OpenShift 4 之Istio-Tutorial (10) 访问白名单、黑名单

已于 2023-04-14 14:43:59 修改
阅读量859 收藏
点赞数
分类专栏: OpenShift 4 ServiceMesh 微服务 文章标签: openshift istio servicemesh microservice
于 2020-01-19 22:00:59 首次发布
原文链接:https://developers.redhat.com/courses/service-mesh
版权
OpenShift 4 同时被 3 个专栏收录
271 篇文章 78 订阅
订阅专栏
微服务
34 篇文章 1 订阅
订阅专栏
ServiceMesh
21 篇文章 3 订阅
订阅专栏

OpenShift 4.x HOL教程汇总
说明:本文已经在OpenShift 4.6环境中验证

注意:下文的早期 OpenShift Service Mesh 支持的 白名单、黑名单 功能已有变化,不再适合较新版本的 OpenShift Service Mesh。

环境准备:我们在开始之前先确保环境和完成《OpenShift 4 之Istio-Tutorial (2) 部署三个微服务》一样,只部署了3个微服务和VirtualService、Gateway,没有DestinationRule。

白名单

只允许三个服务按照customer->preference->recommendation的方式访问,即customer在能访问preference的白名单中,而preference在能访问recommendation的白名单中。

  1. 查看istiofiles/acl-whitelist.yml文件。
apiVersion: "config.istio.io/v1alpha2"
kind: handler
metadata:
  name: preferencewhitelist
spec:
  compiledAdapter: listchecker
  params:
    overrides: ["preference"]
    blacklist: false
---
apiVersion: "config.istio.io/v1alpha2"
kind: rule
metadata:
  name: checkfrompreference
spec:
  match: destination.labels["app"] == "recommendation"
  actions:
  - handler: preferencewhitelist
    instances:
    - appsource
---
apiVersion: "config.istio.io/v1alpha2"
kind: handler
metadata:
  name: customerwhitelist
spec:
  compiledAdapter: listchecker
  params:
    overrides: ["customer"]
    blacklist: false
---
apiVersion: "config.istio.io/v1alpha2"
kind: rule
metadata:
  name: checkfromcustomer
spec:
  match: destination.labels["app"] == "preference"
  actions:
  - handler: customerwhitelist
    instances:
    - appsource
---
apiVersion: "config.istio.io/v1alpha2"
kind: instance
metadata:
  name: appsource
spec:
  compiledTemplate: listentry
  params:
    value: source.labels["app"]
  1. 根据istiofiles/acl-whitelist.yml文件创建对象。
$ oc create -f istiofiles/acl-whitelist.yml -n ${ISTIO_APP}
handler.config.istio.io/preferencewhitelist created
rule.config.istio.io/checkfrompreference created
handler.config.istio.io/customerwhitelist created
rule.config.istio.io/checkfromcustomer created
instance.config.istio.io/appsource created
  1. 进入运行customer微服务的Pod的容器,然后使用curl命令分别访问preference和recommendation。可以看到无法从customer容器中访问到recommendation服务,但是可以访问preference服务。
$ oc exec -it $(oc get pods -n ${ISTIO_APP} | grep customer| awk '{ print $1 }' | head -1) -c customer /bin/bash
bash-4.4$ curl preference:8080
preference => recommendation v1 from '67976848-4l4s7': 8366
	bash-4.4$ curl recommendation:8080
PERMISSION_DENIED:preferencewhitelist.user1-tutorial:customer is not whitelistedbash-4.4$ exit
exit
  1. 删除白名单
$ oc delete -f istiofiles/acl-whitelist.yml -n ${ISTIO_APP}

