男女无遮挡猛进猛出免费视频

发布日期:2022-06-18 17:04    点击次数:85

使用 Istio 保护您的微劳动

 

本文转载自微信公众号「新钛云服」,作家祝祥 。转载本文请筹商新钛云服公众号。

先容

Istio 是一个开源名目,旨在处罚云上微劳动之间的通讯。它寂寥于平台,但频繁且主要与 Kubernetes 整个使用。Istio 提供了多项弊端功能,举例流量处罚、安全性和可知悉性。

在本文中,咱们将重心先容 Istio 的安全才气,包括增强认证、透明 TLS 加密、身份考据和授权。咱们将 Istio 部署在 Kubernetes 集群上,并徐徐先容 Istio 安全功能,筹商这些功能如何保护您的劳动。

示例

咱们使用 Istio 提供的示例欺诈 Bookinfo[1] 来演示本文中 Istio 的功能。让咱们来望望 Istio 安全和 Bookinfo 的架构。

ISTIO 安全架构

Istio 安全触及多个组件;下图骄气了该架构。在戒指平面的 Istiod 组件中,咱们有一个 CA(Certificate Authority)来处罚文凭,关连树立通过 API 劳动器发送到数据平面(Envoy)。Envoy 看成战术本质点 (PEP) 来保护网格中客户端和劳动器之间或网额外部和里面之间的通讯安全。

Bookinfo欺诈架构

Bookinfo 欺诈关节分为四个寂寥的微劳动:

productpage:调用详备信息和商量微劳动 details:包含竹帛详备信息 eviews:调用 ratings 微劳动生成书评 ratings:包含奉陪书评的排行信息

商量微劳动共有三个版块;productpage 以轮回样子访谒这些版块:

· 版块 v1 不调用ratings劳动。

· 版块 v2 调用ratings劳动并将每个评级骄气为 1 到 5 颗黑星。

· 版块 v3 调用ratings劳动并将每个评级骄气为 1 到 5 颗红星。

该欺诈关节的端到端架构如下所示。这些是莫得 Istio sidecar 部署的原始纯劳动。

ISTIO 认证

淌若您仍是装置了 Istio,则无需对欺诈关节进行任何革新即可运行示例。或者,您不错或者地在复旧 Istio 的环境中树立和运行劳动,并在每个劳动附近注入 Envoy sidecar。生成的部署如下所示:

这里咱们专门部署了莫得 sidecar 的 review-v2 和其他有 sidecar 的劳动。这不错通过诞生 Kubernetes 定名空间标签“istio-injection=enabled/disabled”粗略戒指。一朝咱们为 Pod 注入一个 sidecar 或者仅仅诞生一个单一的角落代理看成进口网关,Istio 身份就会收效。

Istio 身份模子使用一流的劳启航份来细目肯求起首的身份。在 Kubernetes 上,Istio 使用 Kubernetes 劳动帐户看成身份。下图展示了 Istio 的身份树立责任历程。

启动一个注入了 Istio 的 Pod,它还会启动一个 Envoy 实例看成 Pod 的 sidecar。 当责任负载启动时,Envoy 通过 Envoy secret发现劳动 (SDS) API 从 Istio 代理肯求文凭。 Istio 代理将文凭签名肯求 (CSR) 偏执把柄 (JWT) 发送到 istiod 进行签名。 Istio 代理将从 istiod 收到的以 SPIFFE 体式签名的文凭通过 Envoy SDS API 发送给 Envoy。

这里的文凭是x.509,SPIFFE体式的URL看成x.509文凭的扩张字段进行识别。SPIFFE 是开源的;k8s环境下Istio身份的体式近似于“spiffe:///ns//sa/”。咱们不错通过使用 Istioctl 器用并手动融会文凭中的 Spiffe URL 来获得文凭。咱们还不错转储并搜检 sidecar 的树立以考据 URL 是否已注入其中。

双向 TLS

Istio 复旧双向 TLS 来加密劳动之间传输的数据。在 Bookinfo 欺诈关节中, 十七岁日本在线观看完整版整个劳动领先都是基于纯 HTTP 条约相互通讯的,其中数据莫得加密。当一个责任负载使用双向 TLS 认证战术向另一个责任负载发送肯求时,责任负载和 sidecar 之间的数据仍然是纯文本的,而客户端 Envoy 和劳动器端 Envoy 确立双向 TLS 归并。

平等认证

欺诈平等身份考据战术(如上所示)后,Istio 会自动将两个 PEP 之间的整个流量升级为双向 TLS。由于默许情况下启用了 Istio 的自动 mTLS,因此仍然不错通过 HTTP 访谒 Reviews-v2。Istio 中的 Auto-mTLS 有助于细目客户端 Sidecar 不错发送的流量类型:

淌若树立了 DestinationRule,则信任它

淌若劳动器有 sidecar 并允许 mTLS,发送 mTLS – review-v1 & v3

不然,发送纯文本 – review-v2

平等身份考据仅界说劳动器sidecar不错罗致哪种类型的流量。Reviews-v2 莫得 sidecar,男女无遮挡猛进猛出免费视频是以客户端向它发送纯文本。劳动器端默许处于 PERMISSIVE 方法,这意味着劳动器端不错接纳纯文本和 mTLS。这在初始将集群与劳动网格集成时相配有用,因为操作员频繁无法同期为整个客户端装置 Istio sidecar,或者以致莫得权限在某些客户端上这么做。

想法轨则

与平等身份考据比较,方案轨则界说了客户端 Sidecar 不错发送的流量类型。欺诈方案轨则战术(如上所示)后,review-v2 无法再访谒,因为方案轨则规模 productpage sidecar 发送 mTLS 流量,而 review-v2 只可罗致纯文本。

保护进口流量

Istio 复旧通过进口网关将安全的 HTTPS 劳动潜入给外部流量,因此无需革新里面条约。它统共复旧四种方法来在进口启用 TLS。SIMPLE/MUTUAL 和 ISTIO_MUTUAL 对传入的肯求本质 TLS 拆开;它们用于树立对 HTTP 劳动的

HTTPS 进口访谒。PASSTHROUGH 和 AUTO_PASSTHROUGH 仅按原样传递进口流量,而不是使用 TLS 拆开。

授权进口流量

添加要求最终用户 JWT 用于进口网关的肯求身份考据战术。淌若您在授权标头中提供令牌(其隐式默许位置),则 Istio 将使用公钥集考据令牌,并在不记名令牌无效时断绝肯求。然则,接纳莫得令牌的肯求。

要断绝莫得灵验令牌的肯求,请添加一个 AuthorizationPolicy 轨则,为具有肯求主体的肯求指定 ALLOW 操作,在上头的示例中骄气为 requestPrincipals。requestPrincipals 仅在提供灵验的 JWT 令牌时可用。因此,该轨则只允许具有灵验令牌的肯求。

欺诈RequestAuthentication,如上图:

使用灵验的 JWT 令牌肯求 √ 肯求莫得 JWT 令牌 √ 使用无效的 JWT 令牌肯求 ×

欺诈AuthorizationPolicy,如上图

使用灵验的 JWT 令牌肯求 √ 莫得 JWT 令牌的肯求 × 使用无效的 JWT 令牌肯求 × 网格流量中的授权

AuthorizationPolicy 不仅不错欺诈于进口网关,还不错用于戒指网格里面的访谒。授权战术步伐包括选拔器、操作和轨则列表:

· 选拔器字段指定战术的方案

· action 字段指定是允许如故断绝肯求;默许值为“允许”

· 轨则指定何时触发动作

轨则中的 from 字段指定肯求的起首 轨则中的 to 字段指定肯求的操作 when 字段指定欺诈轨则所需的要求

淌若欺诈断绝整个 AuthorizationPolicy,则默许定名空间下的劳动之间的整个肯求都将被断绝。淌若您随后欺诈 productpage-viewer 如下例所示,它允许对 productpage 劳动进行“GET”操作。

与productpage-viewer AuthorizationPolicy比较,reviews-viewer在spec轨则的source字段多了一项树立;它指定只允许具有“[“cluster.local/ns/default/sa/bookinfo-productpage”]”劳动帐户的劳动发送“GET”肯求。逐个欺诈其他 AuthorizationPolicy 并测试产物页面。Bookinfo 劳动提供的不同信息都会再次出当今您的网页上。图片

详细:Istio 自动提供雄伟的识别功能。它还具有双向 TLS,可对流量进行加密以招架中间人报复。Auto-mTLS 匡助您加入 Istio,PeerAuthentication 和 DestinationRule 简化了对树立进行微小退换的过程。此外,Istio 提供了生动的劳动访谒戒指,因此您不错使用 RequestAuthentication、AuthorizationPolicy 等来诞生细粒度的访谒战术。

参考

· Istio 官方文档:https ://istio.io/latest/docs/

· https://istio.io/latest/docs/examples/bookinfo/

原文

https://01.org/blogs/luyaozhong/2021/secure-your-microservices-istio

 





Powered by 东北女人毛多水多牲交视频 @2013-2022 RSS地图 HTML地图