使用 Istio CNI 支持强安全 TKE Stack 集群的服务网格流量捕获

最新推荐文章于 2022-08-17 11:51:39 发布
最新推荐文章于 2022-08-17 11:51:39 发布
阅读量343 收藏
点赞数
文章标签: K8S Prometheus Istio Serverless containerd Etcd Pod TKE 云原生 腾讯云原生 边缘 集群 最佳实践 kubernetes 云计算 docker 容器 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yunxiao6/article/details/123383827
版权

作者

陈计节,企业应用云原生架构师,在腾讯企业 IT 负责云原生应用治理产品的设计与研发工作,主要研究利用容器集群和服务网格等云原生实践模式降低微服务开发与治理门槛并提升运营效率。

摘要

给需要快速解决问题的集群管理员: 在 TKE Stack 中正确安装 Istio CNI 有两种方式:如果你的 TKE Stack 集群所使用 Galaxy 版本可以支持 cniVersion 0.3.1,请以默认的方式安装 Istio CNI;否则请使用以“网卡插件”的方式安装 Istio CNI,并在创建 Pod 时指定使用集群默认网络名称。 如果你发现你的 TKE Stack 集群安装完 Istio CNI 之后,无法创建新的 Pod,请立即卸载已安装的 Istio CNI,并手动恢复各个节点上写入的 Galaxy 配置文件:将 /etc/cni/net.d/00-galaxy.conflist 文件内的 plugins 数组字段的第一个元素提取出来,并保存为单独的 conf 文件: /etc/cni/net.d/00-galaxy.conf。删除正在创建中、但无法成功的 Pod,等待其重建,Pod 的创建功能应该能自动恢复。

Istio 是流行的服务网格软件,它通过向业务 Pod 注入可捕获出入口流量的代理软件 Envoy 作为 Sidecar 来完成对流量的观测与治理。

Istio 为了让 Envoy 代理能够捕获来去业务容器的流量,需要向 Pod 所在网络下发如下 IPTABLES 规则:

*nat
-N ISTIO_INBOUND
-N ISTIO_REDIRECT
-N ISTIO_IN_REDIRECT
-N ISTIO_OUTPUT
-A ISTIO_INBOUND -p tcp --dport 15008 -j RETURN
-A ISTIO_REDIRECT -p tcp -j REDIRECT --to-ports 15001
-A ISTIO_IN_REDIRECT -p tcp -j REDIRECT --to-ports 15006
-A PREROUTING -p tcp -j ISTIO_INBOUND
-A ISTIO_INBOUND -p tcp --dport 22 -j RETURN
-A ISTIO_INBOUND -p tcp --dport 15090 -j RETURN
-A ISTIO_INBOUND -p tcp --dport 15021 -j RETURN
-A ISTIO_INBOUND -p tcp --dport 15020 -j RETURN
-A ISTIO_INBOUND -p tcp -j ISTIO_IN_REDIRECT
-A OUTPUT -p tcp -j ISTIO_OUTPUT
-A ISTIO_OUTPUT -o lo -s 127.0.0.6/32 -j RETURN
-A ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -m owner --uid-owner 1337 -j ISTIO_IN_REDIRECT
-A ISTIO_OUTPUT -o lo -m owner ! --uid-owner 1337 -j RETURN
-A ISTIO_OUTPUT -m owner --uid-owner 1337 -j RETURN
-A ISTIO_OUTPUT -o lo ! -d 127.0.0.1/32 -m owner --gid-owner 1337 -j ISTIO_IN_REDIRECT
-A ISTIO_OUTPUT -o lo -m owner ! --gid-owner 1337 -j RETURN
-A ISTIO_OUTPUT -m owner --gid-owner 1337 -j RETURN
-A ISTIO_OUTPUT -d 127.0.0.1/32 -j RETURN
-A ISTIO_OUTPUT -j ISTIO_REDIRECT
COMMIT

在常规安装模式下,下发 IPTABLES 规则的操作,是通过与 Envoy 代理容器一同注入的初始化容器 istio-init 完成的。向 Pod 网络下发 IPTABLES 规则要求 Pod 可以使用 NET_ADMIN 和 NET_RAW 两个高权限功能(Capabilities)。Linux 将传统与超级用户 root 关联的特权划分为不同的单元,称为 Capabilites。Capabilites 每个单元都可以独立启用和禁用。这样当系统在做权限检查的时候就检查特定的 Capabilites,并决定当前用户其进程是否可以进行相应特权操作。比如如果要设置系统时间,就得具有 CAP_SYS_TIME 这个 Capabilites。

