Istio的授权策略

最新推荐文章于 2023-12-28 01:17:37 发布
最新推荐文章于 2023-12-28 01:17:37 发布
阅读量2.8k 收藏 1
点赞数
分类专栏: Istio学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Micky_Yang/article/details/119490655
版权
本文介绍了Istio的授权策略,用于保障集群服务的安全。Istio提供非侵入式的授权功能,允许用户通过配置策略对服务进行访问控制。策略可应用于不同范围,如全局、namespace或特定pod,并遵循特定的匹配算法。文章通过实例展示了如何创建和应用授权策略,以及策略匹配的优先级。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、理解授权
  为了保障集群中的服务的安全,Istio提供了一系列开箱即用的安全机制,对服务进行访问控制就是其中非常重要的一个部分,这个功能被称为授权。授权功能会按照预定义的配置针对特定的请求进行匹配,匹配成功之后会执行对应的动作,例如放行请求或者拒绝请求。
  由于作用的对象是服务,因此,授权功能主要适用于四层至七层(相比较而言,传统的防火墙主要用于二至四层),例如gRPC、HTTP、HTTPS和HTTP2以及TCP协议等等,对基于这些协议的请求进行授权检测,Istio都可以提供原生支持。
  从数据流的角度来讲,授权功能可以用于多种场景,包括从集群外部访问集群内部的服务、从集群内部的一个服务访问集群内部的另外一个服务、以及从集群内部访问集群外部的服务。
  就像实现流量控制功能一样,Istio中授权功能的实现也是非侵入式的,可以在不影响有业务逻辑的情况下,通过一系列自定义的授权策略在Istio集群中启用授权功能,实现业务的安全加固。
  用户可以通过配置授权策略这种CRD对象来实现授权的功能。授权策略按照作用域大小,可以分为三类:
  1)作用于整个集群的全局策略
  2)作用于某个namespace的局部策略
  3)作用于某些pod的具体策略

例如下面的一个授权策略示例:

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
 name: httpbin-policy
 namespace: foo
spec:
  selector:
    matchLabels:
      app: httpbin
  action: ALLOW
  rules:
  - from:
    - source:
        principals: ["cluster.local/ns/default/sa/sleep"]
    to:
    - operation:
        methods: ["GET"]
        paths: ["/info*"]
    when:
    - key: request.auth.claims[iss]
      values: ["https://foo.com"]

.
  这个授权策略的含义是:筛选出foo这个namespace中含有app:httpbin这个标签的pod,对发送到这些pod的请求进行匹配,如果匹配成功,则放行当前请求,匹配规则如下:发起请求的pod的Service Account需要是cluster.local/ns/default/sa/sleep,请求使用HTTP协议,请求的具体方法类型是GET,请求的URL为/info*,并且请求中需要包含由https://foo.com签发的有效的JWT Token。
  从这个例子中可以看出一个授权策略主要包含以下几个部分:
  name:授权策略的名称,仅用于标识授权策略本身,不会影响规则的匹配和执行;
  namespace:当前策略对象所在的namespace,可以使用这个字段配置不同作用范围的授权策略;
  selector:使用label来选择当前授权策略作用于哪些pod上。注意,这里设置的是服务端的pod,因为最终这些规则会转换为Envoy规则由服务端的Envoy Porxy来具体执行。例如有client和server两个service,它们的pod对应的label分别为app:client和app:server,为了针对client到server的请求进行配置授权策略,这里的selector应该设置为app:server;
  action:可以为ALLOW(默认值)或者DENY;
  rules:匹配规则,如果匹配成功,就会执行对应的action;

二、授权策略的作用范围
  授权策略可以按照作用域的大小分成三个不同的类型:全局策略、某个 namespace 内的局部策略和具有明确 match label 的授权策略。下面分别进行说明。

1)全局策略
  授权策略位于 istio 的 root namespace 中(例如 istio-system),且匹配所有的 pod。这种规则会作用于整个集群中的所有 pod。下面的例子中有3个全局策略,第一个是全局 ALLOW ,第二个和第三个是全局 DENY ,后面这两个作用类似,但又有重要的区别。

kubectl apply -f - <<EOF
apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: global-allow
  namespace: istio-system
spec:
  action: ALLOW
  rules:
  - {}
EOF

kubectl apply -f - <<EOF
apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: global-deny
  namespace: istio-system
spec:
  action: DENY
  rules:
  - {}
EOF

kubectl apply -f - <<EOF
apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: global-deny
  namespace: istio-system
spec:
  {}
EOF

