k8s istio 外部权限控制(业务系统权限控制)

最新推荐文章于 2024-05-06 12:04:54 发布
最新推荐文章于 2024-05-06 12:04:54 发布
阅读量765 收藏
点赞数
分类专栏: java istio kubernetes 文章标签: kubernetes istio 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44492098/article/details/127269675
版权
java 同时被 3 个专栏收录
2 篇文章 0 订阅
订阅专栏
istio
1 篇文章 0 订阅
订阅专栏
kubernetes
1 篇文章 0 订阅
订阅专栏

k8s istio 外部权限控制(业务系统权限控制)

1. 创建namespace

kubectl create ns auth-system
kubectl label ns auth-system istio-injection=enabled

2. 部署业务系统服务

kubectl apply -f samples/httpbin/httpbin.yaml -n auth-system

httpbin.yaml文件内容:

apiVersion: v1
kind: ServiceAccount
metadata:
  name: httpbin
---
apiVersion: v1
kind: Service
metadata:
  name: httpbin
  labels:
    app: httpbin
    service: httpbin
spec:
  ports:
  - name: http
    port: 8000
    targetPort: 80
    nodePort: 30020
  selector:
    app: httpbin
  type: NodePort
---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: httpbin
spec:
  replicas: 1
  selector:
    matchLabels:
      app: httpbin
      version: v1
  template:
    metadata:
      labels:
        app: httpbin
        version: v1
    spec:
      serviceAccountName: httpbin
      containers:
      - image: 10.7.198.110:5000/library/kennethreitz/httpbin:latest
        imagePullPolicy: IfNotPresent
        name: httpbin
        ports:
        - containerPort: 80

3.部署权限认证服务

kubectl apply -f samples/extauthz/ext-authz.yaml
-n auth-system

ext-authz.yaml文件内容:

apiVersion: v1
kind: Service
metadata:
 name: ext-authz
 labels:
   app: ext-authz
spec:
 ports:
 - name: http
   port: 8000
   targetPort: 8000
 - name: grpc
   port: 9000
   targetPort: 9000
 selector:
   app: ext-authz
---
apiVersion: apps/v1
kind: Deployment
metadata:
 name: ext-authz
spec:
 replicas: 1
 selector:
   matchLabels:
     app: ext-authz
 template:
   metadata:
     labels:
       app: ext-authz
   spec:
     containers:
     - image: 10.7.198.110:5000/library/gcr.io/istio-testing/ext-authz:latest
       imagePullPolicy: IfNotPresent
       name: ext-authz
       ports:
       - containerPort: 8000
       - containerPort: 9000

4.权限控制

访问业务系统httpbin服务先经过ext-authz服务对权限进行验证

4.1使用以下命令对Config Maps 进行配置

kubectl edit configmap istio -n istio-system

 extensionProviders:
    - name: "sample-ext-authz-grpc"
      envoyExtAuthzGrpc:
        service: "ext-authz.auth-system.svc.cluster.local"
        port: "9000"
    - name: "sample-ext-authz-http"
      envoyExtAuthzHttp:
        service: "ext-authz.auth-system.svc.cluster.local"
        port: "8000"
        #includeRequestHeadersInCheck: ["x-ext-authz"]

在这里插入图片描述

4.2 执行以下命令重启istio以使更改配置生效

kubectl apply -n auth-system -f sample-ext-authz-grpc.yaml

4.3 执行以下yaml,ext-authz对headers开头的链接进行权限校验

sample-ext-authz-grpc.yaml内容:

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: ext-authz
spec:
  selector:
    matchLabels:
      app: httpbin
  action: CUSTOM
  provider:
    # The provider name must match the extension provider defined in the mesh config.
    # You can also replace this with sample-ext-authz-http to test the other external authorizer definition.
    name: sample-ext-authz-grpc
  rules:
  # The rules specify when to trigger the external authorizer.
  - to:
    - operation:
        paths: ["/headers"]