Istio 流量捕获功能面临的安全挑战

容器本质上是是宿主机上运行的进程,虽然容器运行时默认只向容器提供必要 Capabilities,但如果使用 --privileded 模式运行容器,或者向容器追加更多 C

最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CNStack 云边协同平台:实现原生边缘竟能如此简单
阿里云技术
03-20 245
传统的边缘计算产品,更加侧重边缘侧的通信能力。但是在云原生场景下,如何既能享受云原生带来的各种特性和优势,又能避免边缘场景天然的限制和约束,是今天云边协同边缘平台亟待解决的问题。
istio-cni详解
yevvzi的博客
09-10 1254
概述 Istio网格中部署的Pod中注入initContainer,istio-init。该istio-init容器设置荚的网络流量重定向到/从Istio三轮代理。这就要求将用户或服务帐户部署到网格上的Pod具有足够的Kubernetes RBAC权限才能部署具有NET_ADMIN和NET_RAW功能的容器。对于某些组织的安全合规性,要求Istio用户具有提升的Kubernetes RBAC权限是有问题的。Istio CNI插件是istio-init执行相同网络功能但不要求Istio用户启用提升的Kub
istio 1.2.5及istio-cni 部署
09-11 1100
环境 操作系统:CentOS Linux release 7.6.1810 (Core) 内核版本:Linux node03 3.10.0-957.21.3.el7.x86_64 #1 SMP Tue Jun 18 16:35:19 UTC 2019 x86_64 x86_64 x86_64 GNU/Linux kubernetes:Server Version: version.Info{Maj...
安装 Istio CNI 插件
变成习惯
04-30 757
按照此流程利用 Istio 容器网络接口(CNI)来安装、配置和使用 Istio 网格。 默认情况下,Istio 会在网格中部署的 Pods 上注入一个 initContainer:istio-init。istio-init 容器会将 Pod 的网络流量劫持到 Istio sidecar 代理上。这需要用户或部署 Pods 的 Service Account 具有足够的部署 NET_ADMIN 容器的 Kubernetes RBAC 权限。Istio 用户权限的提升,对于某些组织的安全政策来说,可能是难以接
Kubernetes CNI网络最强对比:Flannel、Calico、Canal和Weave
Rancher
03-29 1万+
介绍 网络架构是Kubernetes中较为复杂、让很多用户头疼的方面之一。Kubernetes网络模型本身对某些特定的网络功能有一定要求,但在实现方面也具有一定的灵活性。因此,业界已有不少不同的网络方案,来满足特定的环境和要求。 CNI意为容器网络接口,它是一种标准的设计,为了让用户在容器创建或销毁时都能够更容易地配置容器网络。在本文中,我们将集中探索与对比目前最流行的CNI插件:Flann...
Istio网格流量治理基础
03-21
Istio网格流量治理基础是一...总的来说,Istio通过Envoy代理、Mixer策略执行、Pilot流量管理和Citadel安全机制,构建了一个全面的服务网格解决方案,帮助开发者和运维人员更好地管理和监控微服务架构中的复杂网络流量
02 王夕宁&刘齐均-优化服务网格以提高性能和高可用性.pdf
06-20
服务网格】是一种重要的云原生技术,它专注于服务间通信的管理和治理,提供高性能、高可用性以及安全的微服务交互。本文主要探讨如何优化服务网格以提高其性能和高可用性,由阿里云的王夕宁和DaoCloud的刘齐均共同...
k8s搭建Kubernetes(k8s)集群用到的部署CNI网络插件
最新发布
02-21
问题场景:由于k8s安装master一直处于NotReady状态查看日志出现 failed to find plugin “flannel” in path [/opt/cni/bin]【CentOS7.9】(ps:不需要积分) 解决办法:下载CNI插件,在此提供amd和arm,其他可访问链接...
使用+StatefulSet+搭建+MongoDB+集群.doc
07-23
使用 StatefulSet 搭建 MongoDB 集群】 MongoDB 是一款广泛使用的开源、高性能、无SQL的文档型数据库,特别适合处理大规模数据。为了实现高可用性和容错性,通常会采用集群部署模式。在 Kubernetes 环境中,...
galaxy:为Kubernetes提供高性能网络
05-06
