备考ICA----Istio实验15---开启 mTLS 自动双向认证实验

上海运维Q先生2024-04-05 22:06

备考ICA----Istio实验15---开启mTLS自动双向认证实验

在某些生成环境下,我们希望微服务和微服务之间使用加密通讯方式来确保不被中间人代理.

默认情况下Istio 使用 PERMISSIVE模式配置目标工作负载,PERMISSIVE模式时,服务可以使用明文通讯.为了只允许双向 TLS 流量,需要将配置更改为 STRICT 模式。

1. 环境准备

bash 复制代码 
kubectl create ns kim
kubectl create ns trump
kubectl create ns baiden

为3个命名空间创建服务

其中trump和baiden2个命名空间是有Istio sidecar注入的

bash 复制代码 
kubectl apply -f <(istioctl kube-inject -f istio/samples/httpbin/httpbin.yaml) -n trump
kubectl apply -f <(istioctl kube-inject -f istio/samples/httpbin/httpbin.yaml) -n baiden
kubectl apply -f <(istioctl kube-inject -f istio/samples/sleep/sleep.yaml) -n trump
kubectl apply -f <(istioctl kube-inject -f istio/samples/sleep/sleep.yaml) -n baiden

kim命名空间中的pod是没有Istio注入的

bash 复制代码 
kubectl apply -f istio/samples/httpbin/httpbin.yaml -n kim
kubectl apply -f istio/samples/sleep/sleep.yaml -n kim

确认容器的sidecar注入情况

bash 复制代码 
kubectl get pods -A -l app=httpbin
kubectl get pods -A -l app=sleep

访问测试

bash 复制代码 
for from in trump baiden kim;do \
  for to in trump baiden kim;do \
    kubectl exec deploy/sleep -n ${from} \
    -- curl http://httpbin.${to}:8000/ip -s -o /dev/null \
    -w "${from}.sleep to ${to}.httpbin: %{http_code}\n";\
  done;\
done

可以看到由于现在没对访问实时mtls所有所有访问都是成功的.

2. 所有命名空间mtls

对全局做mtls限制.

mtls/strict.yaml

yaml 复制代码 
apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
 name: default
 namespace: "istio-system"
spec:
 mtls:
   mode: STRICT

生效配置

bash 复制代码 
kubectl apply -f mtls/strict.yaml

访问测试

bash 复制代码 
for from in trump baiden kim;do \
  for to in trump baiden kim;do \
    kubectl exec deploy/sleep -n ${from} \
    -- curl http://httpbin.${to}:8000/ip -s -o /dev/null \
    -w "${from}.sleep to ${to}.httpbin: %{http_code}\n";\
  done;\
done

可以看到做了mtls后,对trump和baiden两个由Istio管控的可以互相访问,并可以访问没有被管理的kim空间.

但没有被Istio管理的kim空间是无法访问由Istio管理的trump和baiden中的httpbin服务.

清理全局全局认证策略,为下一个实验做准备

bash 复制代码 
kubectl delete pa -n istio-system default

3. 命名空间级别mtls

仅对trump命名看空间进行mtls验证

trump.yaml

yaml 复制代码 
apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: default
  namespace: trump
spec:
  mtls:
    mode: STRICT

部署生效

bash 复制代码 
kubectl apply -f trump.yaml

测试访问

bash 复制代码 
for from in trump baiden kim;do \
  for to in trump baiden kim;do \
    kubectl exec deploy/sleep -n ${from} \
    -- curl http://httpbin.${to}:8000/ip -s -o /dev/null \
    -w "${from}.sleep to ${to}.httpbin: %{http_code}\n";\
  done;\
done

测试下来由于trump对mtls进行了限制,因为trump和baiden都是由Istio进行管理,trump的sleep和baiden的httpbin访问trump的httpbin都是正常.

kim是非Istio管理,当kim.sleep访问trump的httpbin时因为没有mtls被拒绝

恢复配置

bash 复制代码 
kubectl delete pa -n trump default

4. Label Selector级别mtls限制

仅对baiden的httpbin进行mtls限制

mtls/labelselector.yaml

yaml 复制代码 
apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: httpbin
  namespace: "baiden"
spec:
  selector:
    matchLabels:
      app: httpbin
  mtls:
    mode: STRICT

应用配置

bash 复制代码 
kubectl apply -f mtls/labelselector.yaml
kubectl get pa -n baiden

访问测试

bash 复制代码 
for from in trump baiden kim;do \
  for to in trump baiden kim;do \
    kubectl exec deploy/sleep -n ${from} \
    -- curl http://httpbin.${to}:8000/ip -s -o /dev/null \
    -w "${from}.sleep to ${to}.httpbin: %{http_code}\n";\
  done;\
done

