使用service account和TLS产生的流量按工作负载实施策略

最新推荐文章于 2024-07-27 14:51:42 发布
最新推荐文章于 2024-07-27 14:51:42 发布
阅读量108 收藏
点赞数
分类专栏: istio 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41709748/article/details/127307674
版权

策略使用sni和资源的配置进行匹配,以便能够依赖于sidecar和egress之间的istio的mTLS

apiVersion: networking.istio.io/v1alpha3
kind: ServiceEntry
metadata:
  name: google
spec:
  hosts:
  - developers.google.com
  location: MESH_EXTERNAL
  ports:
  - number: 443
    name: google-tls
    protocol: TLS
  resolution: DNS
---
apiVersion: networking.istio.io/v1alpha3
kind: Gateway
metadata:
  name: istio-google-egressgateway
spec:
  selector:
    istio: egressgateway # use Istio default gateway implementation
  servers:
  - port:
      number: 443
      name: https-port-for-tls-origination-google
      protocol: TLS
    hosts:
    - developers.google.com
    tls:
      mode: ISTIO_MUTUAL
---
# Routes internal outbound traffic to the egress gateway using Istio's mTLS
apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
  name: egressgateway-for-google
spec:
  host: istio-egressgateway.istio-system.svc.cluster.local
  subsets:
  - name: google
    trafficPolicy:
      portLevelSettings:
      - port:
          number: 443
        tls:
          mode: ISTIO_MUTUAL
          sni: developers.google.com
---
apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: direct-google-through-egress-gateway
spec:
  hosts:
  - developers.google.com
  gateways:
  - istio-google-egressgateway
  - mesh
  # route HTTP traffic to developers.google.com through the egress gateway for the entire mesh
  tls:
  - match:
    - gateways:
      - mesh # apply to sidecars in the mesh
      port: 443
      sniHosts:
      - developers.google.com
    route:
    - destination:
        host: istio-egressgateway.istio-system.svc.cluster.local
        subset: google
        port:
          number: 443 
      weight: 100
  # at the egress gateway, route developers.google.com to the real destination outside the mesh
  tcp:
  - match:
    - gateways:
      - istio-google-egressgateway
      port: 443
    route:
    - destination:
        host: developers.google.com
        port:
          number: 443
      weight: 100
---

For the sleep-google svc SA principal on the otherns ns to block outbound traffic to yahoo matching the sni host

