备考ICA----Istio实验15---开启 mTLS 自动双向认证实验

备考ICA----Istio实验15—开启mTLS自动双向认证实验

在某些生成环境下,我们希望微服务和微服务之间使用加密通讯方式来确保不被中间人代理.
默认情况下Istio 使用 PERMISSIVE模式配置目标工作负载,PERMISSIVE模式时,服务可以使用明文通讯.为了只允许双向 TLS 流量,需要将配置更改为 STRICT 模式。

1. 环境准备

kubectl create ns kim
kubectl create ns trump
kubectl create ns baiden

为3个命名空间创建服务
其中trump和baiden2个命名空间是有Istio sidecar注入的

kubectl apply -f <(istioctl kube-inject -f istio/samples/httpbin/httpbin.yaml) -n trump
kubectl apply -f <(istioctl kube-inject -f istio/samples/httpbin/httpbin.yaml) -n baiden
kubectl apply -f <(istioctl kube-inject -f istio/samples/sleep/sleep.yaml) -n trump
kubectl apply -f <(istioctl kube-inject -f istio/samples/sleep/sleep.yaml) -n baiden

kim命名空间中的pod是没有Istio注入的

kubectl apply -f istio/samples/httpbin/httpbin.yaml -n kim
kubectl apply -f istio/samples/sleep/sleep.yaml -n kim

确认容器的sidecar注入情况

kubectl get pods -A -l app=httpbin
kubectl get pods -A -l app=sleep

在这里插入图片描述

访问测试

for from in trump baiden kim;do \for to in trump baiden kim;do \kubectl exec deploy/sleep -n ${from} \-- curl http://httpbin.${to}:8000/ip -s -o /dev/null \-w "${from}.sleep to ${to}.httpbin: %{http_code}\n";\done;\
done

可以看到由于现在没对访问实时mtls所有所有访问都是成功的.
在这里插入图片描述

2. 所有命名空间mtls

对全局做mtls限制.
mtls/strict.yaml

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:name: defaultnamespace: "istio-system"
spec:mtls:mode: STRICT

生效配置

kubectl apply -f mtls/strict.yaml 

访问测试

for from in trump baiden kim;do \for to in trump baiden kim;do \kubectl exec deploy/sleep -n ${from} \-- curl http://httpbin.${to}:8000/ip -s -o /dev/null \-w "${from}.sleep to ${to}.httpbin: %{http_code}\n";\done;\
done

可以看到做了mtls后,对trump和baiden两个由Istio管控的可以互相访问,并可以访问没有被管理的kim空间.
但没有被Istio管理的kim空间是无法访问由Istio管理的trump和baiden中的httpbin服务.

在这里插入图片描述
清理全局全局认证策略,为下一个实验做准备

kubectl delete pa -n istio-system default 

在这里插入图片描述

3. 命名空间级别mtls

仅对trump命名看空间进行mtls验证
trump.yaml

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:name: defaultnamespace: trump
spec:mtls:mode: STRICT

部署生效

kubectl apply -f trump.yaml 

在这里插入图片描述
测试访问

for from in trump baiden kim;do \for to in trump baiden kim;do \kubectl exec deploy/sleep -n ${from} \-- curl http://httpbin.${to}:8000/ip -s -o /dev/null \-w "${from}.sleep to ${to}.httpbin: %{http_code}\n";\done;\
done

测试下来由于trump对mtls进行了限制,因为trump和baiden都是由Istio进行管理,trump的sleep和baiden的httpbin访问trump的httpbin都是正常.
kim是非Istio管理,当kim.sleep访问trump的httpbin时因为没有mtls被拒绝
在这里插入图片描述
恢复配置

kubectl delete pa -n trump default 

在这里插入图片描述

4. Label Selector级别mtls限制

仅对baiden的httpbin进行mtls限制
mtls/labelselector.yaml

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:name: httpbinnamespace: "baiden"
spec:selector:matchLabels:app: httpbinmtls:mode: STRICT