2)某个namespace内的局部策略
  授权策略位于除了 root namespace 之外的任何一个 namespace 中,且匹配所有的 pod ,这种情况下,这个策略会作用于当前 namespace 中的所有 pod。下面的例子中是3个 namespace 级别的策略,第一个是 ALLOW ,第二个和第三个是 DENY ,像全局策略一样,后面这两个作用类似,但又有重要的区别。

kubectl apply -f - <<EOF
apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: foo-namespace-allow
  namespace: foo
spec:
  action: ALLOW
  rules:
  - {}
EOF

kubectl apply -f - <<EOF
apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: foo-namespace-de
最低0.47元/天 解锁文章
y134.第七章 服务网格与治理-Istio从入门到精通 -- 授权策略(二十)
Raymond的博客
09-15 362
Istio授权机制为Istio网格中的workload提供了mesh-level、namespace-level和workload-level的访问控制机制,它提供如下特性。
Istio中的安全策略
JosephThatwho的博客
03-15 817
微服务带来灵活性、可伸缩性和复用性的同时,还需要考虑一下安全问题: 使用流量加密组织中间人攻击 提供灵活的访问控制,比如双向TLS加密和细粒度的访问策略 检索谁在什么时间做了什么操作,这需要审计工具 Istio可以处理内外部的威胁,给数据、端点、通信和平台提供安全性。 Istio提供了强身份认证、权限策略、传输TLS加密以及认证、授权和审计(AAA)工具。 上层架构 Istio的安全性涉及多个部分: 用于密钥和证书管理的证书颁发机构(CA) 配置API服务器分发给代理 认证策略 鉴权策略 安全命名
Istio 中的授权策略详解
ServiceMesher
07-22 1797
本文节选自 ServiceMesher 社区出品的开源电子书《Istio Handbook——Istio 服务网格进阶实践》,阅读地址:https://www.servicemesher...
记一次,istio1.4升级到1.7,当开启AuthorizationPolicy时,js访问服务跨域问题。
小洲同学的博客
05-13 495
istio1.4是用的Policy做原始认证和ServiceRole做的rbac,1.4版本也遇到过跨域,当时通过配置VS的corsPolicy得以解决: istio1.7在配置了VS的corsPolicy的情况下,当服务开启AuthorizationPolicy时候,还是会发生跨域问题。翻看了下istio1.7的源码,发现VS的corsPolicy内容增加了allowOrigins为list<map<String,String>>类型。(具体的原理有时间在来补充。。。)
authorizationPolicy详解
mark's technic world
05-27 3609
学习目标 什么是AuthorizationPolicy 授权功能是 Istio 中安全体系的一个重要组成部分,它用来实现访问控制的功能,即判断一个请求是否允许通过,这个请求可以是从外部进入 Istio 内部的请求,也可以是在 Istio 内部从服务 A 到服务 B 的请求。可以把授权功能近似地认为是一种四层到七层的“防火墙”,它会像传统防火墙一样,对数据流进行分析和匹配,然后执行相应的动作。 流程 Authorization policies support ALLOW, DENY ..
Istio 安全 授权管理AuthorizationPolicy
小楼一夜听春雨,深巷明朝卖杏花
08-01 1072
本质其实就是设置谁可以访问,谁不可以访问。默认命名空间是没有AuthorizationPolicy---允许所有的客户端访问。如果对Pod1生成两个策略,一个是allow,一个是deny,两个冲突的时候那么allow就不再生效了,deny是生效的。这里是没有指定应用到谁上面去,有没有指定使用哪些客户端,这样就是拒绝了所有的了。这个和cka考试里面的网络策略是类似的。它是可以实现更加细颗粒度限制的。上面{}代表着所有的客户端。这个代表是允许命名空间ns1客户端可以访问。但是并不想让所有的客户端都可以访问。
Istio安全策略与认证授权
## 一、Istio安全策略概述 Istio作为一个开放平台,提供了一系列的功能来增强集群的安全性,其中安全策略Istio中的一个重要组成部分。本章节将介绍Istio安全策略的概念、重要性以及基本原则。 ### 1.1 Istio安全...
Istio网络策略】:实现高级隔离与访问控制,深入解析!
![【Istio网络策略】:实现高级隔离与访问控制,...在Istio中,网络策略不仅包括传统的安全认证和授权,还扩展到了服务间的流量管理、故障恢复及动态路由等方面。其设计理念是提供一个统一的、可编程的方式来确保在复杂
Custom-Istio-Manifest:回购演示使用Istio清单(AuthorizationPolicies,Istio网关,VirtualServices,DestinationRules,PeerAuthentication)保护名称空间和部署的安全
03-27
