基于Kubernates的istio中白名单配置

最新推荐文章于 2025-07-15 11:20:20 发布
原创 最新推荐文章于 2025-07-15 11:20:20 发布 · 1.2k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

在Kubernates中,引入了istio管理流量,这时所有的入口流量均通过istio中的ingressgateway转发至目标服务,若是想要配置白名单,限制访问流量,那么需要创建一个istio的AuthorizationPolicy资源,该资源通过label绑定ingressgateway的pod。事例如下:

kubectl apply -f - <<EOF
apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: ingress-policy
  namespace: istio-system
spec:
  selector:
    matchLabels:
      app: istio-ingressgateway    
  action: ALLOW                   
  rules:
  - from:
    - source:
       ipBlocks: [“*.*.*.*”]
EOF

在配置白名单中会出现sourceIP被更改的问题,此时可以去官网了解一下Kubernates的SourceIP机制。

主要有一下3种目标服务访问方式:

1、在集群外访问:集群外访问集群内的目标服务时,由于部署 了istio,此时,所有流量会通过istio的ingressgateway,流量在通过节点node时,sourceIP会被替换为node的IP地址,然后流量到达ingressgateway pods,此时白名单的配置生效,然而sourceIP已经不是原来的IP地址了。

2、在集群内的任意一个pod访问:正常情况下集群内不pod之间的访问直接通过service实现,在istio的情况下,会依赖envoy进行流量转发,然而,如果在某个pod上通过公网域名访问其他pod上的一个服务,此时流量总会通过istio的SL

最低0.47元/天 解锁文章
self_defining
关注
Istio 与 Kubernetes Ingress 的集成与替代方案
AI云原生与云计算技术学院
05-27 712
在 Kubernetes 微服务架构中,入口流量管理是核心技术环节。Kubernetes 原生的 Ingress 资源提供基础的 HTTP/HTTPS 路由能力,而 Istio 服务网格则扩展了包括 TCP/UDP 流量管理、熔断重试、认证授权、可观测性等高级功能。如何在保留 Ingress 基础能力的同时集成 Istio 高级特性?什么场景下需要用 Istio 完全替代 Ingress 实现更复杂的流量治理?两者在网络层、配置模型、生态兼容性上的关键差异是什么?
Istio 中的授权策略详解
ServiceMesher
07-22 1853
本文节选自 ServiceMesher 社区出品的开源电子书《Istio Handbook——Istio 服务网格进阶实践》,阅读地址:https://www.servicemesher...
istio如何设置ip白名单
小诸葛的博客
07-09 159
1. 通过给pod添加注解实现。
Nginx、Ingress-Nginx、istio白名单设置
m0_37642477的博客
04-03 1949
nginx黑白名单
OpenShift 4 之Istio-Tutorial (10) 访问白名单、黑名单
多恩斯基的博客
01-19 987
本系列OpenShift Servic Mesh教程是基于Red Hat官方公开发行的《Introducing Istio Service Mesh for Micoservices》出版物,我将所有操作在OpenShift 4.2.x环境中进行了验证。喜欢读英文或者需要了解更多和场景相关知识点的小伙伴可以通过上面的链接下载该书慢慢阅读。 白名单和黑名单是用来允许或禁止访问Service Mesh...
istio使用教程和示例(导流,请求路由,访问拒绝,黑白名单,限速)
热门推荐
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
11-28 1万+
我们先下载下来istio的压缩包,其中samples目录中包含使用示例,我们使用其中的Bookinfo应用 使用下面命令可以创建Bookinfo应用的组件 kubectl create ns istio-demo kubectl create -f &amp;amp;amp;amp;amp;amp;lt;(istioctl kube-inject -f samples/bookinfo/platform/kube/bookinfo.yaml)...
