istio 允许服务间不安全连接

最新推荐文章于 2024-10-17 09:11:44 发布

lswzw

最新推荐文章于 2024-10-17 09:11:44 发布

阅读量885

点赞数

分类专栏：虚拟化

本文链接：https://blog.youkuaiyun.com/lswzw/article/details/106834827

版权

虚拟化专栏收录该内容

68 篇文章

订阅专栏

在Istio环境中，自动注入服务可能导致特定服务如StatefulSet创建的服务未被注入，进而引发安全连接问题。本文介绍如何通过DestinationRule允许不安全连接，以及手动注入Istio到StatefulSet服务的方法。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

istio 允许服务间不安全连接

集群中开启了自动注入istio，但是通过 statefulset 创建的服务没办法注入。
导致istio已经注入的服务访问有状态服务时出现不可信任连接。导致服务无法访问。
可以通过下面指定host允许不安全连接。

apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
  name: consul
  namespace: test
spec:
  host: test-consul.test.svc.cluster.local
  trafficPolicy:
    tls:
      mode: DISABLE

当然还可以手动注入statefulset 服务。这样istio接管流量，即可实现安全连接。
具体：

kubectl get pod test-consul -n test -o yaml > test-consul.yaml

istioctl kube-inject -f test-consul.yaml | kubectl apply -f -

已知问题：
consul 注册中心不能注入istio 。注入后，服务已关但服务注册还在，监控检查也能通过。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

lswzw

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

云原生之深入解析K8S Istio Gateway服务的架构分析与实战操作

╰つ栺尖篴夢ゞ

07-07

3303

Istio 提供一种简单的方式来为已部署的服务建立网络，该网络具有负载均衡、服务间认证、监控、网关等功能，而不需要对服务的代码做任何改动。istio 适用于容器或虚拟机环境（特别是 k8s），兼容异构架构；istio 使用 sidecar（边车模式）代理服务的网络，不需要对业务代码本身做任何的改动；HTTP、gRPC、WebSocket 和 TCP 流量的自动负载均衡；istio 通过丰富的路由规则、重试、故障转移和故障注入，可以对流量行为进行细粒度控制；支持访问控制、速率限制和配额。

云原生之服务网格Istio实战教程

kkchenjj的博客

07-11

955

在Istio中，自定义适配器和扩展允许用户根据特定需求定制服务网格的行为。Istio的控制平面设计为可插拔的，这意味着你可以添加自己的适配器来处理特定的业务逻辑或与外部系统集成。适配器可以接收来自Envoy代理的事件，并根据这些事件执行操作，如记录、监控、策略执行等。自定义适配器通过实现Istio的适配器接口，可以与Istio的控制平面集成。适配器可以是任何语言编写的，只要它能够通过gRPC或HTTP与Istio的控制平面通信。

参与评论您还未登录，请先登录后发表或查看评论

istio-fake:高仿feign，支持istio中服务调用，支持异步链路追踪

05-26

项目介绍本项目仿照Feign，旨在istio体系中，快速完成服务间调用，并保持链路追踪。去除了Feign中所有熔断，负载均衡策略，全部由istio控制。 demo demo说明 servicea提供client，serviceb依赖servicea的client并开启Fake，调用servicea提供的服务项目功能便捷的在istio框架中，完成服务调用支持多环境配置：例如本地环境微服务调用的地址可配置为本地，其他环境默认为kubernetes集群中的服务支持链路追踪：项目默认透传了如下header，可以自动支持jaeger、zipkin链路追踪 "x-request-id", "x-b3-traceid", "x-b3-spanid", "x-b3-sampled", "x-b3-flags", "x-b3-parentspanid","x-ot-span-context",

Istio：一个用于微服务间通信的服务网格开源项目

cpongo5

05-30

374

Google、IBM和Lyft开源了微服务管理、保护和监控框架Istio。Istio为希腊语，意思是“启航”。\\微服务简化了开发，它将创建复杂系统的任务切分为数十乃至上百个小服务，这些小服务易于被小型的软件工程师团队所理解和修改。但是微服务并未真正地消除复杂性，而是将复杂性迁移到对大量服务的连接、管理和监控上。其中涉及对上百个服务的管理、处理部署问题、版本控制、安全、故障转移、策略执行、遥测和监...

idou老师教你学Istio 16：如何用 Istio 实现微服务间的访问控制

weixin_30686845的博客

02-01

217

摘要使用 Istio 可以很方便地实现微服务间的访问控制。本文演示了使用 Denier 适配器实现拒绝访问，和 Listchecker 适配器实现黑白名单两种方法。使用场景有时需要对微服务间的相互访问进行控制，比如使满足某些条件（比如版本）的微服务能够（或不能）调用特定的微服务。访问控制属于策略范畴，在 Istio 中由 Mixer 组件实现。 Mixer拓扑图，来...

