当前位置：首页 > news >正文

备考ICA----Istio实验15---开启 mTLS 自动双向认证实验

news 文章来源：https://blog.csdn.net/qq_29974229/article/details/137255569 2024/10/25 10:22:28

备考ICA----Istio实验15—开启mTLS自动双向认证实验

在某些生成环境下,我们希望微服务和微服务之间使用加密通讯方式来确保不被中间人代理.
默认情况下Istio 使用 PERMISSIVE模式配置目标工作负载,PERMISSIVE模式时,服务可以使用明文通讯.为了只允许双向 TLS 流量，需要将配置更改为 STRICT 模式。

1. 环境准备

kubectl create ns kim
kubectl create ns trump
kubectl create ns baiden

为3个命名空间创建服务
其中trump和baiden2个命名空间是有Istio sidecar注入的

kubectl apply -f <(istioctl kube-inject -f istio/samples/httpbin/httpbin.yaml) -n trump
kubectl apply -f <(istioctl kube-inject -f istio/samples/httpbin/httpbin.yaml) -n baiden
kubectl apply -f <(istioctl kube-inject -f istio/samples/sleep/sleep.yaml) -n trump
kubectl apply -f <(istioctl kube-inject -f istio/samples/sleep/sleep.yaml) -n baiden

kim命名空间中的pod是没有Istio注入的

kubectl apply -f istio/samples/httpbin/httpbin.yaml -n kim
kubectl apply -f istio/samples/sleep/sleep.yaml -n kim

确认容器的sidecar注入情况

kubectl get pods -A -l app=httpbin
kubectl get pods -A -l app=sleep

在这里插入图片描述

访问测试

for from in trump baiden kim;do \for to in trump baiden kim;do \kubectl exec deploy/sleep -n ${from} \-- curl http://httpbin.${to}:8000/ip -s -o /dev/null \-w "${from}.sleep to ${to}.httpbin: %{http_code}\n";\done;\
done

可以看到由于现在没对访问实时mtls所有所有访问都是成功的.
在这里插入图片描述

2. 所有命名空间mtls

对全局做mtls限制.
mtls/strict.yaml

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:name: defaultnamespace: "istio-system"
spec:mtls:mode: STRICT

生效配置

kubectl apply -f mtls/strict.yaml

访问测试

for from in trump baiden kim;do \for to in trump baiden kim;do \kubectl exec deploy/sleep -n ${from} \-- curl http://httpbin.${to}:8000/ip -s -o /dev/null \-w "${from}.sleep to ${to}.httpbin: %{http_code}\n";\done;\
done

可以看到做了mtls后,对trump和baiden两个由Istio管控的可以互相访问,并可以访问没有被管理的kim空间.
但没有被Istio管理的kim空间是无法访问由Istio管理的trump和baiden中的httpbin服务.

在这里插入图片描述
清理全局全局认证策略，为下一个实验做准备

kubectl delete pa -n istio-system default

在这里插入图片描述

3. 命名空间级别mtls

仅对trump命名看空间进行mtls验证
trump.yaml

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:name: defaultnamespace: trump
spec:mtls:mode: STRICT

部署生效

kubectl apply -f trump.yaml

在这里插入图片描述
测试访问

for from in trump baiden kim;do \for to in trump baiden kim;do \kubectl exec deploy/sleep -n ${from} \-- curl http://httpbin.${to}:8000/ip -s -o /dev/null \-w "${from}.sleep to ${to}.httpbin: %{http_code}\n";\done;\
done

测试下来由于trump对mtls进行了限制,因为trump和baiden都是由Istio进行管理,trump的sleep和baiden的httpbin访问trump的httpbin都是正常.
kim是非Istio管理,当kim.sleep访问trump的httpbin时因为没有mtls被拒绝
在这里插入图片描述
恢复配置

kubectl delete pa -n trump default

在这里插入图片描述

4. Label Selector级别mtls限制

仅对baiden的httpbin进行mtls限制
mtls/labelselector.yaml

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:name: httpbinnamespace: "baiden"
spec:selector:matchLabels:app: httpbinmtls:mode: STRICT

应用配置

kubectl apply -f mtls/labelselector.yaml
kubectl get pa -n baiden

在这里插入图片描述
访问测试

for from in trump baiden kim;do \for to in trump baiden kim;do \kubectl exec deploy/sleep -n ${from} \-- curl http://httpbin.${to}:8000/ip -s -o /dev/null \-w "${from}.sleep to ${to}.httpbin: %{http_code}\n";\done;\
done

此时:
trump因为是受Istio管理,访问baiden的httpbin时带有证书,访问被允许
baiden因为是受Istio管理,访问baiden的httpbin时带有证书,访问被允许
kim因为不受Istio管理,访问baiden的httpbin时未带有证书,访问被拒绝

