idou老师教你学Istio 17 : 通过HTTPS进行双向TLS传输

最新推荐文章于 2023-07-27 21:07:48 发布
最新推荐文章于 2023-07-27 21:07:48 发布
阅读量398 收藏
点赞数
文章标签: istio
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44524077/article/details/87276503
版权
本文介绍了如何在Istio环境中实现HTTPS服务的双向TLS传输,通过实例展示了在不同配置下(无sidecar、关闭双向TLS、启用双向TLS)与HTTPS服务的交互。在启用双向TLS后,Istio sidecar会将7层流量降至4层进行加密,确保数据传输的安全性。
摘要由CSDN通过智能技术生成

众所周知,HTTPS是用来解决 HTTP 明文协议的缺陷,在 HTTP 的基础上加入 SSL/TLS 协议,依靠 SSL 证书来验证服务器的身份,为客户端和服务器端之间建立“SSL”通道,确保数据运输安全。而Istio的双向TLS也用来保证数据传输安全。那么,Istio的双向TLS是如何与HTTPS服务一起工作的呢?

下面通过实例演示Istio的双向TLS是如何与HTTPS服务一起工作的,包括三个部分:

• 在没有 Istio sidecar 的情况下部署 HTTPS 服务

• 关闭 Istio 双向 TLS 认证情况下部署 HTTPS 服务

• 部署一个启动双向 TLS 的 HTTPS 服务。对于每个部署,请求连接到此服务并验证其是否有效。

环境准备

• 未启用双向TLS的安装了Istio的k8s集群

• 安装openssl,生成证书和configmap

通过openssl生成key和证书:

0214_1.jpg

从给定的公私钥对创建TLS secret:

0214_2.jpg

使用kubectl创建Configmap:

