PeerAuthentication详解

最新推荐文章于 2024-09-26 10:19:20 发布
最新推荐文章于 2024-09-26 10:19:20 发布
阅读量1k 收藏
点赞数
分类专栏: k8s实战之kubectl源码分析 文章标签: 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hxpjava1/article/details/117414262
版权
该公众号分享了一系列关于Istio的文章,涵盖多集群部署、链路追踪、故障注入、业务权限控制、 EnvoyFilter 使用等多个方面,深入探讨Istio的安全配置,包括PeerAuthentication的模式设置及其对工作负载的影响,帮助读者理解并掌握Istio的高级用法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 欢迎关注我的公众号:

 目前刚开始写一个月,一共写了18篇原创文章,文章目录如下:

istio多集群探秘,部署了50次多集群后我得出的结论

istio多集群链路追踪,附实操视频

istio防故障利器,你知道几个,istio新手不要读,太难!

istio业务权限控制,原来可以这么玩

istio实现非侵入压缩,微服务之间如何实现压缩

不懂envoyfilter也敢说精通istio系列-http-rbac-不要只会用AuthorizationPolicy配置权限

不懂envoyfilter也敢说精通istio系列-02-http-corsFilter-不要只会vs

不懂envoyfilter也敢说精通istio系列-03-http-csrf filter-再也不用再代码里写csrf逻辑了

不懂envoyfilter也敢说精通istio系列http-jwt_authn-不要只会RequestAuthorization

不懂envoyfilter也敢说精通istio系列-05-fault-filter-故障注入不止是vs

不懂envoyfilter也敢说精通istio系列-06-http-match-配置路由不只是vs

不懂envoyfilter也敢说精通istio系列-07-负载均衡配置不止是dr

不懂envoyfilter也敢说精通istio系列-08-连接池和断路器

不懂envoyfilter也敢说精通istio系列-09-http-route filter

不懂envoyfilter也敢说精通istio系列-network filter-redis proxy

不懂envoyfilter也敢说精通istio系列-network filter-HttpConnectionManager

不懂envoyfilter也敢说精通istio系列-ratelimit-istio ratelimit完全手册

学习目标

什么是PeerAuthentication

PeerAuthentication defines how traffic will be(mtls) tunneled (or not) to the sidecar.

资源详解

FieldTypeDescriptionRequired
selectorWorkloadSelectorThe selector determines the workloads to apply the ChannelAuthentication on. If not set, the policy will be applied to all workloads in the same namespace as the policy.No
mtlsMutualTLSMutual TLS settings for workload. If not defined, inherit from parent.No
portLevelMtlsmapPort specific mutual TLS settings.No

没有selector

全局有效

pa-default-global.yaml

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: default
  namespace: istio-system
spec:
  mtls:
    mode: STRICT

For mesh level, put the policy in root-namespace according to your Istio installation.

默认工作负载都启用mtls

关闭productpage mtls

dr-productpage-mtls-disable.yaml

apiVersion: networking.istio.io/v1beta1
kind: DestinationRule
metadata:
  name: productpage
spec:
  host: productpage
  subsets:
  - labels:
      version: v1
    name: v1
  trafficPolicy:
    tls:
      mode: DISABLE

访问失败

名称空间有效

pa-default.yaml

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: default
spec:
  mtls:
    mode: STRICT

selector

pa-productpage-selector.yaml

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: productpage
spec:
  selector:
    matchLabels:
      app: productpage
  mtls:
    mode: STRICT

mtls

PeerAuthentication.MutualTLS.Mode

NameDescription
UNSETInherit from parent, if has one. Otherwise treated as PERMISSIVE.
DISABLEConnection is not tunneled.
PERMISSIVEConnection can be either plaintext or mTLS tunnel.
STRICTConnection is an mTLS tunnel (TLS with client cert must be presented).

mode

UNSET

pa-productpage-mode-UNSET.yaml

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: productpage
spec:
  selector:
    matchLabels:
      app: productpage
  mtls:
    mode: UNSET

DISABLE

pa-productpage-mode-DISABLE.yaml

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: productpage
spec:
  selector:
    matchLabels:
      app: productpage
  mtls:
    mode: DISABLE

PERMISSIVE

pa-productpage-mode-PERMISSIVE.yaml

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: productpage
spec:
  selector:
    matchLabels:
      app: productpage
  mtls:
    mode: PERMISSIVE

