PeerAuthentication 和 RequestAuthentication

原创 于 2024-09-26 10:19:20 发布 · 531 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#数据库

在 Istio 服务网格中,PeerAuthenticationRequestAuthentication 是两个重要的配置对象,用于定义服务间的身份验证和客户端请求的身份验证策略。这两个配置对象分别解决了不同的安全需求:

PeerAuthentication

PeerAuthentication 用于配置服务网格内部的服务间身份验证策略。它确保服务之间的通信是安全的,并且仅允许已认证的服务进行通信。

PeerAuthentication 的作用
  1. 双向 mTLS 认证:确保服务间通信使用双向 mTLS(Mutual TLS)进行加密和身份验证。
  2. 证书管理:定义服务间通信所需的证书和密钥。
  3. 信任域:定义信任域内的服务可以互相通信。
  4. 策略应用范围:可以选择在全局范围内应用策略,也可以针对特定命名空间或服务。
PeerAuthentication 示例

以下是一个简单的 PeerAuthentication 配置示例,用于启用全局双向 mTLS 认证:

Yaml

深色版本

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: default
spec:
  mtls:
    mode: STRICT # 可选值:STRICT, PERMISSIVE, DISABLE

在这个示例中,default PeerAuthentication 配置启用了全局范围内服务间的双向 mTLS 认证。可以选择的模式包括:

  • STRICT:强制所有服务间通信使用双向 mTLS。
  • PERMISSIVE:允许明文通信,但优先使用 mTLS。
  • DISABLE:禁用双向 mTLS 认证。

RequestAuthentication

RequestAuthentication 用于配置客户端请求的身份验证策略。它确保从客户端(如浏览器、移动应用或其他服务)到服务网格中的服务的请求是经过身份验证的。

RequestAuthentication 的作用
  1. 客户端身份验证:定义客户端请求的身份验证机制,如 JWT(JSON Web Token)、OAuth2 等。
  2. 身份验证配置:定义身份验证所需的配置信息,如 JWT 的颁发者、公钥等。
  3. 授权策略:根据身份验证结果进行授权决策。
  4. 适用范围:可以选择在全局范围内应用策略,也可以针对特定命名空间或服务。
RequestAuthentication 示例

以下是一个简单的 RequestAuthentication 配置示例,用于配置客户端请求的身份验证:

Yaml

深色版本

apiVersion: security.istio.io/v1beta1
kind: RequestAuthentication
metadata:
  name: default
spec:
  jwt:
    issuer: "https://example.com/auth" # JWT 颁发者
    jwksUri: "https://example.com/jwks" # JWT 公钥 URL

在这个示例中,default RequestAuthentication 配置定义了客户端请求使用 JWT 进行身份验证。JWT 的颁发者是 https://example.com/auth,公钥可以从 https://example.com/jwks 获取。

组合使用

PeerAuthenticationRequestAuthentication 可以组合使用,以实现服务网格内外的安全通信。通常情况下,PeerAuthentication 用于确保服务网格内部的安全通信,而 RequestAuthentication 用于确保从外部客户端到服务网格的服务请求的安全性。

综合示例

以下是结合 PeerAuthenticationRequestAuthentication 的综合示例:

Yaml

深色版本

# peer-auth.yaml
apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: default
spec:
  mtls:
    mode: STRICT

# request-auth.yaml
apiVersion: security.istio.io/v1beta1
kind: RequestAuthentication
metadata:
  name: default
spec:
  jwt:
    issuer: "https://example.com/auth"
    jwksUri: "https://example.com/jwks"