5.测试

1.未通过权限校验测试
在这里插入图片描述
2.通过权限测试
在这里插入图片描述

6. ext-authz权限系统代码参考

git@github.com:jpmoc/istio-ext-authz.git

因为梦,爱飞翔
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
k8s学习资料.zip
02-07
Kubernetes(简称k8s)是Google开源的容器集群管理系统,它能够自动化容器的部署、扩展以及管理,使得在大规模分布式环境中运行容器化应用变得更加容易。本资料包包含了丰富的k8s学习资源,帮助你深入理解和掌握这个...
istio_federation_demo:K8S上两个Istio群集之间的跨区域路由
04-25
这两个Istio群集可能在相同或不同的区域中,也可能在内部/外部部署,甚至可能使用不同的平台(例如,K8S和CF)。 运营商通过Ingress网关在通用DNS后缀(例如* .global)下显式公开群集中的一项或多项服务。 可以...
深入了解Istio的身份验证与授权机制
禅与计算机程序设计艺术
12-28 278
1.背景介绍 Istio是一个开源的服务网格,它为微服务架构提供了网络管理、安全性和监控等功能。Istio的身份验证与授权机制是其核心功能之一,它可以确保只有经过身份验证并具有相应权限的服务才能访问其他服务。 在本文中,我们将深入了解Istio的身份验证与授权机制,包括其核心概念、算法原理、具体操作步骤以及数学模型公式。此外,我们还将讨论一些实际代码示例和未来发展趋势。 2.核心概念与联系 ...
istio使用lua脚本实现外部授权
mywebuser的专栏
03-15 530
本文是最近一个项目的实际使用例子,研究了istio两周后开发的功能,解决了在使用istio中需要拦截http请求,穿插业务处理的情景
2024年最新k8s安全控制、授权管理介绍(3),oppo网络安全面试
最新发布
2401_84252281的博客
05-06 917
当需要更新权限规则时,只需修改预定义的 ClusterRole,所有引用该 ClusterRole 的 RoleBinding 将自动应用新的权限规则,避免了在每个命名空间中手动更新权限规则的繁琐过程。使用相同的 ClusterRole 在不同的命名空间中授权,可以确保各个命名空间下的基础授权规则保持一致,简化了权限管理并提供一致的用户体验。角色,可以为角色指定一组权限,指定什么权限该角色就拥有什么权限,一个角色一组权限。(1)Role,是对指定的命名空间的资源进行权限配置,是需要指定名称空间的。
Istio 实现 ext-authz 外部扩展鉴权以及对接基于 k8s 的微服务
JohnYang's CSDN Home
06-01 710
可以实现基于redis的token鉴权以及实现rbac鉴权。转载请注明来源:https://janrs.com/vrsrIstio外部鉴权本质是基于Envoy实现的,直接看EnvoyIsio官方的Demo。
k8sIstio实现virtualservice基于权重分配流量(1)
jiayu的博客
04-19 1752
Istio-virtualservice之基于权重分配流量小案例
istio学习(二) 使用JWT进行权限验证
文若书生的专栏
01-26 2146
文章目录前言1、生成JWK2、测试密钥可用性3、创建RequestAuthentication4、访问测试5、创建AuthorizationPolicy6、JAVA生成密钥 前言 参考:https://www.cnblogs.com/kirito-c/p/12464531.html 提示:以下是本篇文章正文内容,下面案例可供参考 1、生成JWK 在linux使用OPENSSL生成公钥和私钥 # 1. 生成 2048 位(不是 256 位)的 RSA 密钥 openssl genrsa -out rsa
微服务治理框架(Istio)的认证服务与访问控制
武天旭的博客
04-14 823
在微服务架构下,每个服务是无状态的,由于服务端需要存储客户端的登录状态,因此传统的session认证方式在微服务中不再适用。理想的实现方式应为无状态登录,流程通常如下:1、客户端请求某服务,服务端对用户进行登录认证。2、认证通过,服务端将用户登录信息进行加密并形成令牌,最后再返回至客户端作为登录凭证。3、在步骤2之后,客户端每次请求都须携带认证的令牌。4、服务端对令牌进行解密,判断是否有效,若有效则认证通过,否则返回失败信息。
面试题目_k8s_
10-01
Kubernetes(简称k8s)是目前最流行的容器编排系统,用于自动化容器化的应用程序部署、扩展和管理。在面试中,对于k8s的理解和掌握程度往往成为衡量候选人技术实力的重要标准。以下是一些关于k8s的核心知识点,以及...
【2021年12月升级版】Kubernetes全栈架构师:基于世界500强的k8s实战课程.rar
01-05
Kubernetes全栈架构师:基于世界500强的k8s实战课程》是针对2021年12月最新更新的V1.22版本设计的高级培训课程,旨在帮助学员深入理解并掌握Kubernetesk8s)这一核心容器编排系统。课程内容涵盖Kubernetes的基础...
k8s2.zip1.20安装包
05-24
- **RBAC (Role-Based Access Control)**:控制用户对k8s资源的访问权限。 - **TLS和ServiceAccount**:用于节点间和客户端的身份验证和授权。 5. **监控与日志**: - **kubelet**:每个节点上的代理,负责Pod的...
idou老师教你学istio :基于角色的访问控制
weixin_30945039的博客
12-05 129
