Istio的mTLS认证

最新推荐文章于 2025-11-02 18:00:00 发布
原创 最新推荐文章于 2025-11-02 18:00:00 发布 · 3.7k 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了mTLS在服务间通信中的重要作用,详细阐述了Istio中mTLS的工作原理和三种身份认证模式:PERMISSIVE、STRICT和DISABLE。通过步骤指导,包括查看curl支持、生成证书、创建服务、配置Gateway、Secret以及虚拟服务,展示了如何配置和测试mTLS。此外,还提到了如何在不同命名空间和全局范围内设置对等认证策略。

一、理解mTLS
  TLS在web端使用的非常广泛,针对传输的内容进行加密,能够有效的防止中间人攻击。双向TLS(Two way TLS/Mutual TLS,简称mTLS)的主要使用场景是在B2B和Server-toServer的场景中,以支持服务与服务之间的身份认证与授权。
  在这里插入图片描述

在这里插入图片描述
  mTLS主要负责服务与服务之间传输层面的认证,具体实现在sidecar中,在具体进行请求时,讲经历如下过程:
  1)客户端发出的请求将被发送到客户端sidecar
  2)客户端sidecar与服务端sidecar开始mTLS握手,在握手的同时,客户端sidecar讲进行secure naming check的额外操作,对服务端中的server identity(存储在证书中的SAN)进行检查,以确保其能够运行服务,该操作能够防止一些常见HTTP/TCP的流量劫持攻击。
  3)在完成身份认证以及授权之后,客户端和服务端开始建立连接进行通信
  在这里插入图片描述
  Istio提供如下几种mTLS身份认证模式,在不同的场景下进行使用:
  1)PERMISSIVE:同时支持密文传输和明文传输,则不管是在Istio管理下的Pod还是在Istio管理外的Pod,相互之间的通信畅通无阻。PERMISSIVE模式的主要用途是在用户迁移的过程中,服务与服务之间也仍然能够通信,例如部分workload并未注入sidecar。对于刚接触Istio的人来说是非常友好的,官方也建议在完成迁移之后调整为STRICT模式
  2)STRICT:workload只支持密文传输
  3)DISABLE:关闭Mutual TLS,从安全的角度而言,官方不建议在没有其他安全措施的情况下使用该模式
  4)UNSET:具体的策略将从父级配置中继承(命名空间或网络层面),如果父级没有进行相应的配置,则使用PERMISSIVE模式。
  在这里插入图片描述

二、配置TLS
1)查看curl是否支持LibreSSL

➜  ~ curl --version | grep LibreSSL
curl 7.64.1 (x86_64-apple-darwin20.0) libcurl/7.64.1 (SecureTransport) LibreSSL/2.8.3 zlib/1.2.11 nghttp2/1.41.0