“此站点的连接不安全”问题解决

最新发布

weixin_45198938的博客

10-17

1984

1.打开Internet属性里添加受信任站点。2.将需要打开的网站添加进区域。

istio实战：springboot项目在istio中服务调用

luckywuxn的博客

02-25

2355

在经过前面几天k8s和Istio的安装之后，开始进入最核心的阶段。微服务在抛弃传统的服务注册和服务发现之后，是怎么在istio怎么做服务间的调用的呢？本次实战花费了我2-3天的时间，经过不断的尝试，折腾，最后终于把服务间的调用调通了。下面我将介绍我本次的实践过程，希望对于同样在研究这个技术有困难的同学提供一定的帮助。另外学会了xshell 批量发送请求done。

Istio _服务项目1

08-03

Istio 的服务入口机制是实现跨网格服务交互的关键，它可以确保网格内服务与外部服务的无缝连接，同时提供安全和高效的流量管理策略。通过精细的配置，服务条目可以满足复杂的服务发现和路由需求，为微服务架构提供...

Istio中的安全策略

JosephThatwho的博客

03-15

802

微服务带来灵活性、可伸缩性和复用性的同时，还需要考虑一下安全问题：使用流量加密组织中间人攻击提供灵活的访问控制，比如双向TLS加密和细粒度的访问策略检索谁在什么时间做了什么操作，这需要审计工具 Istio可以处理内外部的威胁，给数据、端点、通信和平台提供安全性。 Istio提供了强身份认证、权限策略、传输TLS加密以及认证、授权和审计（AAA）工具。上层架构 Istio的安全性涉及多个部分：用于密钥和证书管理的证书颁发机构（CA）配置API服务器分发给代理认证策略鉴权策略安全命名

Istio 1.15.3：Kubernetes服务网格的流量管理与安全

Istio是一个开源的服务网格解决方案，用于管理和监视微服务之间的通信，它在Kubernetes上运行，将服务间的通信抽象成一个逻辑网络。" Istio是目前最流行的开源服务网格框架，主要目标是提供一种统一的方式来连接、...

Istio实践（2）- 流量控制及服务间调用.doc

07-13

Istio实践（2）- 流量控制及服务间调用.doc

强制不让览器提示不安全的链接

freeman_hyf的博客

11-08

447

强制不让览器提示不安全的链接在开发的时候，由于不是线上环境，老是提示不安全，十分烦人 Chrome 在对应的快捷方式的位置的引号后加入一句"--allow-running-insecure-content",注意不需要引号，也不要加在引号中。 ![chrome的修改](https://img-blog.csdnimg.cn/20201108173406815.PNG?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10

Istio实践（2）-流量控制及服务间调用

「虚幻私塾」

04-13

1361

Python微信订餐小程序课程视频 https://blog.youkuaiyun.com/m0_56069948/article/details/122285951 Python实战量化交易理财系统 https://blog.youkuaiyun.com/m0_56069948/article/details/122285941 前言：接上一篇istio应用部署，本文介绍通过virtualservice实现流量控制，并通过部署client端进行服务调用实例 1. 修改virtualservice组件，实现权重占比访问不同版本服务

部署服务引入与使用Istio（服务网格）

阿啄debugIT

02-14

862

前言 Istio已经18年中推出1.0 正式版本，并表示已可用于生产环境。目前我们对网络计费计量有需求，而服务网格能实现网络指标收集、限流、访问控制和端到端认证、故障恢复和监控以及通常更加复杂的运维需求。对于开发来说，只需要进行http服务（支持tcp/udp）调用（与使用原来的服务发现模式一样），中间的连接、控制、限流、认证全部交由Istio完成。服务的实现简单来说，Is...

Istio网格内部的服务访问阿里云的RDS和SMS

来啊快活啊

01-03

1101

apiVersion: networking.istio.io/v1alpha3 kind: ServiceEntry metadata: name: aliyun-mysql-serviceentry spec: hosts: - rm-bp1ggm262x1ut0v63o.mysql.rds.aliyuncs.com location: MESH_EXTERNAL port...

istio 部署及调用链显示

yuhaiyang457288的专栏

03-20

917

选择版本号下载 https://github.com/istio/istio/releases/ 下载: wget https://github.com/istio/istio/releases/download/1.13.2/istio-1.13.2-linux-amd64.tar.gz 解压 tar -xvf istio-1.13.2-linux-amd64....

Istio微服务平台集成实践

Docker的专栏

11-04

870

Istio发布1.0版本后，其服务发现和路由规则功能已基本具备production能力，我们也开始了Istio和公司内部微服务平台的集成工作，打算以Istio为基础打造一...

StatefulSet有状态应用副本集

Jesse技术博客

09-13

2287

statefulset有状态应用副本集 PetSet -> StatefulSet 1.文档且唯一的网络标识符 2.稳定且持久的存储 3.有序，平滑的部署和扩展 4.有序，平滑的删除和终止 5.有序的滚动更新三个组件： headless service StatefulSet volumeClaimTemplate 实验的前期准备条件： master；192.168.68.10 nod...

超详细教程，一文入门Istio架构原理及实战应用

博学谷狂野架构师的博客

07-04

8485

实际上Istio 就是 Service Mesh 架构的一种实现，服务之间的通信（比如这里的 Service A 访问 Service B）会通过代理（默认是 Envoy）来进行。而且中间的网络协议支持 HTTP/1.1，HTTP/2，gRPC 或者 TCP，可以说覆盖了主流的通信协议。代理这一层，称之为数据平面。控制平面做了进一步的细分，分成了 Pilot、Citadel 和 Galley，它们的各自功能如下：数据平面会和控制平面通信，一方面可以获取需要的服务之间的信息，另一方面也可以汇报服务调用的 Me