在这里插入图片描述
清除配置

kubectl delete pa -n baiden httpbin

在这里插入图片描述

5. 端口级别mtls

使用portLevelMtls参数来实现端口级别的mtls限制.即除了8080端口,都使用mtls
mtls/prot.yaml

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:name: httpbinnamespace: "baiden"
spec:selector:matchLabels:app: httpbinmtls:mode: STRICTportLevelMtls:8080:mode: DISABLE

部署生效

kubectl apply -f mtls/prot.yaml

访问测试

for from in trump baiden kim;do \for to in trump baiden kim;do \kubectl exec deploy/sleep -n ${from} \-- curl http://httpbin.${to}:8000/ip -s -o /dev/null \-w "${from}.sleep to ${to}.httpbin: %{http_code}\n";\done;\
done

此时由于排除的是8080端口,我们访问的是80端口,所以80端口是受mtls管理的:
trump因为是受Istio管理,访问baiden的httpbin时带有证书,访问被允许
baiden因为是受Istio管理,访问baiden的httpbin时带有证书,访问被允许
kim因为不受Istio管理,访问baiden的httpbin时未带有证书,访问被拒绝
在这里插入图片描述

6. 策略优先级

开启namespace级别的mtls

kubectl apply -f mtls/trump.yaml

在这里插入图片描述
当端口级别的mtls和命名空间级别的发生了冲突时,以更细的规则为准
mtls/trumplabels.yaml

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:name: trumphttpbinnamespace: trump
spec:selector:matchLabels:app: httpbinmtls:mode: DISABLE

生效配置

kubectl apply -f mtls/labelselector.yaml

在这里插入图片描述

访问测试

for from in trump baiden kim;do \for to in trump baiden kim;do \kubectl exec deploy/sleep -n ${from} \-- curl http://httpbin.${to}:8000/ip -s -o /dev/null \-w "${from}.sleep to ${to}.httpbin: %{http_code}\n";\done;\
done

因为trump服务级别的httpbin DISABLE生效,所以kim访问trump的httpbin被允许
在这里插入图片描述
至此备考ICA----Istio实验15—开启 mTLS 自动双向认证实验完成

备考ICA----Istio实验15---开启 mTLS 自动双向认证实验

备考ICA----Istio实验15—开启mTLS自动双向认证实验在某些生成环境下,我们希望微服务和微服务之间使用加密通讯方式来确保不被中间人代理. 默认情况下Istio 使用 PERMISSIVE模式配置目标工作负载,PERMISSIVE模式时,服务可以使用明文通讯.为了只允许双向 TLS 流量，…...

编程日记 2024/4/8 13:28:26

Hive SchemaTool 命令详解

Hive schematool 是 hive 自带的管理 schema 的相关工具。列出详细说明 schematool -help直接输入 schematool 或者schematool -help 输出结果如下： usage: schemaTool-alterCatalog <arg> Alter a catalog, requires--catalogLocation an…...

编程日记 2024/4/8 13:27:24

51单片机入门_江协科技_17~18_OB记录的笔记

17. 定时器 17.1. 定时器介绍：51单片机的定时器属于单片机的内部资源，其电路的连接和运转均在单片机内部完成，无需占用CPU外围IO接口； 定时器作用： （1）用于计时系统，可实现软件计时&…...

编程日记 2024/4/8 13:26:23

xss.pwnfunction-Ah That‘s Hawt

编程日记 2024/4/8 13:24:22

Python学习从0开始——005数据结构

Python学习从0开始——005数据结构一、列表list二、元组和序列三、集合四、字典五、循环技巧六、条件控制七、序列和其它类型的比较一、列表list 不是所有数据都可以排序或比较。例如，[None, ‘hello’, 10] 就不可排序，因为整数不能与字符串对比&…...

编程日记 2024/4/8 13:22:19

力扣每日一题：LCR112--矩阵中的最长递增路径

题目给定一个 m x n 整数矩阵 matrix ，找出其中最长递增路径的长度。对于每个单元格，你可以往上，下，左，右四个方向移动。不能在对角线方向上移动或移动到边界外（即不允许环绕）。示例…...

编程日记 2024/4/8 13:21:18

树莓派部署yolov5实现目标检测（ubuntu22.04.3）

最近两天搞了一下树莓派部署yolov5，有点难搞（这个东西有点老，版本冲突有些包废弃了等等） 最后换到ubuntu系统弄了，下面是我的整体步骤（建议先使能一下ssh（最下面有），结合…...

编程日记 2024/4/8 13:19:16

2024 年最新使用 Wechaty 开源框架搭建部署微信机器人（微信群智能客服案例）

读取联系人信息获取当前机器人账号全部联系人信息 bot.on(ready, async () > {console.log("机器人准备完毕！！！")let contactList await bot.Contact.findAll()for (let index 0; index < contactList.length; index) {…...

