基...
第二十一部分 Istio策略检查
小郑的专栏
05-15 529
简述 如何启用 Istio 策略检查功能。 初始安装 Helm 安装选项,要安装启用策略检查功能的 Istio,请使用 --set global.disablePolicyChecks=false 使用演示配置安装 Istio,默认启用策略检查 已经安装Istio 检查Istio策略检查状态。 kubectl -n istio-system get cm istio -o json...
Istio 安全认证
hanjiangxue1006的博客
03-26 1064
Istio 安全认证架构 关联的组件 Citadel用于密钥和证书管理 Sidecar和周边代理实现客户端和服务器之间的安全通信 Pilot将授权策略和安全命名信息分发给代理 Mixer管理授权和审计 认证 Istio身份标识 不同平台身份标识 Kubernetes: Kubernetes 服务帐户 GKE/GCE: 可以使用 GCP 服务帐户 GCP: GCP 服务帐户...
深入了解Istio的身份验证与授权机制
最新发布
禅与计算机程序设计艺术
12-28 273
1.背景介绍 Istio是一个开源的服务网格,它为微服务架构提供了网络管理、安全性和监控等功能。Istio的身份验证与授权机制是其核心功能之一,它可以确保只有经过身份验证并具有相应权限的服务才能访问其他服务。 在本文,我们将深入了解Istio的身份验证与授权机制,包括其核心概念、算法原理、具体操作步骤以及数学模型公式。此外,我们还将讨论一些实际代码示例和未来发展趋势。 2.核心概念与联系 ...
微服务治理框架(Istio)的认证服务与访问控制
武天旭的博客
04-14 817
在微服务架构下,每个服务是无状态的,由于服务端需要存储客户端的登录状态,因此传统的session认证方式在微服务不再适用。理想的实现方式应为无状态登录,流程通常如下:1、客户端请求某服务,服务端对用户进行登录认证。2、认证通过,服务端将用户登录信息进行加密并形成令牌,最后再返回至客户端作为登录凭证。3、在步骤2之后,客户端每次请求都须携带认证的令牌。4、服务端对令牌进行解密,判断是否有效,若有效则认证通过,否则返回失败信息。
第五部分 Istio认证和授权策略
小郑的专栏
04-29 2403
认证策略 通过上一部分认证架构可以了解到,认证策略是对服务收到的请求生效的。要在双向 TLS 指定客户端认证策略,需要在 DetinationRule 设置 TLSSettings。使用者可以通过yaml文件来编写认证策略,然后使用 istioctl 进行部署。 例如,要求 reviews 服务必须使用双向 TLS: apiVersion: "authentication.istio....
安装AuthorizationPolicy和EnvoyFilter
Rory的博客
04-22 280
报错: failed to call kfp.Client().create_run_from_pipeline_func in in-cluster juypter notebook 解决: apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: bind-ml-pipeline-nb-wangzy-p #修改名称 namespace: kubeflow spec: selector: m
ISTIO文档解读学习(三)
dingyahui的博客
03-04 908
Istio安全 将单一应用程序分解为微服务可提供各种好处,包括更好的灵活性、可伸缩性以及服务复用的能力。但是,微服务也有特殊的安全需求:1)为了抵御间人攻击,需要流量加密。2)为了提供灵活的服务访问控制,需要双向 TLS 和细粒度的访问策略。3)要审核谁在什么时候做了什么,需要审计工具。istio安全整体概述 ...
Ubuntu 9.10 NFS server & client 配置安装
Mdemonhunter
12-10 2272
简单介绍在Ubuntu 9.10 上成功配置NFS 过程。 1    root 下, apt-get install portmap nfs-kernel-server nfs-common        有人说apt-get install  nfs-kernel
Desi GO CC手册-03-LicenseModel-BA-CN(授权模式)
07-10
在DesiGO CC的授权模式,关键知识点包括: 1. **许可模式概述**:DesiGO CC的授权基于三个核心原则,即可伸缩性、灵活性和可扩展性。这意味着用户可以根据实际需求选择不同规模和功能的许可证,以适应系统的增长...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值