Istio系列学习(十四)----Istio策略适配器配置和Env适配器配置
我在深圳的这些日子的博客
02-15 830
一、Istio策略适配器配置 Istio Adapter 机制的另外一个重要应用是策略执行。 策略执行Adapter 负责处理 Mixer 转发的 Check 请求,并将该请求分发给对应的策略执行后端,根据后端的判断逻辑返回拒绝或通过,来控制网格内服务之间的访问。 List适配器 最简单的判断逻辑的 Adapter,它配置了一个黑名单或者白名单,匹配白名单则放行; 匹配黑名单则拒绝。 1.Handler的配置 对Handler的配置如下。 ◎ providerUrl:名单的地址,当使用本地名单时可以不进
istio学习(二) 使用JWT进行权限验证
文若书生的专栏
01-26 2519
文章目录前言1、生成JWK2、测试密钥可用性3、创建RequestAuthentication4、访问测试5、创建AuthorizationPolicy6、JAVA生成密钥 前言 参考:https://www.cnblogs.com/kirito-c/p/12464531.html 提示:以下是本篇文章正文内容,下面案例可供参考 1、生成JWK 在linux使用OPENSSL生成公钥和私钥 # 1. 生成 2048 位(不是 256 位)的 RSA 密钥 openssl genrsa -out rsa
Kubernetes使用流量管理平台Istio(二)
邢宁
04-06 1194
流量管理 请求路由 特定网格中服务的规范表示由Pilot维护。服务的istio模型和在底层平台(Kubernetes、mesos以及cloud foundry等)中的表达无关。特定平台的适配器负责从各自平台中获取元数据的各种字段,然后对服务模型进行填充。 istio引入了服务版本的概念,可以通过版本(v1、v2)或环境(staging、prod)对服务进行进一步的细分。这些版本不一定是不同的API版本: 它们可能是部署在不同环境(prod、staging或者dev等)中的同一服务的不同迭代。使用这种方式的
21、Kubernetes与Istio:资源管理与服务网格的深度解析
最新发布
efc12345678的博客
07-15 76
本文深入解析了Kubernetes的资源管理模型及其与Istio服务网格的集成应用。内容涵盖Kubernetes资源对象、自定义资源定义(CRD)和控制器的工作机制,以及Istio在微服务架构中的流量管理、安全控制和可观测性功能。详细探讨了Istio的架构设计、核心组件(如Pilot、Mixer、Citadel和Envoy代理),并对比了Istio与API网关在南北向和东西向流量管理中的异同。通过实例解析了Istio在Kubeflow中的应用场景,为构建高效、安全、可扩展的云原生系统提供了参考。
authorizationPolicy详解
mark's technic world
05-27 3765
学习目标 什么是AuthorizationPolicy 授权功能是 Istio 中安全体系的一个重要组成部分,它用来实现访问控制的功能,即判断一个请求是否允许通过,这个请求可以是从外部进入 Istio 内部的请求,也可以是在 Istio 内部从服务 A 到服务 B 的请求。可以把授权功能近似地认为是一种四层到七层的“防火墙”,它会像传统防火墙一样,对数据流进行分析和匹配,然后执行相应的动作。 流程 Authorization policies support ALLOW, DENY ..
k8s实战之istio资源详解
07-02
云平台令使用它们的公司受益匪浅。但不可否认的是,上云会给 DevOps 团队带来压力。为了可移植性,开发人员必须使用微服务来构建应用,同时运维人员也正在管理着极端庞大的混合云和多云的部署环境。 Istio 允许您连接、保护、控制和观察服务。从较高的层面来说,Istio 有助于降低这些部署的复杂性,并减轻开发团队的压力。它是一个完全开源的服务网格,作为透明的一层接入到现有的分布式应用程序里。它也是一个平台,拥有可以集成任何日志、遥测和策略系统的 API 接口。Istio 多样化的特性使您能够成功且高效地运行分布式微服务架构,并提供保护、连接和监控微服务的统一方法。本课程详细讲解istio的各种crd资源,如何写yaml配置文件,以及他们会起什么作用。
记一次,istio1.4升级到1.7,当开启AuthorizationPolicy时,js访问服务跨域问题。
小洲同学的博客
05-13 529
istio1.4是用的Policy做原始认证和ServiceRole做的rbac,1.4版本也遇到过跨域,当时通过配置VS的corsPolicy得以解决: istio1.7在配置了VS的corsPolicy的情况下,当服务开启AuthorizationPolicy时候,还是会发生跨域问题。翻看了下istio1.7的源码,发现VS的corsPolicy内容增加了allowOrigins为list<map<String,String>>类型。(具体的原理有时间在来补充。。。)
istio服务安全
wenwenxiong的专栏
04-26 1546
istio RBAC(基于角色访问控制) istio RBAC支持namespace-level,service-level,method-level的服务访问控制。 Role-Base语义,支持服务到服务,用户到服务的认证 可以灵活的定义roles和role-bindings的properties mixter的认证相关instance为authorization apiVersi...