0214_3.jpg

1.没有部署sidecar

最低0.47元/天 解锁文章
hw_cce
关注
idou老师Istio 24:如何在Istio使用Prometheus进行监控
weixin_44524077的博客
02-20 1098
使用Prometheus进行监控是Istio提供的监控能力之一。Istio提供丰富的监控能力,为网格中的服务收集遥测数据。Mixer是负责提供策略控制和遥测收集的Istio组件。 Istio通过Mixer实现流量监控的基本流程如下图:每个pod内有一个service和proxy,Envoy容器实现proxy功能,对流入和流出pod的流量进行管理、认证和控制。Mixer则主要负责访问控制和遥测信息收...
利用tomcat服务器配置https双向认证、https单向认证-ssl、tls
08-11
NULL 博文链接:https://zhaoshijie.iteye.com/blog/2215393
idou老师Istio 15:Istio实现双向TLS的迁移
weixin_30407613的博客
01-31 119
Istio中,双向TLS传输身份验证的完整堆栈解决方案,它为每个服务提供可跨集群的强大身份、保护服务到服务通信和最终用户到服务通信,以及提供密钥管理系统。本文阐述如何在不中断通信的情况下,把现存Istio服务的流量从明文升级为双向TLS。 使用场景 在部署了Istio的集群中,使用人员刚开始可能更关注功能性,服务之间的通信配置的都是明文传输,当功能逐渐完善,开始关注安全性,...
istio 0.8 TLS 简单测试
weixin_34217773的博客
07-19 168
0.8版本采用了新的流量管理配置模型v1alpha3 Route API。新版本的模型添加了一些新的特性,并改善了之前版本模型:1.Gateway2.Virtualservice3.DestinationRule4.ServiceEntry 测试环境:svc: nginxdeployment: nginx-web-de1 nginx-web-de2gateway: nginx-gatewayVi...
Istio Security # TLS 配置
来啊 快活啊
08-09 2102
Istio对身份认证和授权鉴权提供了全面的支持; Istio将身份认证分为最终用户认证和传输认证,Istio提供了双向TLS(没TLS)作为传输认证的全站解决方案; 1. 为每个服务提供强认证,认证身份和角色相结合,能够在不同的集群甚至不同云上进行互操作 2. 加密服务和服务之间、最终用户和服务之间的通信 3. 提供密钥管理系统,完成密钥和证书的生成、分发、轮转以及吊销操作 下面是所有关...
idou老师Istio 26:如何使用Grafana进行可视化监控
weixin_44524077的博客
02-21 370
使用Grafana插件进行监控是Istio提供的监控能力之一。Istio提供丰富的监控能力,Grafana插件在Istio对Prometheus支持的基础上,为用户提供基于网页仪表面板的可视化监控效果,使用户更加直观地查看到实时通信状况。 在前面“如何使用Prometheus监控”的文章中,我们已经介绍istio如何通过它的核心组件Mixer收集用户的访问数据,配合一系列后端基础设施,转换为Pro...
idou老师Istio12 : Istio 实现流量镜像
weixin_44524077的博客
01-29 539
微服务为我们带来了快速开发部署的优秀特性,而如何降低开发和变更的风险成为了一个问题。Istio的流量镜像,也称为影子流量,是将生产流量镜像拷贝到测试集群或者新的版本中,在引导实时流量之前进行测试,可以有效地降低版本变更风险。 流量镜像有以下优点: 1.当流量镜像到不同的服务时,会发生在请求的关键路径之外,这样流量镜像产生的任何问题都不会影响到生产; 2.忽略对任何镜像流量的响应; 流量被视为“即发...
idou老师Istio 28:istio-proxy check 的缓存
weixin_44524077的博客
02-26 208
功能概述 istio-proxy主要的功能是连接istio的控制面组件和envoy之间的交互,其中check的功能是将envoy收集的attributes信息上报给mixer,在istio中有几十种attributes(官方文档中有Attribute Vocabulary的具体介绍), mixer根据自身的adapter给envoy 反馈。为了避免每次对mixer都进行远程调用,保证运行时的性能,...
Testing Istio mutual TLS authentication
Ybt_c_index的博客
05-18 496
通过这个task,你将会如何: 核实Istio内彼此之间的TLS身份认证设置 手动测试身份认证 Before you begin 这个task假设你有一个k8s集群: 通过 the Istio installation task 安装带TLS身份认证的Istio。注意在“Installation steps”中的第5步选择 “enable Istio mutual TLS Auth...
Istio系列习(七)----Istio的路由规则配置:TLS路由(TLSRoute)和TCP路由(TCPRoute)
我在深圳的这些日子的博客
01-21 1899
1
Istio - Https Gateway
罗小爬的技术宝书
09-09 7078
之前Istio在测试环境、云环境(华为云、阿里云)上,都是用的Nginx挂载的Https证书; 测试环境: (1)外网域名(含有固定前缀,例如:*-fat.xxx.com)通过dnsPod直接指到Nginx地址; (2)在Nginx 443端口上挂载Https ssl配置(证书、私钥); (3)Nginx 443端口监听外网域名并转发请求到Istio Ingress网关IP+http端口(...
istio 配置bookinfo的https
LCRxxoo的博客
04-11 456
目录 1.安装istio 2.安装bookinfo 3.配置HTTPS 4.注意 1.安装istio Istio / 入门 2.安装bookinfo Istio / Bookinfo 应用 3.配置HTTPS Istio / 安全网关(文件挂载) 其中ca的创建使用:使用openssl 生成https 证书 和chrome 导入_LCRxxoo的博客-CSDN博客 4.注意 1.httpbin仅仅是一个http测试应用可以不用管 2.安装istio其实是有两个安装,一个是安装
Istio习笔记:https访问Kubernetes Dashboard-PASSTHROUGH
09-30 1238
本文主要记录了在Istio中通过透传的方式访问应用kubernets dashboard,主要包括dashboard的安装配置,以及istiohttps访问控制。仅供个人参考!!
istio的http访问https外部服务配置
mywebuser的专栏
03-13 549
最近在做istio方法的部署开发工作,因要用到EnvoyFilter,而我们的外部服务是https的,目前并没有istiotls配置支持EnvoyFilter,也是查找了很多资料,找到了一一种变通的方法,即http访问https,这样就可以EnvoyFilter了
Istio Ingress-Gateway单双向https认证配置
jiayu的博客
03-26 692
Istio Ingress-Gateway配置单双向TLS
Istio网关Gateway 启用TLS
最新发布
小楼一夜听春雨,深巷明朝卖杏花
07-27 1847
Istio网关Gateway是一个负责处理南北向流量的组件,它通常会暴露服务网格内部的服务,以便外部的请求能够访问到服务网格中的服务。Istio网关Gateway支持多种协议,包括HTTP、HTTPS和GRPC等。在Istio网关Gateway中,每个服务器都包含一个或多个端口,每个端口都定义了一种协议和相应的配置。Istio网关Gateway还可以定义多个TLS证书,以便对传输的数据进行加密和解密。在配置Istio网关Gateway时,我们需要指定其所使用的负载均衡算法和服务发现机制。
L4和L7负载均衡原理和常用负载均衡架构实现
AhhSong的博客
07-03 5972
L4和L7负载均衡原理四层负载均衡原理所谓四层负载均衡,也就是主要通过报文中的目标地址和端口,再加上负载均衡设备设置的服务器选择方式,决定最终选择的内部服务器。以常见的TCP为例,负载均衡设备在接收到第一个来自客户端的SYN请求时,即通过上述方式选择一个最佳的服务器,并对报文中目标IP地址进行修改(改为后端服务器IP),直接转发给该服务器.TCP的连接建立,即三次握手是客户端和服务器直接建立的,负...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值