PeerAuthentication详解

Istio深度解析:多集群、链路追踪与安全配置实战
最新推荐文章于 2025-09-09 13:25:54 发布
原创 最新推荐文章于 2025-09-09 13:25:54 发布 · 1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#云原生

该公众号分享了一系列关于Istio的文章,涵盖多集群部署、链路追踪、故障注入、业务权限控制、 EnvoyFilter 使用等多个方面,深入探讨Istio的安全配置,包括PeerAuthentication的模式设置及其对工作负载的影响,帮助读者理解并掌握Istio的高级用法。

 欢迎关注我的公众号:

 目前刚开始写一个月,一共写了18篇原创文章,文章目录如下:

istio多集群探秘,部署了50次多集群后我得出的结论

istio多集群链路追踪,附实操视频

istio防故障利器,你知道几个,istio新手不要读,太难!

istio业务权限控制,原来可以这么玩

istio实现非侵入压缩,微服务之间如何实现压缩

不懂envoyfilter也敢说精通istio系列-http-rbac-不要只会用AuthorizationPolicy配置权限

不懂envoyfilter也敢说精通istio系列-02-http-corsFilter-不要只会vs

不懂envoyfilter也敢说精通istio系列-03-http-csrf filter-再也不用再代码里写csrf逻辑了

不懂envoyfilter也敢说精通istio系列http-jwt_authn-不要只会RequestAuthorization

不懂envoyfilter也敢说精通istio系列-05-fault-filter-故障注入不止是vs

不懂envoyfilter也敢说精通istio系列-06-http-match-配置路由不只是vs

不懂envoyfilter也敢说精通istio系列-07-负载均衡配置不止是dr

不懂envoyfilter也敢说精通istio系列-08-连接池和断路器

不懂envoyfilter也敢说精通istio系列-09-http-route filter

不懂envoyfilter也敢说精通istio系列-network filter-redis proxy

不懂envoyfilter也敢说精通istio系列-network filter-HttpConnectionManager

不懂envoyfilter也敢说精通istio系列-ratelimit-istio ratelimit完全手册

学习目标

什么是PeerAuthentication

PeerAuthentication defines how traffic will be(mtls) tunneled (or not) to the sidecar.

资源详解

FieldTypeDescriptionRequired
selectorWorkloadSelectorThe selector determines the workloads to apply the ChannelAuthentication on. If not set, the policy will be applied to all workloads in the same namespace as the policy.No
mtlsMutualTLSMutual TLS settings for workload. If not defined, inherit from parent.No
portLevelMtlsmapPort specific mutual TLS settings.No

没有selector

全局有效

pa-default-global.yaml

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: default
  namespace: istio-system
spec:
  mtls:
    mode: STRICT

For mesh level, put the policy in root-namespace according to your Istio installation.

默认工作负载都启用mtls

关闭productpage mtls

dr-productpage-mtls-disable.yaml

apiVersion: networking.istio.io/v1beta1
kind: DestinationRule
metadata:
  name: productpage
spec:
  host: productpage
  subsets:
  - labels:
      version: v1
    name: v1
  trafficPolicy:
    tls:
      mode: DISABLE

访问失败

名称空间有效

pa-default.yaml

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: default
spec:
  mtls:
    mode: STRICT

selector

pa-productpage-selector.yaml

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: productpage
spec:
  selector:
    matchLabels:
      app: productpage
  mtls:
    mode: STRICT

mtls

PeerAuthentication.MutualTLS.Mode

NameDescription
UNSETInherit from parent, if has one. Otherwise treated as PERMISSIVE.
DISABLEConnection is not tunneled.
PERMISSIVEConnection can be either plaintext or mTLS tunnel.
STRICTConnection is an mTLS tunnel (TLS with client cert must be presented).

mode

UNSET

pa-productpage-mode-UNSET.yaml

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: productpage
spec:
  selector:
    matchLabels:
      app: productpage
  mtls:
    mode: UNSET

DISABLE

pa-productpage-mode-DISABLE.yaml

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: productpage
spec:
  selector:
    matchLabels:
      app: productpage
  mtls:
    mode: DISABLE