STRICT

pa-productpage-mode-STRICT.yaml

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: productpage
spec:
  selector:
    matchLabels:
      app: productpage
  mtls:
    mode: STRICT

portLevelMtls

pa-productpage-portLevelMtls.yaml

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: productpage
spec:
  selector:
    matchLabels:
      app: productpage
  mtls:
    mode: STRICT
  portLevelMtls:
    9080:
      mode: DISABLE
四、 helm3的内置对象详解
margu_168的博客
05-15 262
2).Values 对象 描述的是value.yaml 文件(定义变量的文件)中的内容,默认为空。.Capabilities.KubeVersion和.Capabilities.KubeVersion.Version 都用于获取kubernetes 的版本号。.Template.Name 用于获取当前模板的名称和路径(例如:mychart/templates/mytemplate.yaml).Release.Name release 的名称。
笔记:Istio & 组件 基础概念学习
wifiiii的博客
02-26 4914
文章目录1. Istio是什么?1.1 读音1.2 简介1.3 服务网格是什么?1.4 为什么使用Isito?1.5 Istio 是如何诞生的?1.6 为什么我想用 ISTIO?1.7 目前Istio支持哪些部署环境?1.8 架构1.8.1 组件1.8.1.1 Envoy1.8.1.2 Pilot1.8.1.3 Citadel1.8.1.4 Galley1.8.2 设计目标2. 核心特性2.1 流量管理2.1.1 Istio 流量管理介绍2.1.2 虚拟服务2.1.2.1 为什么使用虚拟服务?2.1.2.1
Istio 安全 mTLS认证 PeerAuthentication
小楼一夜听春雨,深巷明朝卖杏花
08-01 1642
mTLS (mutual TLS,双向TLS): 让客户端和服务器端通信的时候都必须进行TLS认证默认情况下,在网格内部默认启用了mTLS了。在网格里面所有的pod, 不管是istio使用到的pod,还是普通创建的pod1 pod2,都会通过mtls来进行通信,也就是互相认证。上面其实就演示了网格之外的主机要和pod通信的时候必须得要建立这样一个mtls的通信。对于网格之外的主机,网格外面的主机和pod通信的时候并没有要求使用tls认证。STRICT:工作负载仅接受双向TLS通信。
PeerAuthentication 和 RequestAuthentication
最新发布
wangqiaowq的博客
09-26 393
用于服务间通信的安全认证。:用于客户端请求的身份验证。通过这两个配置对象,Istio 提供了强大的安全机制,确保服务网格内部以及外部客户端请求的安全性。
istio 认证:对等身份认证+服务请求认证
MaoVazquez的博客
12-19 1020
metadata:name: testspec:selector:app: testmtls:3001:selector 选择器istio 通过 selector 选择认证策略作用的负载selector 可以为空,表示该认证策略配置给指定命名空间或服务网格全局selector:app: testmtls 认证配置STRICT:典型用法,只接收双向 TLS 的流量PERMISSIVE:既可以接收双向 TLS 流量,也可以接收飞加密流量DISABLE:禁用双向 TLS。
PostgreSQL简介(四)—— Client Authentication
迷途的攻城狮
07-25 3304
1、客户端身份认证 与Unix计算机用户登陆类似,客户端应用程序通过指定的数据库用户名登陆数据库服务器。数据库用户名决定了客户端程序的访问权限,因此,明确哪些用户可以连接到数据库显得尤为重要。 PostgreSQL提供了好几种客户端身份认证方式,这些验证方式基于client host、database、user来进行特定的客户端身份认证。 PostgreSQL server的数据库用户与Po...
Istio中的安全策略
JosephThatwho的博客
03-15 807
微服务带来灵活性、可伸缩性和复用性的同时,还需要考虑一下安全问题: 使用流量加密组织中间人攻击 提供灵活的访问控制,比如双向TLS加密和细粒度的访问策略 检索谁在什么时间做了什么操作,这需要审计工具 Istio可以处理内外部的威胁,给数据、端点、通信和平台提供安全性。 Istio提供了强身份认证、权限策略、传输TLS加密以及认证、授权和审计(AAA)工具。 上层架构 Istio的安全性涉及多个部分: 用于密钥和证书管理的证书颁发机构(CA) 配置API服务器分发给代理 认证策略 鉴权策略 安全命名
Red Hat Service Mesh教程:Envoy与Istio控制平面详解
### 知识点详解 #### 1. Red Hat Service Mesh 简介 Red Hat Service Mesh是基于Istio的服务网格解决方案,它提供了一种在微服务架构中管理服务间通信的简便方式。服务网格通过代理自动注入到服务间通信路径中,...
【C#微服务架构详解】:将IP地址查询服务微服务化