istio的授权功能,也称为基于角色的访问控制(RBAC),它为istio服务网格中的服务提供命名空间级别、服务级别和方法级别的访问控制。基于角色的访问控制具有简单易用、灵活和高性能等特性。本文介绍如何在服务网格中为服务进行授权控制。 ·前置条件· •安装istiok8s集群,启用认证功能、双向TLS认证 •部署bookinfo示例应用 下面基于bookinfo应用实例具...
一文了解Istio外部授权
xcbeyond|疯狂源自梦想,技术成就辉煌
03-23 358
点击上方“程序猿技术大咖”,关注并选择“设为星标”回复“加群”获取入群讨论资格!初识Istio Authorization我们都知道认证(Authentication、Authn)与授权(Authorization、Authz)一同构建了起网络应用安全的基本屏障。通常,授权对认证有一定的依赖。比如我们熟悉的OAuth或者基于JWT Token的授权。Istio授权充分利用了Envoy的授权插件,基...
安全保障基于软件全生命周期-Istio的授权机制
qiaotl的博客
07-27 262
通过实际例子演示如何通过配置AuthorizationPolicy控制应用间访问权限
k8s设置标签禁止istio边车sidebar注入
学亮编程手记
06-09 814
设置标签 kubectl label namespace default istio-injection=disabled kubectl label namespace zxl istio-injection=disabled kubectl label namespace zxl-lib istio-injection=disabled kubectl label namespace zxl-ync-branch istio-injection=disabled kubectl label namesp
07-【istio】-【istio的部署】istiok8s中的部署、移除、部署应用案例
qq_42303254的博客
02-10 3464
这里以istio 1.6.0为例 可参考文章(弱弱参考!):在docker desktop的k8s中部署Istio-demo - 简书 一、istio下载 1、在网址中下载,或者,使用如下命令进行下载。 下载网址:https://github.com/istio/istio/releases 使用命令下载: curl -L https://istio.io/downloadIstio | ISTIO_VERSION=1.6.0 sh - #这里ISTIO_VERSIO...
【云原生】整合K8s + SpringCloudK8s + gRpc + RocketMQ + Istio + Envoy
蓝天之枫
03-05 2548
K8s + SpringCloudK8s + gRpc + RocketMQ + Istio + Envoy
k8s结合Serverless、Istio实现核心云原生架构
weixin_38320674的博客
12-11 720
有多少人对云原生的了解,仅仅停留在K8s上?诚然,开源战略的影响加上巨头们的推波助澜,K8s已变成行业的既定事实标准,且被颠覆的可能性已经微乎其微。不过在广袤的云原生世界中,K8s也仅仅是...
k8s部署istio
01-24
以下是在k8s集群环境下部署istio的步骤: 1. 下载istio的部署包: ```shell wget https://github.com/istio/istio/releases/download/1.6.7/istio-1.6.7-linux-amd64.tar.gz ``` 2. 解压部署包: ```shell tar -zxvf istio-1.6.7-linux-amd64.tar.gz ``` 3. 进入解压后的istio目录: ```shell cd istio-1.6.7 ``` 4. 将istioctl添加到系统路径中: ```shell export PATH=$PWD/bin:$PATH ``` 5. 安装istiok8s集群中: ```shell istioctl install --set profile=demo ``` 6. 等待istio组件部署完成,可以使用以下命令检查状态: ```shell kubectl get pods -n istio-system ``` 7. 部署istio的示例应用程序: ```shell kubectl apply -f samples/bookinfo/platform/kube/bookinfo.yaml ``` 8. 等待应用程序部署完成,可以使用以下命令检查状态: ```shell kubectl get pods -n default ``` 9. 部署istio的网关: ```shell kubectl apply -f samples/bookinfo/networking/bookinfo-gateway.yaml ``` 10. 等待网关部署完成,可以使用以下命令检查状态: ```shell kubectl get gateway -n istio-system ``` 11. 配置istio的入口流量: ```shell kubectl apply -f samples/bookinfo/networking/destination-rule-all.yaml ``` 12. 等待配置生效,可以使用以下命令检查状态: ```shell kubectl get destinationrules -n istio-system ``` 以上是在k8s集群环境下部署istio的步骤。请注意,这只是一个简单的示例,实际部署可能需要根据具体情况进行调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值