Istio 为网格中的微服务提供了较为完善的安全加固功能,在不影响代码的前提下,可以从多个角度提供安全支撑,官方文档做了较为详细的介绍,但是也比较破碎,这里尝试做个简介兼索引,实现过程还是要根据官方文档进行。Istio 的安全功能主要分为三个部分的实现:双向 TLS 支持。基于黑白名单的访问控制。基于角色的访问控制。JWT 认证支持。首先回顾一下 Istio 网格中的服务通信过程:利用自动或者手工
原创
2021-05-28 09:52:08
212阅读
传统方式下Envoy证书是通过secret卷挂载的方式以文件挂载到sidecar容器中,当证书发生轮转时需要重启服务让Envoy重新加载证书;同时证书私钥在secret中存储并在服务节点外跨节点传输的方式也存在明显的安全漏洞。为此Istio1.1版本后增加了SDS(Secret Discovery ...
转载
2021-08-27 15:33:00
857阅读
2评论
Istio安全概述作为服务网格的事实标准,极大地降低微服务架构下流量管理的复杂度往往是Istio最为引入注目的特性,但事实上,随着越来越多的服务从单体架构向微服务架构演进,模块间由最初的函数调用转变为进程间通信,微服务间通信的安全性,服务的访问策略控制以及如何降低大规模场景下安全配置的复杂度等问题同样亟待解决。当然,Istio给出了一套完整的框架用于解决这些问题,与对流量管理的处理类似,这套框架不
原创
2021-05-25 10:09:58
632阅读
本质其实就是设置谁可以访问,谁不可以访问。默认命名空间是没有AuthorizationPolicy---允许所有的客户端访问。如果对Pod1生成两个策
原创
2023-08-05 00:45:02
146阅读
守卫网格:配置TLS安全网关Istio1.5的安全更新:SDS(安全发现服务)趋于稳定、默认开启对等认证和请求认证配置分离自动mTLS从alpha变为beta,默认开启Nodeagent和Pilotagent合并,简化Pod安全策略的配置支持first-party-jwt(ServiceAccountToken)作为third-party-jwt的备用…...安全发现服务(SDS):身份和证书管理
原创
2020-12-23 16:11:49
3093阅读
点赞
生成服务器证书和私钥 创建一个根证书和私钥以为您的服务所用的证书签名: $ openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -subj '/O=example Inc./CN=example.com' -keyout examp ...
转载
2021-08-27 18:27:00
196阅读
2评论
mTLS (mutual TLS,双向TLS): 让客户端和服务器端通信的时候都必须进行TLS认证默认情况下,在网格内部默认启用了mTLS了。
原创
2023-08-05 00:44:58
188阅读
一、认证方式基于mTLS的对等身份认证基于JWT令牌的服务请求认证Istio构建了面向应用的零信任安全体系,不管来自外部服务的访问,还是内部服务的访问,默认都是不可信任的。因此所有服务间的访问都必须基于认证,内部两个服务间的访问流量在网络上也要进行加密。二、安全认证相关组件Citadel:安全核心组件istiod中的Citadel实现了一个CA,用于密钥和证书管理。Envoy:作为服务网格数据面组
原创
2024-03-29 08:37:57
78阅读
1 tls认证2 设置ACL 允许哪些客户端可以访问 哪些客户端不能访问 istio里面的认证加密是可以分为三种类型对称加
原创
2023-07-22 08:25:52
129阅读
单体应用拆分为微服务之后,提高了开发效率,增加系统系统稳定性,提高运维效率等等一系列的好处,但随之也带来了安全方面的风险,之前都是本地调用,现在都改为走网络协议调用接口,今天着重介绍的是微服务架构中的新贵Istio中安全模块分析,Istio安全的三大目标:默认安全(Securitybydefault):应用程序代码和基础结构无需更改。深度防御(Defenseindepth):与现有安全系统集成,提
原创
2019-03-13 13:58:35
1338阅读
点赞
单体应用拆分为微服务之后,提高了开发效率,增加系统系统稳定
原创
2022-11-30 19:30:02
197阅读