在这个综合示例中,peer-auth.yaml 启用了服务间的双向 mTLS 认证,而 request-auth.yaml 配置了客户端请求的身份验证策略。

总结

  • PeerAuthentication:用于服务间通信的安全认证。
  • RequestAuthentication:用于客户端请求的身份验证。

通过这两个配置对象,Istio 提供了强大的安全机制,确保服务网格内部以及外部客户端请求的安全性。

潇锐killer
关注
39、使用Kubernetes服务网格简化系统架构并提升管理能力
v4w5x6的博客
07-02 31
本文介绍了如何利用Kubernetes服务网格(如Istio)简化微服务架构,并提升系统的可观测性、安全性、弹性管理能力。内容涵盖Kubernetes的基本操作、Istio的架构部署、微服务的注入与流量管理、服务安全认证、弹性测试以及零停机更新的实现方式。通过Docker Compose验证微服务代码的可移植性,确保其不依赖特定平台运行。
12、微服务通信安全与服务网格可观测性
最新发布
CAT789的专栏
07-11 39
本文探讨了微服务架构下的通信安全服务网格的可观测性。在通信安全方面,涵盖了部署组件、生成客户端证书、配置mTLS、使用Auth0进行用户认证及Istio的RequestAuthenticationAuthorizationPolicy策略。在可观测性部分,介绍了Prometheus指标抓取与自定义、Grafana可视化以及基于Jaeger的分布式跟踪。通过实践示例,帮助读者构建安全、可靠的微服务系统。
requestAuthentication详解
mark's technic world
05-31 3278
学习目标 什么是RequestAuthentication RequestAuthentication defines what request authentication methods are supported by a workload. It will reject a request if the request contains invalid authentication information, based on the configured authenti...
PeerAuthentication详解
mark's technic world
05-31 1084
学习目标 什么是PeerAuthentication PeerAuthentication defines how traffic will be(mtls) tunneled (or not) to the sidecar. 资源详解 Field Type Description Required selector WorkloadSelector The selector determines the workloads to apply th...
Android 实现request HTTP authentication(授权认证开发)
jia635的专栏
12-06 2914
这几天开发对外的SDK,可以实现登陆,支付。类似开发一套QQ,微信第三方登陆。使用的是OAuth 2.0的授权协议。其中用到了 Http Authentication,查阅网上资料,各种答案都有,有的不知道有没有验证,有的相关API已经过期。 如果通过抓包工具(Charles)可对比观察Authentication请求效果           左图是有设置认证的Post请
28、Authentication request failed: error=“access_denied“, error_description=“Invalid token does not c
lixiang987654321的专栏
03-12 9841
主题错误: Authentication request failed: error="access_denied", error_description="Invalid token does not contain resource id (oauth2-resource)" 发博词 Spring Security OAuth2 架构上分为Authorization Server...
Istio 安全 mTLS认证 PeerAuthentication
小楼一夜听春雨,深巷明朝卖杏花
08-01 1800
mTLS (mutual TLS,双向TLS): 让客户端服务器端通信的时候都必须进行TLS认证默认情况下,在网格内部默认启用了mTLS了。在网格里面所有的pod, 不管是istio使用到的pod,还是普通创建的pod1 pod2,都会通过mtls来进行通信,也就是互相认证。上面其实就演示了网格之外的主机要pod通信的时候必须得要建立这样一个mtls的通信。对于网格之外的主机,网格外面的主机pod通信的时候并没有要求使用tls认证。STRICT:工作负载仅接受双向TLS通信。
在Kubernetes集群中,如何安装Istio并配置服务网格以实现微服务的流量管理安全性?
11-01
可以通过定义PeerAuthenticationRequestAuthentication CRDs来开启双向TLS定义服务访问权限。 ```yaml apiVersion: 参考资源链接:[Istio入门指南:从官方文档看微服务流量管理与安全]...
Istio 101工作坊:IBM Istio服务网格入门指南
通过 PeerAuthentication RequestAuthentication 策略,管理员可以强制执行安全策略,防止未授权访问。此外,Istio 与 SPIFFE/SPIRE 集成,支持零信任安全模型,进一步提升系统安全性。 可观测性方面,Istio 内...
istio入门到精通【400节大课】
07-10