黑名单

不允许从customer到preference的访问,即customer在能访问preference的黑名单中。

  1. 查看istiofiles/acl-blacklist.yml文件。
apiVersion: "config.istio.io/v1alpha2"
kind: handler
metadata:
  name: denycustomerhandler
spec:
  compiledAdapter: denier
  params:
    status:
      code: 7
      message: Not allowed
---
apiVersion: "config.istio.io/v1alpha2"
kind: instance
metadata:
  name: denycustomerrequests
spec:
  compiledTemplate: checknothing
---
apiVersion: "config.istio.io/v1alpha2"
kind: rule
metadata:
  name: denycustomer
spec:
  match: destination.labels["app"] == "preference" && source.labels["app"]=="customer"
  actions:
  - handler: denycustomerhandler
    instances: [ denycustomerrequests ]
  1. 执行命令创建从customer到preference的黑名单。
$ oc create -f istiofiles/acl-blacklist.yml -n ${ISTIO_APP}
  1. 执行命令进入运行customer服务的容器,然后访问preference服务。可以看到提示PERMISSION_DENIED的错误,说明黑名单生效。
$ oc exec -it $(oc get pods -n ${ISTIO_APP} | grep customer | awk '{ print $1 }' | head -1) -c customer /bin/bash
bash-4.4$ curl preference:8080
PERMISSION_DENIED:denycustomerhandler.user1-tutorial:Not allowed
bash-4.4$ exit
  1. 执行命令进入运行recommendation服务的容器,然后访问preference服务。可以看到访问成功,这是由于在preference和recommendation之间没有黑名单。
$ oc exec -it $(oc get pods -n ${ISTIO_APP} |grep recommendation | awk '{ print $1 }' | head -1) -c recommendation /bin/bash
bash-4.2$ curl preference:8080
preference => recommendation v1 from '67976848-4l4s7': 8384
bash-4.4$ exit
  1. 删除黑名单恢复环境
$ oc delete -f istiofiles/acl-blacklist.yml -n ${ISTIO_APP}
dawnsky.liu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
基于Kubernates的istio白名单配置
h_tinkinginjava的博客
10-28 1057
在Kubernates中,引入了istio管理流量,这时所有的入口流量均通过istio中的ingressgateway转发至目标服务,若是想要配置白名单,限制访问流量,那么需要创建一个istio的AuthorizationPolicy资源,该资源通过label绑定ingressgateway的pod。事例如下: kubectl apply -f - <<EOF apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy me
Nginx、Ingress-Nginx、istio白名单设置
m0_37642477的博客
04-03 1445
nginx黑白名单
istio使用教程和示例(导流,请求路由,访问拒绝,黑白名单,限速)
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
11-28 1万+
我们先下载下来istio的压缩包,其中samples目录中包含使用示例,我们使用其中的Bookinfo应用 使用下面命令可以创建Bookinfo应用的组件 kubectl create ns istio-demo kubectl create -f &amp;amp;amp;amp;amp;amp;lt;(istioctl kube-inject -f samples/bookinfo/platform/kube/bookinfo.yaml)...
用户禁锢、黑白名单——————4
Z_xiao_feng的博客
05-23 477
用户禁锢、黑白名单 沿用练习一,通过调整FTP服务端配置,实现以下目标: 1)将FTP用户禁锢在各自的宿主目录下,阻止其切换到其他的文件夹 2)通过/etc/vsftpd/ftpusers黑名单阻止用户 mike 访问 3)将/etc/vsftpd/user_list文件设为白名单,允许用户 lisi、mike 访问 4)分别测试匿名访问、以用户lisi和mike访问的结果 5)将 ftp 加入白...
istio的流量治理(负载均衡 熔断 故障注入 灰度)与各种配置实例 与VIrtualService(路由规则配置)
进化的深山猿
04-22 2609
服务治理要解决的问题: 1) 服务的负载均衡 2)同一个服务有两个版本在线,将一部分流量切到某个版本上 3)服务保护,如限制并发连接数、请求数、隔离有故障的服务实例等 4)动态修改服务中的内容 istio流量治理目标:提供非侵入的流量治理,用户仅仅关注自己的业务逻辑,无须关注服务访问管理。 流量治理的流程: 控制面: 1)管理面创建流量规则 2)pilot将流量规则转换为envoy的标准格式 3)pilot将规则下发给envoy 数据面: 1)envoy拦截Pod上本地容器的Inbound和outbo