编程日记 2024/4/8 13:18:15

Redis从入门到精通(九)Redis实战(六)基于Redis队列实现异步秒杀下单

↑↑↑请在文章开头处下载测试项目源代码↑↑↑ 文章目录前言4.5 分布式锁-Redisson4.5.4 Redission锁重试4.5.5 WatchDog机制4.5.5 MutiLock原理 4.6 秒杀优化4.6.1 优化方案4.6.2 完成秒杀优化 4.7 Redis消息队列4.7.1 基于List实现消息队列4.7.2 基于PubSub的消息队列4.7.…...

编程日记 2024/4/8 13:17:13

什么是多路复用器滤波器

本章将更深入地介绍多路复用器滤波器，以及它们如何用于各种应用中。您将了解到多路复用器如何帮助设计人员创造出更复杂的无线产品。了解多路复用器多路复用器是一组射频(RF)滤波器，它们组合在一起，但不会彼此加载，可以在输出之…...

编程日记 2024/4/8 13:15:11

Severt和tomcat的使用(补充）

打包程序在pom.xml中添加上述代码之后打包时会生成war包并且包的名称是test 默认情况打的是jar包.jar里量但是tomcat要求的是war包. war包Tomcat专属的压缩包. war里面不光有.class还有一些tomcat要求的配置文件(web.xml等)还有前端的一些代码(html, css, js) 点击其右边的m…...

编程日记 2024/4/8 13:14:10

JavaEE初阶——多线程(一)

T04BF 👋专栏: 算法|JAVA|MySQL|C语言 🫵 小比特大梦想此篇文章与大家分享多线程的第一部分:引入线程以及创建多线程的几种方式此文章是建立在前一篇文章进程的基础上的如果有不足的或者错误的请您指出! 1.认识线程我们知道现代的cpu大多都是多核心…...

编程日记 2024/4/8 13:11:07

MongoDB主从复制模式基于银河麒麟V10系统

MongoDB主从复制模式基于银河麒麟V10系统背景介绍 MongoDB自4.0版本开始已经不再建议使用传统的master/slave复制架构，而是全面采用了复制集（Replica Sets）作为标准的复制和高可用性解决方案。复制集是MongoDB的一种数据复制和高可用性机制，通过异步同步数据至多个服务…...

编程日记 2024/4/8 13:10:05

Vue使用高德地图

1.在高德平台注册账号 2.我的 > 管理管理中添加Key 3.安装依赖 npm i amap/amap-jsapi-loader --save 或 yarn add amap/amap-jsapi-loader --save 4.导入 AMapLoade import AMapLoader from amap/amap-jsapi-loader; 5.直接上代码，做好了注释（初始化…...

编程日记 2024/4/8 13:06:02

2024-04-07（复盘前端）

---HTML 1.HTMl骨架 html：整个网页 head：网页头部，用来存放给浏览器看的信息，如css body：网页主体，用来存放给用户看的信息，例如图片和文字 2.标题标签中h1标签只能使用一次，其…...

编程日记 2024/4/8 13:05:01

SpringCloud学习(10)-SpringCloudAlibaba-Nacos服务注册、配置中心

Spring Cloud Alibaba 参考文档 Spring Cloud Alibaba 参考文档 nacos下载Nacos 快速开始直接进入bin包运行cmd命令：startup.cmd -m standalone 运行成功后通过http://localhost:8848/nacos进入nacos可视化页面，账号密码默认都是nacos Nacos服务注…...

编程日记 2024/4/8 13:02:59

OKCC外呼中心配置的电话系统规则

OKCC外呼中心配置电话系统规则可能涉及多个方面，包括呼叫路由、自动化流程、电话接听策略等。以下是一般步骤及注意事项： 呼叫路由配置： 确定呼叫中心的呼叫路由策略，包括如何分配呼叫给不同的坐席或部门。设置呼叫路由规则&#…...

编程日记 2024/4/8 13:01:58

AI推介-大语言模型LLMs论文速览（arXiv方向）：2024.03.31-2024.04.05

文章目录~ 1.AutoWebGLM: Bootstrap And Reinforce A Large Language Model-based Web Navigating Agent2.Training LLMs over Neurally Compressed Text3.Unveiling LLMs: The Evolution of Latent Representations in a Temporal Knowledge Graph4.Visualization-of-Thought …...

编程日记 2024/4/8 13:00:57

备考ICA----Istio实验15—开启mTLS自动双向认证实验

1. 环境准备

2. 所有命名空间mtls

3. 命名空间级别mtls

4. Label Selector级别mtls限制

5. 端口级别mtls

6. 策略优先级

相关文章：