博客
关于我
Istio安全-认证(实操二)
阅读量:421 次
发布时间:2019-03-06

本文共 2348 字,大约阅读时间需要 7 分钟。

Istio安全认证指南

安全认证策略

配置概述

本节将介绍如何启用、配置和使用Istio的安全认证策略,深入了解其底层概念。首先,我们需要理解Istio的核心组件及其安全机制,然后通过示例配置来实现需求。

安全认证类型

Istio 提供了两种主要的安全认证类型:

  • 对等认证(Mutual TLS):基于TLS证书的双向认证,适用于服务间通信。
  • 终端用户认证(JWT认证):基于JSON Web Token的认证,适用于用户身份验证。

    • 配置步骤

    1. 安装Istio

    首先,确保Istio已正确安装并配置。以下命令创建命名空间和部署示例:

    kubectl create ns fookubectl apply -f $(istioctl kube-inject -f samples/httpbin/httpbin.yaml) -n fookubectl apply -f $(istioctl kube-inject -f samples/sleep/sleep.yaml) -n foo

    2. 启用对等认证

    默认情况下,Istio会自动配置客户端代理发送mutual TLS流量到目标负载。为了确保所有通信使用加密传输,需在网格范围内设置严格的对等认证策略:

    kubectl apply -n istio-system -f - <

    3. 验证配置

    通过执行以下命令验证配置是否正确:

    for from in "foo" "bar" "legacy"; do  for to in "foo" "bar" "legacy"; do    kubectl exec $(kubectl get pod -l app=sleep -n ${from} -o jsonpath={.items..metadata.name}) -c sleep -n ${from} \      -- curl "http://httpbin.${to}:8000/ip" -s -o /dev/null -w "sleep.${from} to httpbin.${to}: %{http_code}\n"  donedone

    4. 卸载配置

    若需卸载对等认证策略,可执行以下命令:

    kubectl delete peerauthentication -n istio-system default

    终端用户认证

    配置JWT认证

    为了实现终端用户认证,需配置JWT策略并暴露服务。以下步骤说明:

  • 部署Ingress Gateway:
    • kubectl apply -n istio-system -f samples/addons/ingressgateway/ingressgateway.yaml
    1. 获取Ingress信息:
      2. INGRESS_PORT=$(kubectl -n istio-system get service istio-ingressgateway -o jsonpath='{.spec.ports[?(@.name=="http2")].nodePort}')INGRESS_HOST=$(kubectl get po -l istio=ingressgateway -n istio-system -o jsonpath='{.items[0].status.hostIP}')
      1. 应用JWT认证策略:
        2. kubectl apply -n istio-system -f - <

        验证JWT认证

      2. 使用有效token:
        3. TOKEN=$(curl https://raw.githubusercontent.com/istio/istio/release-1.7/security/tools/jwt/samples/demo.jwt -s)curl --header "Authorization: Bearer $TOKEN" "$INGRESS_HOST:$INGRESS_PORT/headers" -s -o /dev/null -w "%{http_code}\n" 200
        1. 使用无效token:
          2. curl --header "Authorization: Bearer deadbeef" "$INGRESS_HOST:$INGRESS_PORT/headers" -s -o /dev/null -w "%{http_code}\n" 401

          验证路径授权

          为确保每个路径都需要有效token,可以修改策略:

          kubectl apply -n istio-system -f - <

          验证结果:

          curl "$INGRESS_HOST:$INGRESS_PORT/headers" -s -o /dev/null -w "%{http_code}\n" 403curl "$INGRESS_HOST:$INGRESS_PORT/ip" -s -o /dev/null -w "%{http_code}\n" 200

          卸载步骤

          移除JWT策略

          kubectl -n istio-system delete requestauthentication jwt-examplekubectl -n istio-system delete authorizationpolicy frontend-ingress

          移除命名空间

          kubectl delete ns foo bar legacy

          总结

          本章详细介绍了Istio的安全认证机制,包括对等认证和终端用户认证。通过合理配置,可以实现服务间的安全通信和用户身份验证。Istio的灵活配置使其适用于多种场景,确保系统安全性和可靠性。

    转载地址:http://ulakz.baihongyu.com/

    你可能感兴趣的文章
    Nginx配置ssl实现https
    查看>>
    Nginx配置TCP代理指南
    查看>>
    Nio ByteBuffer组件读写指针切换原理与常用方法
    查看>>
    NI笔试——大数加法
    查看>>
    NLP 基于kashgari和BERT实现中文命名实体识别(NER)
    查看>>
    No 'Access-Control-Allow-Origin' header is present on the requested resource.
    查看>>
    Node.js安装与配置指南:轻松启航您的JavaScript服务器之旅
    查看>>
    npm报错unable to access ‘https://github.com/sohee-lee7/Squire.git/‘
    查看>>
    npm的问题:config global `--global`, `--local` are deprecated. Use `--location=global` instead 的解决办法
    查看>>
    NR,NF,FNR
    查看>>
    nrf开发笔记一开发软件
    查看>>
    NSDateFormatter的替代方法
    查看>>
    NSOperation基本操作
    查看>>
    NSSet集合 无序的 不能重复的
    查看>>
    NT AUTHORITY\NETWORK SERVICE 权限问题
    查看>>
    ntko文件存取错误_苹果推送 macOS 10.15.4:iCloud 云盘文件夹共享终于来了
    查看>>
    nullnullHuge Pages
    查看>>
    numpy 用法
    查看>>
    Numpy如何使用np.umprod重写range函数中i的python
    查看>>
    oauth2-shiro 添加 redis 实现版本
    查看>>
    喝酒易醉,品茶养心,人生如梦,品茶悟道,何以解忧?唯有杜康!-- 愿君每日到此一游!
    当前时间: 2026-01-18 02:19:50   当前IP: 10.8.50.4   联系邮箱:javaeecc@qq.com     Copyright © 2020 - 2025 baihongyu.com 京ICP备2021015314号-2