istio-tutorial:https:dn.devmaster的Istio教程
02-03
istio-tutorial:https:dn.devmaster的Istio教程
openshift4-vmware-upi:支持在VMware上自动安装OpenShift 4的Ansible手册和文档
01-31
之所以需要进行此更改,是因为OpenShift 4.6现在使用点火规范v3(OpenShift的早期版本使用v2)。 有关更改的更多详细信息,请参见。 背景 这是在RHV上自动化OpenShift 4部署的的延续。 目标是自动化辅助节点(用于...
ansible-minishift-istio-security:ansible-minishift-istio-security
05-08
使用OpenShift,Weave Scope和Istio探索服务网格 基本上,我们将通过探索本地的Kubernetes,API,注入Sidecar和玩Istio示例来学习和理解什么是Service Mesh。 换句话说,我们将尝试解决以下问题: 服务网格是一种...
openshift4-rhv-upi:支持使用Baremetal UPI在RHV上自动安装OpenShift 4的Ansible手册和文档
02-02
使用Baremetal UPI在RHV上配置OpenShift 4.4 该存储库包含一组手册,以帮助促进OpenShift 4.4在RHV上的部署。 背景 该存储库中的剧本/脚本应该可以帮助您自动化RHV上的绝大多数OpenShift 4.4 UPI部署。 请务必阅读...
openshift-hpa-普罗米修斯-适配器-度量标准-servicemesh-istio
02-18
使用Service MeshIstio)Prometheus中的自定义指标的OpenShift HPA 在OpenShift 4.4和ServiceMesh Operator 2.0.0上进行了测试注意:istio遥测在2.0.0版中进行了更改。 如果使用Service Mesh 1.x,请参考该项目的...
istio envoy 黑名单配置
07-24 928
static_resources: listeners: - name: "ingress listener" address: socket_address: address: 0.0.0.0 port_value: 9001 filter_chains: ...
istio学习(1)
passnetY的博客
08-17 190
istio
istio服务安全
wenwenxiong的专栏
04-26 1446
istio RBAC(基于角色访问控制) istio RBAC支持namespace-level,service-level,method-level的服务访问控制。 Role-Base语义,支持服务到服务,用户到服务的认证 可以灵活的定义roles和role-bindings的properties mixter的认证相关instance为authorization apiVersi...
Istio 流量管理
weixin_34290390的博客
07-02 325
2019独角兽企业重金招聘Python工程师标准>>> ...
istio功能介绍(一.Istio基本功能)
sgs的博客
12-15 1666
文章目录 基本原理 istio与服务治理 关于微服务 服务治理的三种形态 第1种:在应用程序中包含治理逻辑 第2种:治理逻辑独立的代码 第3种:治理逻辑独立的进程 Istio与kubernetes Istio的工作机制 Istio的重要组件 Istio-pilot istio-Mixer istio-citadel
Istio 基本概念以及流量控制步骤
一支烟一朵花
10-19 1247
Istio 基本概念 IstioService Mesh模式的一个具体框架,底层基于Envoy。具体包含以下组件: Pilot 负责收集服务发现相关的信息并传递给Envoy Mixer Policy 负责向Envoy提供准入策略,黑白名单,QPS流速控制 Telemetry 负责向Envoy提供数据上报和日志搜集服务 Citadel 为具体的服务和用户提供认证、授权、RB...
万字解读:Service Mesh服务网格新生代--Istio
weixin_33989780的博客
09-22 1137
Service Mesh新秀,初出茅庐便声势浩荡,前有Google,IBM和Lyft倾情奉献,后有业界大佬俯首膜拜,这就是今天将要介绍的主角,扛起Service Mesh大旗,掀起新一轮微服务开发浪潮的Istio! 讲师简介: 敖小剑,十五年软件开发经验,微服务专家,专注于基础架构,cloud native拥护者,敏捷实践者。曾在亚信,爱...
Istio是个啥?看完此文彻底搞懂(赠书)
民工哥的博客
04-26 1404
「点击图片获取最近两年爆款好文」1、什么是Istio当前我们已经完成从单体的应用程序向微服务架构的转型,未来还可能会面临更多的分布式场景需求。以往只需要运行好一个单体的应用,现在却面...
Istio 原理解析
热门推荐
ythunder的博客
04-07 1万+
Istio定义 一个用来连接、管理和保护微服务的开放平台。 Istio提供一种简单的方式来建立已部署服务网络,具备负载均衡、服务间认证、监控等功能,而不需要改动任何服务代码。 想要为服务增加对Istio的支持,您只需要在环境中部署一个sidecar,使用Istio控制面板功能配置和管理代理,拦截微服务之间的所有网络通信。 为什么需要Istio 随着微服务出现,微服务的连接、管理和监控...
openshift internal-registry 切换 sc
最新发布
05-25
oc get cm image-registry-config -n openshift-image-registry -ojsonpath='{.data.storage}' ``` 2. 在输出中找到当前使用的 StorageClass 的名称,例如 `default`. 3. 创建一个新的 StorageClass,例如 `new-sc...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值