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: external-deny-developer-yahoo-com
  # No ns means that applies to all ns in a mesh
spec:
  # allow-list for the identities that can call the host
  action: DENY
  rules:
  - from:
    - source:
        principals: ["cluster.local/ns/otherns/sa/sleep-google"]
    when:
    - key: connection.sni
      values: 
      - developer.yahoo.com
归来少年Plus
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
k8s之ServiceAccount
weixin_37337210的博客
01-17 1万+
导读 上一篇说了k8s的RBAC授权模式,今天就来简单看一下其中涉及到的ServiceAccount。 简介 k8s创建两套独立的账号系统,原因如下: (1)User账号给用户用,Service Account是给Pod里的进程使用的,面向的对象不同 (2)User账号是全局性的,Service Account则属于某个具体的Namespace (3)User账号是与后端的用户数据库同步的,创建一个新用户通常要走一套复杂的业务流程才能实现,Service Account的创建则需要极轻量级的实现
kubernetes-traefik:使用Traefik作为网络入口和LoadBalancer的开源kubernetes部署
02-26
Traefik是一个流行的开源负载均衡器和反向代理,它被广泛用于Kubernetes集群中,作为Ingress Controller来管理外部流量进入服务的方式。在本文中,我们将深入探讨如何在Kubernetes环境中配置和使用Traefik。 一、...
Ingress:比Service更强大的服务暴露与负载均衡
Sebastien23的博客
08-08 2391
根据OSI七层模型:负载均衡可以分为4层LB和7层LB两种类型:使用Service NodePort对外暴露服务存在的不足:Ingress是k8s中的一个抽象资源,提供了一个暴露应用的入口定义方法。Ingress控制器会提供一个统一的访问入口,通常是80端口(HTTP)或者443端口(HTTPS)。Ingress Controller负责路由流量,根据Ingress生成具体的路由规则,并对Pod负载均衡。Ingress控制器管理的负载均衡器,为集群提供全局的负载均衡能力。查看k8s版本: 下载对应版本兼容的
k8s之源之secret和serviceaccount
mark's technic world
01-01 367
发布一个k8s部署视频:https://edu.csdn.net/course/detail/26967 课程内容:各种k8s部署方式。包括minikube部署,kubeadm部署,kubeasz部署,rancher部署,k3s部署。包括开发测试环境部署k8s,和生产环境部署k8s。 第二个视频发布https://edu.csdn.net/course/detail/27109 介绍主要...
八、Kubernetes 网络负载均衡
小薛博客助力人人成为架构师
07-11 2724
Kubernetes 网络解决四方面的问题:[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-vG284U51-1657518994168)(images/Kubernetes/1620208232664.png)]门面。所有的零散层上再抽取一个聚合层。[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-LEnpUE8y-1657518994169)(images/Kubernetes/1620106769755.png)][外链图片转存失败,源站可能有
ingress-nginx-controller(含镜像和代码).rar
10-28
1. 创建一个 ServiceAccount,为控制器提供必要的权限。 2. 部署 RBAC 规则,允许控制器操作 Kubernetes API 资源。 3. 部署 ingress-nginx-controller Deployment,这将启动一个或多个 Nginx 实例。 4. 可选:创建...
k8s部署Ingress Traefik
11-11
Traefik 需要一定的权限,所以我们需要提前创建好 Traefik ServiceAccount 并分配一定的权限。 知识点5:Traefik deployment 在创建好 CRD 资源和 RBAC 权限后,我们可以部署 Traefik 服务。创建一个名为 traefik....
K8S 部署资源文件,包含kube-flannel+kubernetes-dashboard+ingress
06-26
为了安全访问Dashboard,通常会使用ServiceAccount和RoleBinding来限制权限,并可能通过设置TLS证书进行加密通信。 **kubernetes-dashboard-ingress.yml** `kubernetes-dashboard-ingress.yml`文件用于配置Ingress...
Linux网络工具“瑞士军刀“集合
分享不一样的技术,与你一起共同成长!
07-26 244
下面结合之前的一些使用经验为大家介绍一下一些经典应用场景下,这个网络命令工具如何使用的。例如怎么查看当前服务器监听哪些端口、连接目标主机端口情况如何?平常我们在进行Linux服务器相关运维的时候,总会遇到一些网络相关的问题。我们可以借助这些小巧、功能强悍的工具帮助我们排查问题、解决问题...
S5730举例
最新发布
jjjxxxhhh123的博客
07-27 617
例子: 假设在校园网络中,某些交换机之间存在多个连接(可能是多个光纤),如果没有STP,这些多个连接可能导致数据包在网络中无限制地传输,形成网络风暴,导致整个网络瘫痪。PIM-SM通过仅在需要时在网络中传输组播数据包,减少网络带宽的占用,提高数据传输效率。[sysname-GigabitEthernet0/0/1] ospf cost 10 // 设置接口的OSPF成本,影响路径选择。综上所述,这些网络技术和配置在大学校园网络中起到关键作用,确保网络运行高效、安全和可靠,同时满足用户的多样化需求。
网络编程套接字socket
安权_code的博客
07-23 952
网络编程中的套接字(socket)是实现网络通信的关键,换句话来说,套接字像两个端点,而发送方与接收方就是通过这两个端点进行通信的,socket的意思是插座,表示插头和插座连接上后,即发送方和接收方连接上了,然后把电流通过插座流向插头对标发送方与接收方建立了链接。
H3C与VPN高级应用(七)深入探讨H3C防火墙与VPN高级应用
洛秋的博客
07-23 1110
IPSec(Internet Protocol Security)是一种用于保护IP通信的协议,通过对数据包进行加密和认证来确保数据的机密性、完整性和真实性。IPSec VPN通常用于建立安全的远程连接,保护企业内部网络与远程办公或分支机构之间的数据通信。NAT(Network Address Translation)是一种将私有IP地址转换为公共IP地址的技术,通常用于多个设备共享一个公共IP地址访问互联网。NAT有助于节约公共IP地址,同时增强内部网络的安全性。
DDoS 究竟在攻击什么?
XRY_XIAO的博客
07-24 2145
DDoS 究竟在攻击什么?
大学计算机专业主要课程及概要介绍
07-26 1278
计算机专业还包含丰富的实践教学环节,如工程训练、计算机应用基础训练、认识实习、生产实习、毕业实习、教学实验、社会实践、课程设计和毕业设计等。这些环节旨在通过实际操作和项目经验,提升学生的动手能力和解决实际问题的能力。综上所述,大学计算机专业课程设置全面且深入,旨在培养学生在计算机科学与技术领域的综合能力和创新精神。通过系统的学习和实践,学生将能够掌握计算机科学的基本理论和技术,为未来的职业发展打下坚实的基础。大学计算机专业是一门涵盖广泛领域的学科,旨在培养学生在计算机科学与技术方面的理论知识与实践能力。
“微软蓝屏”事件暴露了网络安全哪些问题
骑上单车去旅行的博客
07-24 815
通过不同领域的技术融合,原有行业的传统模式和业务模型得到改变,进而引发行业的升级和转型。例如,互联网技术的发展和应用,对传统行业如零售、金融等产生了巨大的冲击,推动了行业的数字化、智能化和创新转型。总之,跨领域连锁反应对行业的影响是多方面的,它能够促进行业之间的合作与融合,推动行业的升级和转型,促进行业的跨界创新,提升行业的全球竞争力。通过及时的监控和反馈,可以快速发现并解决潜在的问题,提高软件的质量和稳定性。通过与其他领域的跨界合作和创新,行业能够更好地补充和整合资源,提升自身的创新能力和竞争力。
【计算机网络】TCP三次握手和四次挥手
weixin_61144851的博客
07-24 865
在不可靠的网络中,可能会出现包传输延迟变化大,存在重传的报文段、存在保温重排序等现象,三次握手可以防止因为已经失效的请求报文突然又传到服务器引起错误。三次握手的目的是建立可靠的通信信道,说到通讯,简单来说就是数据的发送与接收,而三次握手最主要的目的就是双方确认自己与对方的发送与接收是正常的第一次握手:客户端什么都不能确认;服务端确认了对方发送正常,自己接收正常第二次握手:客户端确认了:自己发送、接收正常,对方发送、接收正常;服务端确认了:对方发送正常,自己接收正常。
NCRE3 2-1 网络总体设计基本方法
qq_45418837的博客
07-23 348
NCRE3 2-1 网络总体设计基本方法
理解与实施:坚如磐石的SSL和TLS安全技术
8. **移动设备和IoT安全**:针对智能手机、平板电脑和其他物联网设备的SSL/TLS实施特别关注。 9. **监控和日志记录**:建议如何跟踪和审计SSL/TLS连接,以便检测异常行为。 10. **法律和合规性**:可能涉及不同...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值