凌晨 12 点突发 Istio 生产事故!一顿操作猛如虎解决了
云原生实验室
09-18 692
作者:龙小虾,K8s 爱好者,目前在某运营商科技公司,主要负责维护 KubeSphere 容器平台之上的容器化业务事故起因业务上新集群,本来以为"洒洒水",11 点切,12 点就能在家睡觉...
Istio简介
时光旅行者
12-24 699
什么是Istio? 官方地址https://istio.io/ 目前而言,在公司内使用云平台有大量的优点,然而,使用云技术也给DevOps团队带来压力,比如:开发人员必须使用微服务来设计系统可移植性,同时,运维人员也在管理非常庞大的混合部署和多云部署。Istio可以让你对服务的连接、安全、控制和监控进行管理。 进一步来说,ISTIO有助于减少这些部署的复杂性,减轻开发团队的压力。它是一个完全...
istio学习(三)修改Istio的ingressgateway实现会话保持并获取客户端真实IP地址
文若书生的专栏
11-18 2164
对于很多后端服务业务,我们都希望得到客户端源 IP。由于 istio ingressgateway 以及 sidecar 的存在,后端服务如果需要获取客户端源 IP,特别是四层协议,情况会变得比较复杂。下面介绍一种实现方式。
Istio 中实现客户端源 IP 的保持
吉小白的博客
06-08 781
Istio 中实现客户端源 IP 的保持
Istio 流量管理
weixin_34290390的博客
07-02 431
2019独角兽企业重金招聘Python工程师标准>>> ...
如何通过Istio实现基于IP地址的出站流量限制?
05-11
<think>好的,我现在需要帮助用户解决如何通过Istio配置基于IP地址的出站流量限制的问题。用户之前已经询问过如何限制Pod的出流量,现在他们想进一步了解基于IP地址的具体方法。我需要结合用户提供的引用和之前的回答来给出解决方案。 首先,我需要回顾用户提供的引用内容,看看是否有相关信息。引用1提到目标规则用于配置流量的真实目标地址,引用2讨论了流量管理模型,引用3和4涉及网关和虚拟服务的配置,引用5解释了没有Sidecar时的流量路径。这些引用中,目标规则和虚拟服务可能与流量控制相关,但用户的问题是关于基于IP的限制,可能需要结合ServiceEntry和Sidecar资源。 用户上一次的问题是关于限制Pod的出流量,回答中提到了使用Sidecar资源和ServiceEntry,以及出站流量策略。现在用户想知道如何基于IP地址进行限制。Istio本身主要通过服务名称和端口来控制流量,但IP地址的限制可能需要其他方法。 我应该想到,Istio的ServiceEntry可以用来定义外部服务,包括指定IP地址。可能的方法是创建一个ServiceEntry,将允许的IP地址列入白名单,然后结合Sidecar或授权策略来限制访问。此外,EnvoyFilter可能用于更底层的配置,比如基于IP的过滤。 接下来,我需要考虑用户可能的实际场景。例如,用户可能希望只允许某些特定的外部IP被Pod访问,或者阻止到某些黑名单IP的流量。需要分情况讨论,白名单和黑名单的设置方法不同。 然后,我需要验证这些方法是否可行。比如,ServiceEntry是否支持IP地址作为hosts字段的值?查阅Istio文档发现,ServiceEntry的hosts字段通常是域名,但也可以使用通配符或特定格式的IP地址,比如使用“external.example.com”或类似,但直接使用IP可能需要特定的格式,或者可能需要使用CIDR表示法。 另外,可能需要使用授权策略(AuthorizationPolicy)来基于目标IP进行限制。AuthorizationPolicy可以设置条件,比如目标IP的范围,从而允许或拒绝请求。 还需要考虑出站流量的模式,比如REGISTRY_ONLY模式,此时只有注册的服务(包括ServiceEntry定义的服务)才能被访问,结合ServiceEntry中的IP定义,可以实现基于IP白名单。 可能的步骤包括: 1. 创建ServiceEntry,定义允许访问的外部IP地址。 2. 配置Sidecar资源,限制egress流量仅访问注册的服务。 3. 使用AuthorizationPolicy进一步细化规则,确保只有指定的IP被允许。 需要检查这些步骤的可行性。例如,ServiceEntry是否支持IP地址作为host,或者是否需要使用CIDR。例如,可以这样定义: apiVersion: networking.istio.io/v1beta1 kind: ServiceEntry metadata: name: allowed-ips spec: hosts: - "allowed-ip.example.com" # 这里可能需要使用虚拟域名,但实际地址通过resolution和endpoints指定 addresses: - 192.168.100.0/24 ports: - number: 80 name: http protocol: HTTP resolution: STATIC endpoints: - address: 192.168.100.1 但Istio的ServiceEntry中addresses字段可能用于指定服务的IP范围,而hosts字段用于域名。