应用配置

kubectl apply -f mtls/labelselector.yaml
kubectl get pa -n baiden

在这里插入图片描述
访问测试

for from in trump baiden kim;do \for to in trump baiden kim;do \kubectl exec deploy/sleep -n ${from} \-- curl http://httpbin.${to}:8000/ip -s -o /dev/null \-w "${from}.sleep to ${to}.httpbin: %{http_code}\n";\done;\
done

此时:
trump因为是受Istio管理,访问baiden的httpbin时带有证书,访问被允许
baiden因为是受Istio管理,访问baiden的httpbin时带有证书,访问被允许
kim因为不受Istio管理,访问baiden的httpbin时未带有证书,访问被拒绝

在这里插入图片描述
清除配置

kubectl delete pa -n baiden httpbin 

在这里插入图片描述

5. 端口级别mtls

使用portLevelMtls参数来实现端口级别的mtls限制.即除了8080端口,都使用mtls
mtls/prot.yaml

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:name: httpbinnamespace: "baiden"
spec:selector:matchLabels:app: httpbinmtls:mode: STRICTportLevelMtls:8080:mode: DISABLE

部署生效

kubectl apply -f mtls/prot.yaml

访问测试

for from in trump baiden kim;do \for to in trump baiden kim;do \kubectl exec deploy/sleep -n ${from} \-- curl http://httpbin.${to}:8000/ip -s -o /dev/null \-w "${from}.sleep to ${to}.httpbin: %{http_code}\n";\done;\
done

此时由于排除的是8080端口,我们访问的是80端口,所以80端口是受mtls管理的:
trump因为是受Istio管理,访问baiden的httpbin时带有证书,访问被允许
baiden因为是受Istio管理,访问baiden的httpbin时带有证书,访问被允许
kim因为不受Istio管理,访问baiden的httpbin时未带有证书,访问被拒绝
在这里插入图片描述

6. 策略优先级

开启namespace级别的mtls

kubectl apply -f mtls/trump.yaml 

在这里插入图片描述
当端口级别的mtls和命名空间级别的发生了冲突时,以更细的规则为准
mtls/trumplabels.yaml

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:name: trumphttpbinnamespace: trump
spec:selector:matchLabels:app: httpbinmtls:mode: DISABLE

生效配置

kubectl apply -f mtls/labelselector.yaml

在这里插入图片描述

访问测试

for from in trump baiden kim;do \for to in trump baiden kim;do \kubectl exec deploy/sleep -n ${from} \-- curl http://httpbin.${to}:8000/ip -s -o /dev/null \-w "${from}.sleep to ${to}.httpbin: %{http_code}\n";\done;\
done

因为trump服务级别的httpbin DISABLE生效,所以kim访问trump的httpbin被允许
在这里插入图片描述
至此备考ICA----Istio实验15—开启 mTLS 自动双向认证实验完成

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/587647.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

文本自动粘贴编辑器:支持自动粘贴并筛选手机号码,让信息处理更轻松

在信息时代的浪潮中&#xff0c;文本处理已成为我们日常工作与生活的重要组成部分。无论是商务沟通、社交互动还是个人事务处理&#xff0c;手机号码的筛选与粘贴都显得尤为关键。然而&#xff0c;传统的文本处理方式效率低下、易出错&#xff0c;已无法满足现代人的高效需求。…

netty使用ChunkedWriteHandler发送TextWebSocketFrame消息导致内存溢出

netty版本 <dependency><groupId>io.netty</groupId><artifactId>netty-all</artifactId><version>4.1.50.Final</version></dependency>此版本ChunkedWriteHandler 的write方法如下 public class ChunkedWriteHandler exten…

【tensorflow框架神经网络实现鸢尾花分类—优化器】

文章目录 1、前言2、神经网络参数优化器2.1、SGD2.2、SGDM2.3、Adagrad2.4、RMSProp2.5、Adam 3、实验对比不同优化器4、结果对比 1、前言 此前&#xff0c;在【tensorflow框架神经网络实现鸢尾花分类】一文中使用梯度下降算法SGD&#xff0c;对权重 w w w和偏置 b b b进行更新…