2)生成证书和密钥

➜  ~ openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -subj '/O=example Inc./CN=example.com' -keyout example.com.key -out example.com.crt
Generating a 2048 bit RSA private key
................................................................................................................................
最低0.47元/天 解锁文章
Istio mtls 使用
baobaoxiannv的博客
07-24 1173
Istio 版本: 1.6.0 1:设置启动参数 $ kubectl get iop -A -oyaml > temp.yaml $ vim temp.yaml # 添加 enableAutoMtls: true PeerAuthentication CRD 解释 PeerAuthentication 定义流量是否通过隧道到达 SideCar apiVersion: security.istio.io/v1beta1 kind: PeerAuthentication metadata: nam
从零掌握微服务通信安全:mTLS全解析
like21a的博客
06-04 1426
🔥「炎码工坊」技术弹药已装填!点击关注 → 解锁工业级干货【工具实测|项目避坑|源码燃烧指南】
Python网络安全工具高级开发(五):架构模式之服务网格安全通信 (mTLS)
最新发布
专注于网络安全攻防技术与安全运营(SecOps)实践。
11-02 848
本文探讨微服务架构中内部网络通信的安全问题,重点分析服务网格如何通过Sidecar代理实现透明化的mTLS加密。文章首先指出传统解决方案的不足,即需由开发者在应用代码中手动实现复杂的安全逻辑。随后详细阐释了服务网格的工作原理:通过Sidecar代理自动处理所有mTLS加密、身份验证等安全机制,使开发者无需编写安全相关代码。为深入理解这一机制,文章提供了一个纯Python实现的mTLS通信示例,包括证书生成、服务器端强制认证和客户端双向验证的完整流程。
一文读懂SSL、TLS和mTLS的通信安全协议
stone1290的专栏
09-19 1329
今天让我们深入探讨一下SSL、TLS和mTLS等一系列重要的通信安全协议。尽管从整体系统设计的角度来看,这个主题可能并不是至关重要,但仍然值得我们深入了解。
istioMTLS导致 bookinfo 访问不通
feiger的专栏
10-18 968
背景: 最新一直在学习istio相关知识 ,book info作为官方的第一个case,我在部署了 流量规则之后就访问不通了 我部署的两个规则文件 destination-rule-all.yaml apiVersion: networking.istio.io/v1alpha3 kind: DestinationRule metadata: name: productpage spec: ...
mTLS(Mutual TLS)即双向传输层安全,是一种安全通信协议,用于在客户端和服务器之间建立双向的身份验证和加密通道。
wangqiaowq的博客
09-26 2850
mTLS(Mutual TLS)即双向传输层安全,是一种安全通信协议,用于在客户端和服务器之间建立双向的身份验证和加密通道。在传统的TLS(Transport Layer Security)中,客户端通常只会验证服务器的身份,而在mTLS中,双方都会验证对方的身份,这意味着客户端也需要向服务器提供证书。
详解istio mtls双向身份认证
小诸葛的博客
10-10 537
Istio 服务网格中,如果两个 Pod 都已注入 Sidecar 代理(即都在网格内),它们之间的通信流量。这是通过互信 TLS(mTLS,Mutual TLS)实现的,Istio 会自动将网格内部流量升级为 mTLS,确保服务间加密传输和身份验证。
服务网格安全:Istio mTLS双向认证配置优化与实践
这些内容对于希望在生产环境中实施Istio mTLS认证的团队具有重要的参考价值。 总的来说,该文档全面而深入地探讨了服务网格安全特别是Istio mTLS双向认证的相关技术。它不仅阐述了基本原理和实现机制,还针对实际...
istio 认证:对等身份认证+服务请求认证
MaoVazquez的博客
12-19 1141
metadata:name: testspec:selector:app: testmtls:3001:selector 选择器istio 通过 selector 选择认证策略作用的负载selector 可以为空,表示该认证策略配置给指定命名空间或服务网格全局selector:app: testmtls 认证配置STRICT:典型用法,只接收双向 TLS 的流量PERMISSIVE:既可以接收双向 TLS 流量,也可以接收飞加密流量DISABLE:禁用双向 TLS。
【架构篇】安全架构-双向认证mTLS)
05-15 2075
mTLS(Mutual TLS)是一种基于数字证书的双向身份验证协议,广泛应用于微服务通信、金融交易等高安全场景。本文深入解析mTLS的工作原理、认证流程、Wireshark抓包分析,并结合实际案例探讨其优势与挑战。
Istio 安全 mTLS认证 PeerAuthentication
小楼一夜听春雨,深巷明朝卖杏花
08-01 1828
mTLS (mutual TLS,双向TLS): 让客户端和服务器端通信的时候都必须进行TLS认证默认情况下,在网格内部默认启用了mTLS了。在网格里面所有的pod, 不管是istio使用到的pod,还是普通创建的pod1 pod2,都会通过mtls来进行通信,也就是互相认证。上面其实就演示了网格之外的主机要和pod通信的时候必须得要建立这样一个mtls的通信。对于网格之外的主机,网格外面的主机和pod通信的时候并没有要求使用tls认证。STRICT:工作负载仅接受双向TLS通信。
基于 Ingress-Nginx 实现 mTLS 双向认证
不忘初心,方得始终
03-03 1653
通过自签名证书启用双向 TLS在微服务架构中,安全性是至关重要的考虑因素。特别是在 Kubernetes 环境下,Ingress 作为流量入口,承担着重要的安全网关角色。默认情况下,Ingress-Nginx 仅支持 TLS 单向认证,即客户端验证服务器的证书,而 mTLS(Mutual TLS,双向 TLS 认证)则进一步增强了安全性,要求客户端也提供受信任的证书,以实现双向身份验证。mTLS 适用于需要严格身份认证的场景,如:•:确保只有受信任的客户端可以访问微服务。•。
[golang]使用mTLS双向加密认证http通信
Gefangenes的博客
08-08 552
假设一个场景,服务端部署在内网,客户端需要通过暴露在公网的nginx与服务端进行通信。为了避免在公网进行 http 明文通信造成的信息泄露,nginx与客户端之间的通信应当使用 https 协议,并且nginx也要验证客户端的身份,也就是mTLS双向加密认证通信。这条通信链路有三个角色:服务端、Nginx、客户端。服务端部署在内网,与nginx使用http通信。客户端在公网,与nginx使用https通信,且双向加密认证
服务安全之mTLS
GL for you
06-28 550
微服务的安全主要包含两种方式:面向用户的,和面向服务的,这里主要介绍mTLS的实现。mTLS是一种双向认证机制,服务端和客户端都需要验证对方的身份,这样既可以保证通信的安全性,也可以保证跨集群调用中客户端和服务器的的身份校验。
理解mTLS
热门推荐
vimin_1314的博客
12-14 1万+
为 Ingress-nginx 配置双向认证mtls) 转载:为 Ingress-nginx 配置双向认证mtls) - 知乎 (zhihu.com) 首先什么是 mtls (双向认证)?它是一个过程,在这个过程中,客户机和服务器都通过证书颁发机构彼此验证身份。 相信 tls 大家都比较熟悉,就是 server 端提供一个授信证书,当我们使用 https 协议访问server端时,client 会向 server 端索取证书并认证(浏览器会与自己的授信域匹配或弹出不安全的页面)。 mtls 则.
Istio 1.0 # 基础认证策略 # 设置终端用户认证
来啊 快活啊
08-03 2629
Istio 0.8版本增强了服务间双向认证,1.0版本增加了终端用户认证的功能,这样整个服务网格的认证策略就齐全了;目前只支持JWT Authentication,可以使用authentication policy进行配置; 公司的OAuth2 Server使用的是Cloudary Foundary的UAA,Cloudary Foundary的UAA Server完全按照规范来设计的,所以跟Is...
mTLS: Netty单向/双向TLS Demo完整代码
Mr_rain的专栏
03-02 1341
NettyHelper.java: 主要用是创建EventLoopGroup和判断是否支持Epoll。 package org.example.netty; import io.netty.channel.EventLoopGroup; import io.netty.channel.epoll.Epoll; import io.netty.channel.epoll.EpollEventLoopGroup; import io.netty.channel.epoll.EpollSocketChannel
mTSL: netty单向/双向TLS连接
Mr_rain的专栏
03-02 1574
不管是单向tls还是双向tls(mTLS),都需要创建证书。创建证书可以使用openssl或者keytool,openssl 参考。
NGINX Service Mesh 中的 mTLS 架构
NGINX开源社区的博客
06-28 410
原文作者:Faisal Memon of F5。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值