安全的Istio清单 由Helm管理的Istio清单可为Kubernetes提供名称空间和部署特定的安全性。 它能做什么 部署与服务 部署服务和两个版本的UI(“主”和“测试”)。 在服务/ UI部署之前创建服务,将其端口暴露在Kubernetes集群内部。 虚拟服务和DestinationRules 为主机定义DesinationRules,并使用“版本”标签来应用VirtualService级别的规则。 为每个服务和UI定义VirtualServices(具有针对不同版本定义的流量百分比的UI) mTLS,零信任和例外 在整个名称空间中启用mTLS。 通过禁止名称空间内的所有流量来实施​​零信任。 创建基于主体的零信任例外,以允许UI与后端服务之间进行通信。 入口 创建一个Istio Ingress网关,以允许将监视和路由规则应用于进入群集的外部流量。 我在哪里看
一文了解Istio外部授权
xcbeyond|疯狂源自梦想,技术成就辉煌
03-23 527
点击上方“程序猿技术大咖”,关注并选择“设为星标”回复“加群”获取入群讨论资格!初识Istio Authorization我们都知道认证(Authentication、Authn)与授权(Authorization、Authz)一同构建了起网络应用安全的基本屏障。通常,授权对认证有一定的依赖。比如我们熟悉的OAuth或者基于JWT Token的授权Istio授权充分利用了Envoy的授权插件,基...
第二十一部分 Istio策略检查
小郑的专栏
05-15 564
简述 如何启用 Istio 策略检查功能。 初始安装 Helm 安装选项,要安装启用策略检查功能的 Istio,请使用 --set global.disablePolicyChecks=false 使用演示配置安装 Istio,默认启用策略检查 已经安装Istio 检查Istio策略检查状态。 kubectl -n istio-system get cm istio -o json...
Istio 安全认证
hanjiangxue1006的博客
03-26 1144
Istio 安全认证架构 关联的组件 Citadel用于密钥和证书管理 Sidecar和周边代理实现客户端和服务器之间的安全通信 Pilot将授权策略和安全命名信息分发给代理 Mixer管理授权和审计 认证 Istio身份标识 不同平台身份标识 Kubernetes: Kubernetes 服务帐户 GKE/GCE: 可以使用 GCP 服务帐户 GCP: GCP 服务帐户...
深入了解Istio的身份验证与授权机制
最新发布
AI天才研究院
12-28 381
1.背景介绍 Istio是一个开源的服务网格,它为微服务架构提供了网络管理、安全性和监控等功能。Istio的身份验证与授权机制是其核心功能之一,它可以确保只有经过身份验证并具有相应权限的服务才能访问其他服务。 在本文中,我们将深入了解Istio的身份验证与授权机制,包括其核心概念、算法原理、具体操作步骤以及数学模型公式。此外,我们还将讨论一些实际代码示例和未来发展趋势。 2.核心概念与联系 ...
微服务治理框架(Istio)的认证服务与访问控制
武天旭的博客
04-14 1011
在微服务架构下,每个服务是无状态的,由于服务端需要存储客户端的登录状态,因此传统的session认证方式在微服务中不再适用。理想的实现方式应为无状态登录,流程通常如下:1、客户端请求某服务,服务端对用户进行登录认证。2、认证通过,服务端将用户登录信息进行加密并形成令牌,最后再返回至客户端作为登录凭证。3、在步骤2之后,客户端每次请求都须携带认证的令牌。4、服务端对令牌进行解密,判断是否有效,若有效则认证通过,否则返回失败信息。
第五部分 Istio认证和授权策略
小郑的专栏
04-29 2509
认证策略 通过上一部分认证架构可以了解到,认证策略是对服务收到的请求生效的。要在双向 TLS 中指定客户端认证策略,需要在 DetinationRule 中设置 TLSSettings。使用者可以通过yaml文件来编写认证策略,然后使用 istioctl 进行部署。 例如,要求 reviews 服务必须使用双向 TLS: apiVersion: "authentication.istio....
安装AuthorizationPolicy和EnvoyFilter
探索人工智能革命,深入算法原理与创新应用,未来科技无限可能。
04-22 356
报错: failed to call kfp.Client().create_run_from_pipeline_func in in-cluster juypter notebook 解决: apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: bind-ml-pipeline-nb-wangzy-p #修改名称 namespace: kubeflow spec: selector: m
ISTIO文档解读学习(三)
dingyahui的博客
03-04 1033
Istio安全 将单一应用程序分解为微服务可提供各种好处,包括更好的灵活性、可伸缩性以及服务复用的能力。但是,微服务也有特殊的安全需求:1)为了抵御中间人攻击,需要流量加密。2)为了提供灵活的服务访问控制,需要双向 TLS 和细粒度的访问策略。3)要审核谁在什么时候做了什么,需要审计工具。istio安全整体概述 ...
k8s istio 外部权限控制(业务系统权限控制)
weixin_44492098的博客
10-11 877
k8s istio业务系统权限控制
Istio 实现 ext-authz 外部扩展鉴权以及对接基于 k8s 的微服务
JohnYang's 优快云 Home
06-01 849
可以实现基于redis的token鉴权以及实现rbac鉴权。转载请注明来源:https://janrs.com/vrsrIstio的外部鉴权本质是基于Envoy实现的,直接看EnvoyIsio官方的Demo。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值