因此,正确的方法可能需要结合addresses字段来指定IP范围,然后通过目标规则或授权策略来限制。 或者,使用AuthorizationPolicy,设置条件为destination.ip,从而允许或拒绝特定IP的访问。 例如: apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: allow-ips namespace: your-ns spec: action: ALLOW rules: - to: - operation: hosts: - "allowed-ip.example.com" # 可能需要与ServiceEntry结合 # 或者使用目标IP的范围 destinations: - ipBlocks: ["192.168.1.0/24"] when: - key: source.namespace values: ["your-ns"] 不过AuthorizationPolicy更常用于入站流量的控制,或者基于源的属性,但目标IP可能需要结合其他资源。 可能需要综合使用ServiceEntry和AuthorizationPolicy。例如,先通过ServiceEntry定义允许的IP范围,然后使用AuthorizationPolicy来允许这些目标IP,同时设置Sidecar为REGISTRY_ONLY模式,这样只有ServiceEntry中定义的IP可以被访问。 另外,用户可能需要使用EnvoyFilter来直接操作Envoy的配置设置基于目标IP的过滤器,但这种方法较为底层,可能不够稳定。 总结可能的解决方案: 1. 使用ServiceEntry定义允许的IP地址或CIDR块,结合Sidecar的REGISTRY_ONLY模式,限制只能访问注册的服务。 2. 使用AuthorizationPolicy设置允许访问的目标IP地址范围。 3. 结合EnvoyFilter进行更细粒度的控制,如基于目标IP的过滤。 需要验证这些步骤的正确性,并给出具体的配置示例。 例如,对于方法1,创建ServiceEntry: apiVersion: networking.istio.io/v1beta1 kind: ServiceEntry metadata: name: allowed-ips spec: hosts: - "allowed.ips.com" # 虚拟域名,实际通过addresses指定IP addresses: - 192.168.1.100/32 - 10.0.0.0/8 ports: - number: 80 protocol: HTTP name: http - number: 443 protocol: HTTPS name: https 然后配置Sidecar资源限制egress为REGISTRY_ONLY,这样只有ServiceEntry中定义的IP可以通过。 但需要确认addresses字段的使用是否正确。根据Istio文档,ServiceEntry的addresses字段用于指定与服务关联的IP地址或CIDR块,这样当出站流量指向这些IP时,会被允许。 然后,用户需要确保他们的应用在访问外部IP时,使用正确的端口和协议,符合ServiceEntry中的定义。 对于方法2,使用AuthorizationPolicy: apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: allow-ips namespace: your-ns spec: action: ALLOW rules: - to: - operation: destinations: - ipBlocks: ["192.168.1.0/24"] selector: matchLabels: app: your-app 但需要注意,AuthorizationPolicy默认是拒绝的,所以可能需要结合DENY策略来阻止其他IP。或者,在ALLOW策略下,只有匹配的IP被允许,其余被拒绝。不过需要测试这种行为是否正确。 另外,AuthorizationPolicy的destinations.ipBlocks是在目标端,即外部服务的IP地址,所以可以用于限制出站流量中的目标IP。 结合这两种方法,用户可以实现基于IP的出站流量控制。不过需要指出的是,Istio的流量控制更多是基于服务名称和端口,直接基于IP可能需要更底层的配置,或者结合其他资源。 最后,需要给出具体的步骤和示例配置,确保用户能够按照指导进行操作,并验证配置是否生效。例如,测试从Pod访问允许的IP和被拒绝的IP,观察是否符合预期。</think>在Istio中实现基于IP地址的出站流量限制,需结合`ServiceEntry`与`AuthorizationPolicy`进行精细化控制。以下是具体实现方法及配置示例: --- ### 一、核心实现原理 1. **注册目标IP地址** 通过`ServiceEntry`定义允许访问的IP地址或CIDR范围,将其纳入Istio服务注册表。 