为什么使用istio:云平台令使用它们的公司受益匪浅。但不可否认的是,上云会给 DevOps 团队带来压力。为了可移植性,开发人员必须使用微服务来构建应用,同时运维人员也正在管理着极端庞大的混合云多云的部署环境。 Istio 允许您连接、保护、控制观察服务。从较高的层面来说,Istio 有助于降低这些部署的复杂性,并减轻开发团队的压力。它是一个完全开源的服务网格,作为透明的一层接入到现有的分布式应用程序里。它也是一个平台,拥有可以集成任何日志、遥测策略系统的 API 接口。Istio 多样化的特性使您能够成功且高效地运行分布式微服务架构,并提供保护、连接监控微服务的统一方法。教学内容:istio原理,envoy原理,envoy案例,envoy配置,istio crd配置,istio流量管理,istio安全配置,istio可观察性,istio策略控制,istio升级,istio常见问题,istio wasm,istio多控制面板,gateway-api,slime教学特色:a.1000多个istio实战案例,20多个envoy案例。800多个envoyfilter案例,全程已实战为主,理论相对较少,案例90%可试验b.涵盖98%以上crd字段配置c.不仅讲解yaml配置,同时结合envoy配置讲解d.不回避难点内容,深入讲解envoyfilter配置e深入讲解envoyf详细讲解额外内容,比如gateway-api,wasm,升降级,发布,灰度发布,蓝绿发布,istioctl命令,slime,多控制面板,多集群,常见问题g以一个完整案例串联所有内容h以markdown文件提供课件,内容详细,方便大家练习I有学员指出我的istio课程不够突出重点,安装80/20原则,20%内容是常用的,那我是否就讲这20%就可以了呢,其他课程确实是这么干的,他们只讲擅长的20%,我的目的不是这样的,我希望istio课程买我的一个就够了,让你全面学习istio,甚至遇到偏的问题不需要百度,课程里就有讲过,但是难免会出现一个问题,就是不够突出重点,我尽量兼顾全面的时候突出重点,讲到重点,核心功能时我会提示下。 
SpringSecurity认证流程
孬蛋的博客
04-28 778
认证流程 一、UsernamePasswordAuthenticationFilter 该过滤器注释是用来获取表单提交信息,默认参数名是usernamepassword,这些是可以修改的。 当我们在自定义页面时,会继承WebSecurityConfigurerAdapter来通过重写方法来进行security的配置,其中formLogin可以配置。 进入formLogin,可以看到该方法返回了一个FormLoginConfigurer,接着进入 这时可以看到我们的一些配置在该类又有对应的方法来处理,
Istio mtls 使用
baobaoxiannv的博客
07-24 1155
Istio 版本: 1.6.0 1:设置启动参数 $ kubectl get iop -A -oyaml > temp.yaml $ vim temp.yaml # 添加 enableAutoMtls: true PeerAuthentication CRD 解释 PeerAuthentication 定义流量是否通过隧道到达 SideCar apiVersion: security.istio.io/v1beta1 kind: PeerAuthentication metadata: nam
SpringSecurity OAuth2.0-第2章:基于session的认证授权&含(interceptor的使用)
健康平安的活着的专栏
07-31 2553
一 基于session的认证流程 1.1 认证流程 基于session的认证流程为: 用户认证成功后,在服务端生成用户相关的数据保存在session(当前会话),而发 给客户端的 sesssion_id 存放到 cookie 中,这样用客户端请求时带上 session_id 就可以验证服务器端是否存在 session 数据,以此完成用户的合法校验。当用户退出系统或session过期销毁时,客户端的session_id也就无效了。 流程如下: 基于Session的认证机制由Servlet规范定制.
PostgreSQL简介(四)—— Client Authentication
迷途的攻城狮
07-25 3486
1、客户端身份认证 与Unix计算机用户登陆类似,客户端应用程序通过指定的数据库用户名登陆数据库服务器。数据库用户名决定了客户端程序的访问权限,因此,明确哪些用户可以连接到数据库显得尤为重要。 PostgreSQL提供了好几种客户端身份认证方式,这些验证方式基于client host、database、user来进行特定的客户端身份认证。 PostgreSQL server的数据库用户与Po...
PostgreSQL 登录报错 psql: FATAL: Peer authentication failed for user
u011250186的博客
12-17 6083
在 peer 错误前,我安装 pgsql 后使用默认用户 postgres 登录的时候报错,当我直接敲命令# psql, psql: could not connect to server: No such file or directory Is the server running locally and accepting connections on Unix...
Kubernetes使用流量管理平台Istio(四)
邢宁
04-07 1232
基于Istio的认证 Istio通过客户端服务器端Policy Enforcement Points(PEPS)建立服务到服务的通信通道,PEPS在istio架构中的实现是envoy。 Peer authentication: 用于服务到服务的认证,一验证进行连接的客户端。 istio提供双向TLS作为传输认证的全栈解决方案,无需更改服务代码就可以启用它。这个解决方案为: 为每个服务提供强大的身份,表示其角色,以实现跨集群云的互操作性。 保护服务到服务的通信 提供密钥管理系统,以自动进行密钥证书
[istio]istio学习笔记
小小李的博客
12-27 764
1.k8s部署,可以参考k8s部署 2.下载istio curl -L https://istio.io/downloadIstio | sh - 将istio的bin加入到环境变量 [root@master ~]# cat ~/.bash_profile |grep istio PATH=/home/yunwei/istio-1.5.1/bin:$PATH:$HOME/bin 3.安装istio istioctl manifest apply --set profile=demo .
Istio的安全性
Linux_cui的博客
08-14 524
istio安全认证
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值