PERMISSIVE

pa-productpage-mode-PERMISSIVE.yaml

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: productpage
spec:
  selector:
    matchLabels:
      app: productpage
  mtls:
    mode: PERMISSIVE

STRICT

pa-productpage-mode-STRICT.yaml

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: productpage
spec:
  selector:
    matchLabels:
      app: productpage
  mtls:
    mode: STRICT

portLevelMtls

pa-productpage-portLevelMtls.yaml

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: productpage
spec:
  selector:
    matchLabels:
      app: productpage
  mtls:
    mode: STRICT
  portLevelMtls:
    9080:
      mode: DISABLE
四、 helm3的内置对象详解
margu_168的博客
05-15 328
2).Values 对象 描述的是value.yaml 文件(定义变量的文件)中的内容,默认为空。.Capabilities.KubeVersion和.Capabilities.KubeVersion.Version 都用于获取kubernetes 的版本号。.Template.Name 用于获取当前模板的名称和路径(例如:mychart/templates/mytemplate.yaml).Release.Name release 的名称。
云原生安全核心:传输层TLS加密详解
like21a的博客
06-22 928
🔥「炎码工坊」技术弹药已装填!点击关注 → 解锁工业级干货【工具实测|项目避坑|源码燃烧指南】在零信任架构中,TLS不是可选项,而是云原生数据流动的生命线。
Istio 安全 mTLS认证 PeerAuthentication
小楼一夜听春雨,深巷明朝卖杏花
08-01 1796
mTLS (mutual TLS,双向TLS): 让客户端和服务器端通信的时候都必须进行TLS认证默认情况下,在网格内部默认启用了mTLS了。在网格里面所有的pod, 不管是istio使用到的pod,还是普通创建的pod1 pod2,都会通过mtls来进行通信,也就是互相认证。上面其实就演示了网格之外的主机要和pod通信的时候必须得要建立这样一个mtls的通信。对于网格之外的主机,网格外面的主机和pod通信的时候并没有要求使用tls认证。STRICT:工作负载仅接受双向TLS通信。
istio入门到精通【400节大课】
07-10
为什么使用istio:云平台令使用它们的公司受益匪浅。但不可否认的是,上云会给 DevOps 团队带来压力。为了可移植性,开发人员必须使用微服务来构建应用,同时运维人员也正在管理着极端庞大的混合云和多云的部署环境。 Istio 允许您连接、保护、控制和观察服务。从较高的层面来说,Istio 有助于降低这些部署的复杂性,并减轻开发团队的压力。它是一个完全开源的服务网格,作为透明的一层接入到现有的分布式应用程序里。它也是一个平台,拥有可以集成任何日志、遥测和策略系统的 API 接口。Istio 多样化的特性使您能够成功且高效地运行分布式微服务架构,并提供保护、连接和监控微服务的统一方法。教学内容:istio原理,envoy原理,envoy案例,envoy配置,istio crd配置,istio流量管理,istio安全配置,istio可观察性,istio策略控制,istio升级,istio常见问题,istio wasm,istio多控制面板,gateway-api,slime教学特色:a.1000多个istio实战案例,20多个envoy案例。800多个envoyfilter案例,全程已实战为主,理论相对较少,案例90%可试验b.涵盖98%以上crd字段配置c.不仅讲解yaml配置,同时结合envoy配置讲解d.不回避难点内容,深入讲解envoyfilter配置e深入讲解envoyf详细讲解额外内容,比如gateway-api,wasm,升降级,发布,灰度发布,蓝绿发布,istioctl命令,slime,多控制面板,多集群,常见问题g以一个完整案例串联所有内容h以markdown文件提供课件,内容详细,方便大家练习I有学员指出我的istio课程不够突出重点,安装80/20原则,20%内容是常用的,那我是否就讲这20%就可以了呢,其他课程确实是这么干的,他们只讲擅长的20%,我的目的不是这样的,我希望istio课程买我的一个就够了,让你全面学习istio,甚至遇到偏的问题不需要百度,课程里就有讲过,但是难免会出现一个问题,就是不够突出重点,我尽量兼顾全面的时候突出重点,讲到重点,核心功能时我会提示下。 