【系统技术演进】2018-2023

引子 2018-2023年&#xff0c;我所在的公司&#xff0c;架构上经历了数次转折、变化&#xff0c;在这个过程中&#xff0c;产生了很多对技术和职业的思考&#xff0c;仅以此来记录&#xff0c;在这个过程中所经历的&#xff0c;以及成长的过程和反思。 故事开始 1.混乱的Dubb…

Java零基础入门-异常、线程(完结篇)

一、本期教学目标 掌握如何自定义异常。自定义异常实战练习。掌握进程/线程的概念及区别。理解并发与并行的区别。掌握如何创建线程。 二、前言 在上一期&#xff0c;我们是重点学习了异常如何声明、如何捕获、finally如何使用&#xff1f;以及对于多个异常怎么处理&#xff…

LeetCode刷题记(一):1~30题

1. 两数之和 给定一个整数数组 nums 和一个整数目标值 target&#xff0c;请你在该数组中找出 和为目标值 target 的那 两个 整数&#xff0c;并返回它们的数组下标。 你可以假设每种输入只会对应一个答案。但是&#xff0c;数组中同一个元素在答案里不能重复出现。 你可以…

vscode 重命名很慢或失败 vscode renames are slow

网上问题&#xff0c; 插件问题&#xff08;我遇见的排除&#xff0c;不是&#xff09;被其他程序占用问题&#xff0c;&#xff08;我这边是这个&#xff09; 解决方案&#xff1a; 打开【资源管理器】&#xff0c;使用火绒 或其他软件&#xff0c;查看文件夹 or 文件 被哪个…

【面试八股总结】传输控制协议TCP(二)

参考资料 &#xff1a;小林Coding、阿秀、代码随想录 一、TCP报文段首部 TCP 虽然是面向字节流的&#xff0c;但 TCP 传送的数据单元却是报文段。 一个 TCP 报文段分为首部和数据两部分&#xff0c;TCP 报文段首部的前 20 个字节是固定的&#xff0c;后面有 4n 字节是根据需要…

使用 FinalShell 进行远程连接(ssh 远程连接 Linux 服务器)

目录 前言 基本使用教程 新建远程连接 连接主机 自定义命令 路由追踪 前言 后端开发&#xff0c;必然需要和服务器打交道&#xff0c;部署应用&#xff0c;排查问题&#xff0c;查看运行日志等等。一般服务器都是集中部署在机房中&#xff0c;也有一些直接是云服务器&am…

LLM - 大语言模型 基于人类反馈的强化学习(RLHF)

欢迎关注我的CSDN:https://spike.blog.csdn.net/ 本文地址:https://blog.csdn.net/caroline_wendy/article/details/137269049 基于人类反馈的强化学习(RLHF,Reinforcement Learning from Human Feedback),结合 强化学习(RL) 和 人类反馈 来优化模型的性能。这种方法主要包…

抖音视频关键词批量下载工具|视频爬虫采集软件

抖音视频批量提取工具&#xff0c;搜索即下载&#xff0c;轻松获取所需视频&#xff01; 正文&#xff1a; 想要轻松获取抖音上的精彩视频吗&#xff1f;现在&#xff0c;有了我们的抖音视频批量提取工具&#xff0c;一切变得简单易行&#xff01;Q:290615413无论是针对特定关…

【opencv】教程代码 —videoio(2)将两个视频的每一帧逐一读取并计算其PSNR 和MSSIM...

本教程开始介绍的源代码将对每一帧执行PSNR测量&#xff0c;并且只对PSNR低于输入值的帧进行SSIM测量。为了可视化的目的&#xff0c;我们在OpenCV窗口中展示两幅图像&#xff0c;并将PSNR和MSSIM值打印到控制台。期望看到如下内容&#xff1a; video-input-psnr-ssim.cpp 将两…