2. **流量策略约束** 配置`Sidecar`资源限制出站流量仅允许访问注册服务(`REGISTRY_ONLY`模式)。 3. **细粒度访问控制** 使用`AuthorizationPolicy`进一步限制仅允许访问白名单IP地址。 --- ### 二、分步配置方法 #### 步骤1:定义允许访问的IP范围(ServiceEntry) ```yaml # 允许访问的IP白名单(支持CIDR格式) apiVersion: networking.istio.io/v1beta1 kind: ServiceEntry metadata: name: allowed-ips spec: hosts: - "allowed-external-ips" # 虚拟域名(仅用于标识) addresses: - 203.0.113.0/24 # 允许的IPv4范围 - 2001:db8::/32 # 允许的IPv6范围 ports: - number: 80 name: http protocol: HTTP - number: 443 name: https protocol: HTTPS resolution: STATIC # 声明为静态IP地址[^1] ``` #### 步骤2:限制出站流量仅访问注册服务(Sidecar) ```yaml apiVersion: networking.istio.io/v1beta1 kind: Sidecar metadata: name: restrict-egress namespace: your-ns spec: egress: - hosts: - "./*" # 允许访问当前命名空间服务 - "istio-system/*" # 允许访问Istio系统服务 - "allowed-external-ips" # 关联ServiceEntry定义的IP范围[^1] outboundTrafficPolicy: mode: REGISTRY_ONLY # 强制仅访问注册服务 ``` #### 步骤3:基于IP地址的访问授权(AuthorizationPolicy) ```yaml # 允许访问指定IP段,拒绝其他所有IP apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: allow-specific-ips namespace: your-ns spec: action: ALLOW rules: - to: - operation: # 精确匹配目标IP范围 destinations: - ipBlocks: ["203.0.113.0/24", "2001:db8::/32"] selector: matchLabels: app: sensitive-app # 作用到特定工作负载 ``` --- ### 三、验证配置效果 ```bash # 测试允许的IP kubectl exec -it test-pod -- curl -I http://203.0.113.10 # 预期结果:200 OK # 测试未授权的IP kubectl exec -it test-pod -- curl -I http://198.51.100.1 # 预期结果:RBAC: access denied 或 连接失败[^1] ``` --- ### 四、高阶扩展场景 | 场景 | 实现方案 | |-------------------------------|--------------------------------------------------------------------------| | **动态IP黑名单** | 使用`EnvoyFilter`注入Lua脚本,实时拦截特定IP请求 | | **混合域名+IP控制** | 在`ServiceEntry`中同时定义`hosts`和`addresses`字段实现联合控制[^1] | | **基于协议的差异化策略** | 在`AuthorizationPolicy`中通过`operation.ports`区分TCP/UDP流量 | --- ### 五、与Kubernetes NetworkPolicy的区别 | 特性 | Istio方案 | NetworkPolicy | |---------------------|------------------------------------|-----------------------------| | **控制层级** | L7应用层(HTTP/gRPC等) | L3/L4(IP/端口) | | **策略作用域** | 基于服务身份(Service Identity) | 基于Pod标签/IP地址 | | **加密流量支持** | 自动处理TLS/mTLS | 无法解析加密内容 | | **跨集群控制** | 原生支持多集群 | 仅限单集群 | ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值