istio 认证:对等身份认证+服务请求认证
MaoVazquez的博客
12-19 1114
metadata:name: testspec:selector:app: testmtls:3001:selector 选择器istio 通过 selector 选择认证策略作用的负载selector 可以为空,表示该认证策略配置给指定命名空间或服务网格全局selector:app: testmtls 认证配置STRICT:典型用法,只接收双向 TLS 的流量PERMISSIVE:既可以接收双向 TLS 流量,也可以接收飞加密流量DISABLE:禁用双向 TLS。
PeerAuthentication 和 RequestAuthentication
wangqiaowq的博客
09-26 524
用于服务间通信的安全认证。:用于客户端请求的身份验证。通过这两个配置对象,Istio 提供了强大的安全机制,确保服务网格内部以及外部客户端请求的安全性。
深入了解Istio的身份验证与授权机制
AI天才研究院
12-28 492
1.背景介绍 Istio是一个开源的服务网格,它为微服务架构提供了网络管理、安全性和监控等功能。Istio的身份验证与授权机制是其核心功能之一,它可以确保只有经过身份验证并具有相应权限的服务才能访问其他服务。 在本文中,我们将深入了解Istio的身份验证与授权机制,包括其核心概念、算法原理、具体操作步骤以及数学模型公式。此外,我们还将讨论一些实际代码示例和未来发展趋势。 2.核心概念与联系 ...
Red Hat Service Mesh教程:Envoy与Istio控制平面详解
### 知识点详解 #### 1. Red Hat Service Mesh 简介 Red Hat Service Mesh是基于Istio的服务网格解决方案,它提供了一种在微服务架构中管理服务间通信的简便方式。服务网格通过代理自动注入到服务间通信路径中,...
19、Anthos 网络环境与服务连接性详解
最新发布
oil88的博客
09-09 26
本文深入解析了 Anthos 的网络环境与服务连接性,涵盖 VPC 服务控制配置、GKE IP 地址规划、私有使用公共 IP(PUPI)缓解地址耗尽问题,以及在 GCP 和混合多云环境下的多集群网络架构。详细介绍了客户端到服务、服务到服务及服务到外部服务的连接模式,并结合 Anthos Service Mesh(ASM)提供了安全、高效的通信方案。文章还总结了不同场景下的操作要点与优化建议,帮助用户构建弹性、安全且高性能的 Anthos 平台。
20、Istio 分布式追踪、可视化与安全认证详解
study的专栏
08-07 34
本文详细介绍了 Istio 在服务网格中的分布式追踪配置、可视化工具 Kiali 的使用、应用安全基础、服务间认证与授权机制,以及安全配置实践。通过配置分布式追踪的采样率、使用 Kiali 进行服务网格可视化,以及基于 SPIFFE 和 PKI 的身份认证与 TLS 加密,Istio 提供了强大的工具来保障和监控微服务架构的安全性与可观测性。最后总结了 Istio 在实际应用中如何灵活配置以实现高性能和高安全性的建议。
Isito 入门(九):安全认证
dotNET跨平台
11-02 287
本教程已加入 Istio 系列:https://istio.whuanle.cn目录7,认证Peer AuthenticationRequestAuthencationPeerAuthentication 的定义实验RequestAuthencation 的定义AuthorizationPolicy 的定义实验提供 jwksjson创建 RequestAuthentication7,认证本章的内容...
k8s实战之istio资源详解
07-02
云平台令使用它们的公司受益匪浅。但不可否认的是,上云会给 DevOps 团队带来压力。为了可移植性,开发人员必须使用微服务来构建应用,同时运维人员也正在管理着极端庞大的混合云和多云的部署环境。 Istio 允许您连接、保护、控制和观察服务。从较高的层面来说,Istio 有助于降低这些部署的复杂性,并减轻开发团队的压力。它是一个完全开源的服务网格,作为透明的一层接入到现有的分布式应用程序里。它也是一个平台,拥有可以集成任何日志、遥测和策略系统的 API 接口。Istio 多样化的特性使您能够成功且高效地运行分布式微服务架构,并提供保护、连接和监控微服务的统一方法。本课程详细讲解istio的各种crd资源,如何写yaml配置文件,以及他们会起什么作用。
Kubernetes使用流量管理平台Istio(四)
邢宁
04-07 1227