!... # 摘要 微服务架构是现代软件工程中的重要模式,它通过将大型应用分解为一组小而松耦合的服务来提升系统的可维护性、可扩展性以及容错性。本文首先介绍了微服务架构的基本概念,并与单体架构进行了对比。...
【Tuner服务网格技术详解】:微服务架构下的通信优化之道
!... # 摘要 微服务架构以其灵活性和可扩展性成为现代分布式系统开发的首选模式。然而,随之而来的通信挑战和服务治理问题也日益显著。本文探讨了服务网格技术的基础,包括其定义、架构核心组件、工作原理以及实现技术...
HTTPS原理以及Java实现
清箫的专栏
12-07 6103
HTTPS协议是HTTP协议和SSL协议的结合体,使用HTTPS发送数据意味着消息首先经过SSL加密,然后通过HTTP协议转发,最后再由接收方的SSL解密。 都知道SSL/TLS使用了非对称加密(RAS或DSA),但非对称加密是很复杂而且很慢的。所以在实际中,客户端拿到第三方CertificateAuthority提供的数字证书(包含公钥),解出公钥之后并不是直接用公钥对数据做非对称加密。而是利
PostgreSQL: IDENT authentication failed for user postgres
BRUNI (不如你) 's CSDN BLOG
09-21 9204
PostgreSQL: IDENT authentication failed for user postgres出现这个问题是因为PostgreSQL的Client Authentication 使用了ident authentication. 通过修改pg_hda.conf可以解决.Ref: http://www.postgresql.org/docs/8.1/interactive/cl
Postgres 解决"Peer authentication failed for user 'postgres'"的问题
weixin_34326429的博客
04-17 336
为什么80%的码农都做不了架构师?>>> ...
PostgreSQL提示:‘psql: FATAL: ”Peer authentication failed for user ”postgres“’错误
weixin_42555131的博客
07-03 8507
#将文件Database administrative 下列中的peer改为trust $sudo nano /etc/postgresql/10/main/pg_hba.conf #重新加载配置 $sudo /etc/init.d/portgresql reload #peer(不可信),trust(可信),md5(加密)          ...
FATAL: Peer authentication failed for user "postgres" 解决方法
万里归来少年心
04-02 7078
使用如下命令创建数据库mydb时,会抛出错误: [root@April ~]# createdb mydb createdb: could not connect to database template1: FATAL: role "root" does not exist mydb是待创建的数据库名称,root是用户名。由于在postgreSQL数据库中没有名为root...
[istio]istio学习笔记
小小李的博客
12-27 730
1.k8s部署,可以参考k8s部署 2.下载istio curl -L https://istio.io/downloadIstio | sh - 将istio的bin加入到环境变量 [root@master ~]# cat ~/.bash_profile |grep istio PATH=/home/yunwei/istio-1.5.1/bin:$PATH:$HOME/bin 3.安装istio istioctl manifest apply --set profile=demo .
Istio的安全性
Linux_cui的博客
08-14 443
istio安全认证
Istio安全架构--理解身份/认证/授权
网络安全研究
04-08 2722
Istio 安全的目标是: - 默认安全:应用程序代码和基础设施无需更改 - 深度防御:与现有安全系统集成以提供多层防御 - 零信任网络:在不受信任的网络上构建安全解决方案
五、信息安全术语中英文词条对照表
网络安全领域优质创作者
11-09 1957
序号 中文词条 英文词条 (N)中继 (N)-relay 抽象语法 abstract syntax 访问/存取 access 访问控制 access control 访问(存取)控制证书 access control certificate 访问控制判决功能 Access control Decision Function(ADF) 访问控制判决信息 Access control Decision Information(ADI) 访问控制实施功能 Access contro
Oracle LSNRCTL 命令详解与应用
"Oracle的lsnrctl工具是一个用于管理和控制Oracle数据库监听器的命令行工具。它允许用户启动、停止和查看监听器的状态,以及管理相关的服务和连接配置。" 在Oracle数据库环境中,监听器(Listener)是负责接收...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

hxpjava1

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值