此时:

trump因为是受Istio管理,访问baiden的httpbin时带有证书,访问被允许

baiden因为是受Istio管理,访问baiden的httpbin时带有证书,访问被允许

kim因为不受Istio管理,访问baiden的httpbin时未带有证书,访问被拒绝

清除配置

bash 复制代码 
kubectl delete pa -n baiden httpbin

5. 端口级别mtls

使用portLevelMtls参数来实现端口级别的mtls限制.即除了8080端口,都使用mtls

mtls/prot.yaml

yaml 复制代码 
apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: httpbin
  namespace: "baiden"
spec:
  selector:
    matchLabels:
      app: httpbin
  mtls:
    mode: STRICT
  portLevelMtls:
    8080:
      mode: DISABLE

部署生效

bash 复制代码 
kubectl apply -f mtls/prot.yaml

访问测试

bash 复制代码 
for from in trump baiden kim;do \
  for to in trump baiden kim;do \
    kubectl exec deploy/sleep -n ${from} \
    -- curl http://httpbin.${to}:8000/ip -s -o /dev/null \
    -w "${from}.sleep to ${to}.httpbin: %{http_code}\n";\
  done;\
done

此时由于排除的是8080端口,我们访问的是80端口,所以80端口是受mtls管理的:

trump因为是受Istio管理,访问baiden的httpbin时带有证书,访问被允许

baiden因为是受Istio管理,访问baiden的httpbin时带有证书,访问被允许

kim因为不受Istio管理,访问baiden的httpbin时未带有证书,访问被拒绝

6. 策略优先级

开启namespace级别的mtls

bash 复制代码 
kubectl apply -f mtls/trump.yaml

当端口级别的mtls和命名空间级别的发生了冲突时,以更细的规则为准

mtls/trumplabels.yaml

yaml 复制代码 
apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: trumphttpbin
  namespace: trump
spec:
  selector:
    matchLabels:
      app: httpbin
  mtls:
    mode: DISABLE

生效配置

bash 复制代码 
kubectl apply -f mtls/labelselector.yaml

访问测试

bash 复制代码 
for from in trump baiden kim;do \
  for to in trump baiden kim;do \
    kubectl exec deploy/sleep -n ${from} \
    -- curl http://httpbin.${to}:8000/ip -s -o /dev/null \
    -w "${from}.sleep to ${to}.httpbin: %{http_code}\n";\
  done;\
done

因为trump服务级别的httpbin DISABLE生效,所以kim访问trump的httpbin被允许

至此备考ICA----Istio实验15---开启 mTLS 自动双向认证实验完成

相关推荐
风语者日志1 天前
CTFSHOW—WEB4
网络·安全·web安全·网络安全·ctf
朝新_1 天前
【EE初阶 - 网络原理】传输层协议
java·开发语言·网络·笔记·javaee
小吴-斌1 天前
本地请求接口报SSL错误解决办法(Could not verify * SSL certificate)
网络·网络协议·ssl
AORO20251 天前
航运、应急、工业适用,AORO P1100三防平板引领行业数字化变革
运维·服务器·网络·智能手机·电脑·信息与通信
云飞云共享云桌面1 天前
替代传统电脑的共享云服务器如何实现1拖8SolidWorks设计办公
linux·运维·服务器·网络·电脑·制造
没有bug.的程序员1 天前
分布式架构未来趋势:从云原生到智能边缘的演进之路
java·分布式·微服务·云原生·架构·分布式系统
AI云原生1 天前
云原生系列Bug修复:Docker镜像无法启动的终极解决方案与排查思路
运维·服务器·python·docker·云原生·容器·bug
RollingPin1 天前
iOS八股文之 网络
网络·网络协议·ios·https·udp·tcp·ios面试
三坛海会大神5551 天前
k8s(八)Ingress详解
云原生·容器·kubernetes
荣光波比1 天前
K8S(十三)—— Helm3从入门到实战:简化Kubernetes应用部署与管理
云原生·容器·kubernetes
热门推荐
01GitHub 镜像站点02BongoCat - 跨平台键盘猫动画工具03UV安装并设置国内源04Linux下V2Ray安装配置指南05GitLab 零基础入门指南:从安装到项目管理全流程06NVIDIA显卡驱动、CUDA、cuDNN 和 TensorRT 版本匹配指南07一文了解国产算子编程语言 TileLang,TileLang 对国产开源生态的影响与启示08KGG转MP3工具|非KGM文件|解密音频092025软件测试面试八股文(含答案+文档)10在VSCode配置Java开发环境的保姆级教程(适配各类AI编程IDE)