基于Istio的认证 Istio通过客户端和服务器端Policy Enforcement Points(PEPS)建立服务到服务的通信通道,PEPS在istio架构中的实现是envoy。 Peer authentication: 用于服务到服务的认证,一验证进行连接的客户端。 istio提供双向TLS作为传输认证的全栈解决方案,无需更改服务代码就可以启用它。这个解决方案为: 为每个服务提供强大的身份,表示其角色,以实现跨集群和云的互操作性。 保护服务到服务的通信 提供密钥管理系统,以自动进行密钥和证书
PostgreSQL简介(四)—— Client Authentication
迷途的攻城狮
07-25 3482
1、客户端身份认证 与Unix计算机用户登陆类似,客户端应用程序通过指定的数据库用户名登陆数据库服务器。数据库用户名决定了客户端程序的访问权限,因此,明确哪些用户可以连接到数据库显得尤为重要。 PostgreSQL提供了好几种客户端身份认证方式,这些验证方式基于client host、database、user来进行特定的客户端身份认证。 PostgreSQL server的数据库用户与Po...
PostgreSQL 登录报错 psql: FATAL: Peer authentication failed for user
u011250186的博客
12-17 6083
在 peer 错误前,我安装 pgsql 后使用默认用户 postgres 登录的时候报错,当我直接敲命令# psql, psql: could not connect to server: No such file or directory Is the server running locally and accepting connections on Unix...
HTTPS原理以及Java实现
清箫的专栏
12-07 6135
HTTPS协议是HTTP协议和SSL协议的结合体,使用HTTPS发送数据意味着消息首先经过SSL加密,然后通过HTTP协议转发,最后再由接收方的SSL解密。 都知道SSL/TLS使用了非对称加密(RAS或DSA),但非对称加密是很复杂而且很慢的。所以在实际中,客户端拿到第三方CertificateAuthority提供的数字证书(包含公钥),解出公钥之后并不是直接用公钥对数据做非对称加密。而是利
Peer authentication failed for user "postgres" 的解决办法
彦清专栏
03-10 9969
1. Peer authentication 是默认的配置,如果你的计算机用户名和你的postgres数据库名是一样的话,那么就不会出现此错误,不需要为你的数据库设置密码。2. md5 authentication,它需要密码。而我的计算机用户名和我的数据库名不一致,所以需要把Peer authentication改成md5 authentication,然后给数据库设置密码。在哪里改?执行命令:...
Istio中的安全策略
JosephThatwho的博客
03-15 873
微服务带来灵活性、可伸缩性和复用性的同时,还需要考虑一下安全问题: 使用流量加密组织中间人攻击 提供灵活的访问控制,比如双向TLS加密和细粒度的访问策略 检索谁在什么时间做了什么操作,这需要审计工具 Istio可以处理内外部的威胁,给数据、端点、通信和平台提供安全性。 Istio提供了强身份认证、权限策略、传输TLS加密以及认证、授权和审计(AAA)工具。 上层架构 Istio的安全性涉及多个部分: 用于密钥和证书管理的证书颁发机构(CA) 配置API服务器分发给代理 认证策略 鉴权策略 安全命名
Istio mtls 使用
baobaoxiannv的博客
07-24 1153
Istio 版本: 1.6.0 1:设置启动参数 $ kubectl get iop -A -oyaml > temp.yaml $ vim temp.yaml # 添加 enableAutoMtls: true PeerAuthentication CRD 解释 PeerAuthentication 定义流量是否通过隧道到达 SideCar apiVersion: security.istio.io/v1beta1 kind: PeerAuthentication metadata: nam
Oracle LSNRCTL 命令详解与应用
"Oracle的lsnrctl工具是一个用于管理和控制Oracle数据库监听器的命令行工具。它允许用户启动、停止和查看监听器的状态,以及管理相关的服务和连接配置。" 在Oracle数据库环境中,监听器(Listener)是负责接收...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

hxpjava1

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值