Istio 多集群身份验证与 mTLS 连接解析

前言

我经常在 Istio 的 GitHub Discussions 上回答网友的问题,最近我遇到了一个关于 Istio 主 - 远程部署的讨论,问题是关于远程集群中网关如何最初验证到外部 Istiod 实例的。这个问题触及到服务网格在多集群配置中的核心安全机制,我认为这值得在社区中进行更深入的分享。

正文

在 Istio 官方的不同网络上安装 Primary-Remote文档中,有一个步骤是将 cluster2 作为 cluster1 的远程集群进行附加。这个过程中会创建一个包含 kubeconfig 配置的 Secret,这个配置文件中含有访问远程集群(cluster2)所需的证书和令牌。

yaml 复制代码
# 这个文件是自动生成的,请不要编辑。
apiVersion: v1
kind: Secret
metadata:
  annotations:
    networking.istio.io/cluster: cluster2
  creationTimestamp: null
  labels:
    istio/multiCluster: "true"
  name: istio-remote-secret-cluster2
  namespace: istio-system
stringData:
  cluster2: |
    apiVersion: v1
    clusters:
    - cluster:
        certificate-authority-data: {CERTIFICATE}
        server: {CLUSTER2-APISERVER-ADDRESS}
      name: cluster2
    contexts:
    - context:
        cluster: cluster2
        user: cluster2
      name: cluster2
    current-context: cluster2
    kind: Config
    preferences: {}
    users:
    - name: cluster2
      user:
        token: {TOKEN}

这个 Secret 的关键作用是让主集群(cluster1)中的 Istio 能够访问远程集群的 API 服务器,从而获得服务信息。此外,远程集群(cluster2)中的 Istiod 服务,通过端点指向主集群中 Istiod 服务的 LoadBalancer IP(端口 15012 和 15017),使得 cluster2 能够通过 Istiod 与主集群进行通信。

因为这两个集群共用一个 CA(由主集群提供),并且远程集群能够访问自己的 API 服务器,所以主集群中的 Istiod 可以验证来自远程集群(cluster2)的请求。下面的序列图清晰地展示了这一过程:

sequenceDiagram participant IG as Ingress Gateway(远程集群) participant K8s as Kubernetes API(远程集群) participant SA as Service Account(远程集群) participant Istiod as Istiod(主集群) Note over IG: 启动 IG->>K8s: 请求Service Account令牌 K8s->>SA: 创建/检索令牌 SA-->>IG: 返回令牌 Note over IG: 令牌挂载在Pod中 IG->>Istiod: 使用令牌进行身份验证 Note over Istiod: 验证令牌 Istiod->>Istiod: 生成mTLS证书 Istiod-->>IG: 发送mTLS证书 Note over IG: 使用mTLS证书进行Mesh内的安全通信

这一过程是 Istio 多集群配置中的关键一环,确保了服务网格中跨集群通信的安全性。正如我们在这次讨论中看到的,无论是远程网关还是服务都依赖于主集群的 CA 来进行初始的 mTLS 认证,这为整个服务网格的安全通信提供了坚实的基础。

总结

在本篇博客中,我们探讨了在 Istio 主 - 远程部署中,远程集群的网关如何进行初始验证以连接到外部的 Istiod。我们解释了如何通过创建一个含有 kubeconfig 的 Secret 来允许主集群的 Istio 访问远程集群的 API,以及如何通过共享的 CA 和服务账户令牌来确保 mTLS 认证的安全性。这一过程确保了服务网格中的跨集群通信的安全,为理解和实施 Istio 的多集群配置提供了重要的见解。

原文地址:jimmysong.io/blog/primar...

相关推荐
APItesterCris16 小时前
构建分布式京东商品数据采集系统:基于 API 的微服务实现方案
分布式·微服务·架构
hzzzzzo018 小时前
微服务网关全解析:从入门到实践
java·开发语言·微服务
Angelyb19 小时前
微服务保护和分布式事务
java·微服务·架构
鼠鼠我捏,要死了捏19 小时前
蓝绿发布与滚动更新:基于Kubernetes的微服务零停机切换实战指南
微服务·kubernetes·blue-green
echoyu.21 小时前
初识微服务-nacos配置中心
java·微服务
2301_781668611 天前
微服务面试篇
微服务·面试·架构
T_Ghost1 天前
SpringCloud微服务网关Gateway
spring cloud·微服务·gateway
喵叔哟1 天前
58.【.NET8 实战--孢子记账--从单体到微服务--转向微服务】--新增功能--图形验证码
微服务·架构·.net
敲上瘾1 天前
Docker网络实战:容器通信与隔离之道
linux·网络·docker·微服务·容器
hzzzzzo02 天前
微服务核心组件实战:Nacos 与 Ribbon 的应用
spring cloud·微服务·ribbon·nacos·架构