前言如果你比较关注新兴技术的话,那么很可能在不同的地方听说过 istio,并且知道它和 service mesh 有着牵扯。这篇文章可以作为了解 istio 的入门介绍,了解什么是 istio,istio 为什么最近这么火,以及 istio 能够我们带来什么好处。什么是 istio?官方对 istio 的介绍浓缩成了一句话:An open platform to connect, secure,
转载
2024-03-24 15:26:16
56阅读
首先需要搭建docker+k8s环境,如何搭建这里就不再赘述,可以自行搜索。打开命令行,运行命令:curl -L https://git.io/getLatestIstio | ISTIO_VERSION=1.1.3 sh -获取最新版本istio并解压,接着进入istio目录:cd istio-1.1.3该目录下包含:在 install/ 目录中包含了 Kubernetes
转载
2023-07-22 12:42:34
239阅读
按照此流程利用 Istio 容器网络接口(CNI)来安装、配置和使用 Istio 网格。默认情况下,Istio 会在网格中部署的 Pods 上注入一个 initContainer:istio-init。istio-init 容器会将 Pod 的网络流量劫持到 Istio sidecar 代理上。这需要用户或部署 Pods 的 Service Account 具有足够的部署 NET_ADMIN 容器
转载
2024-04-29 15:55:53
105阅读
一、原理 1. Istio概述 相关概念: 微服务:以一组小型服务来开发单个应用程序的方法,服务间采用轻量级通信机制。 好处:功能内聚、变更独立、便于敏捷升级 问题:网络可靠性、通信安全、网络时延、拓扑变化;需
转载
2024-03-21 14:31:20
0阅读
文章目录基本原理istio与服务治理关于微服务服务治理的三种形态第1种:在应用程序中包含治理逻辑第2种:治理逻辑独立的代码第3种:治理逻辑独立的进程Istio与kubernetesIstio的工作机制Istio的重要组件Istio-pilotistio-Mixeristio-citadelistio-galleyistio-sidecar-injectoristio-proxy其他组件 基本原
转载
2024-03-05 17:20:41
0阅读
简单来说,Sidecar 注入会将额外容器的配置添加到 Pod 模板中。这里特指将Envoy容器注应用所在Pod中。Istio 服务网格目前所需的容器有:
istio-init 用于设置 iptables 规则,以便将入站/出站流量通过 Sidecar 代理。
概念简单来说,Sidecar 注入会将额外容器的配置添加到 Pod 模板中。这里特指将Envo
转载
2023-08-03 11:00:58
222阅读
背景介绍本文其实是因为openkruise/rollouts的原因而起,这里先简单介绍下背景openkruise/rollouts与argo rollout是非常相似的项目,都是支持Canary Release的CD项目多少是因为由于argo rollout在处理workload上的不便导致了openkruise/rollouts项目的诞生。具体来说,argo rollout定义了一个Rollou
转载
2024-06-20 08:43:51
142阅读
Istio 是什么?云平台令使用它们的公司受益匪浅。但不可否认的是,上云会给 DevOps 团队带来压力。为了可移植性,开发人员必须使用微服务来构建应用,同时运维人员也正在管理着极端庞大的混合云和多云的部署环境。 Istio 允许您连接、保护、控制和观察服务。从较高的层面来说,Istio 有助于降低这些部署的复杂性,并减轻开发团队的压力。它是一个完全开源的服务网格,作为透明的一层接入到现有的分布式
转载
2024-05-11 18:33:18
74阅读
istio路由配置## istio的代理配置参考文档:中文文档: https://istio.io/zh/docs/reference/config/istio.networking.v1alpha3/
英文文档: https://istio.io/docs/reference/config/istio.networking.v1alpha3/
1.Istio v1aplha
转载
2024-04-30 17:53:28
119阅读