Galaxy:为Kubernetes工作负载提供高性能网络和浮动IP Galaxy是一个Kubernetes网络项目,旨在为Pod提供覆盖和高性能底层网络。 并且它还实现了浮动IP(或弹性IP),即,即使pod的IP由于节点崩溃而浮动到另一个节点上,其IP也不会改变,这对于运行有状态集合应用程序是有好处的。 当前,它由三个组件组成-Galaxy,CNI插件和Galaxy IPAM。 Galaxy是在每个kubelet节点上运行的守护进程,它调用不同种类的CNI插件来设置Pod所需的网络。 Galaxy IPAM是Kubernetes Scheduler插件,可以用作浮动IP配置和分配管理器。 Galaxy与CNI规范兼容,您可以通过安装CNI二进制文件和更新来将任何CNI插件与其集成。 使用银河 贡献 像许多Kubernetes项目一样,Galaxy是用Golang编写的。 请先参考
kubefire:KubeFire using使用Firecracker microVM创建和管理Kubernetes集群
05-12
使用OCI映像中的独立rootfs和内核,而不是传统的VM映像(例如qcow2,vhd等) 使用容器来管理鞭炮程序使用不同的集群引导程序来配置Kubernetes集群,例如Kubeadm,K3,Rancher RKE,RKE2,RancherD和K0 支持在x86_64...
超详细教程,一文入门Istio架构原理及实战应用
博学谷狂野架构师的博客
07-04 7144
实际上Istio 就是 Service Mesh 架构的一种实现,服务之间的通信(比如这里的 Service A 访问 Service B)会通过代理(默认是 Envoy)来进行。而且中间的网络协议支持 HTTP/1.1,HTTP/2,gRPC 或者 TCP,可以说覆盖了主流的通信协议。代理这一层,称之为数据平面。控制平面做了进一步的细分,分成了 Pilot、Citadel 和 Galley,它们的各自功能如下:数据平面会和控制平面通信,一方面可以获取需要的服务之间的信息,另一方面也可以汇报服务调用的 Me
Istio真的性能低吗?
weixin_37098404的博客
09-24 3188
作者 | hzxuzhonghu来源 | 容器魔方长期以来听到种种质疑声:“Istio 性能很差”、“数据延迟很大”、“sidecar 内存、cpu 占用很高”........
CNCF CNI系列之一:浅谈kubernetes的网络与CNI(以flannel为例)
cloudvtech的博客
04-01 9075
一、前言kubernetes作为container的orchestration框架,主要的功能是在更高的层次对kubernetes服务和承载服务的实体(container)的部署、配置、可靠性进行管理,对应有namespace、POD、deployment、service等kubernetes的资源供application服务的提供者进行不同粒度上的配置和控制。同样,在网络层面,kubernete...
【kubernetes/k8s概念】CNI详解
热门推荐
zhonglinzhang
09-14 3万+
1、为什么CNI CNI是Container Network Interface的是一个标准的,通用的接口。现在容器平台:docker,kubernetes,mesos,容器网络解决方案:flannel,calico,weave。只要提供一个标准的接口,就能为同样满足该协议的所有容器平台提供网络功能,而CNI正是这样的一个标准接口协议。 2、什么CNI CN...
在KubeSphere启动服务网格Istio并解决解决ContainerCreating问题
云来山更佳,云去山如画
08-17 3908
在KubeSphere启动服务网格Istio并解决解决ContainerCreating问题
Istio学习(一)--使用kubeadm搭建K8S环境
敲代码的小蜗牛的专栏
01-05 1059
官网地址: istio:https://istio.io/ k8s:https://kubernetes.io/ 我使用的事阿里云服务器(集群,单机均适用),现将操作整理如下: 一、设置准备环境 关闭防火墙: $ systemctl stop firewalld $ systemctl disable firewalld 关闭selinux: $ sed -i 's/enforcin...
2019年技术盘点容器篇(二):听腾讯云讲讲踏入成熟期的容器技术 | 程序员硬核评测
科技星象
07-01 675
据相关调研机构报告数据显示,目前应用容器市场规模将从2016年的 7.62亿美元增⻓到2020年的27亿美元。 显而易⻅,引入容器所展现的巨大灵活性有效推动了其采用速率,使企业日益依赖该技术,与此同时容器技术也逐渐成⻓为虚拟机的实力替代品。对此,调研机构Forrester公司曾指出,58%的开发商计划在未来一年内使用容器或正在计划使用容器。 总结一句,使用容器可以帮助企业提高效率、降低成本,...
Istio 1.6官方文档:流量管理与安全指南
3. **扩展性**:Istio 可以通过多种方式进行扩展,包括使用Operator进行自定义安装,以及多集群安装,包括简化地多集群安装和共享控制平面(单一网络或多网络)。 4. **可观察性**:Istio 提供了丰富的可观察性工具...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值