istio流量管理和零信任安全配置
这篇是istio流量治理的部分配置记录一下,主要还是参考官方文档
流量管理
连接池管理、熔断
apiVersion: networking.istio.io/v1beta1
kind: DestinationRule
metadata:annotations:meta.helm.sh/release-name: mesh-demometa.helm.sh/release-namespace: istio-systemcreationTimestamp: "2022-07-13T07:37:22Z"generation: 7labels:app.kubernetes.io/managed-by: Helmname: consumernamespace: demo-dubboresourceVersion: "18084867"uid: 556f20f9-379e-4e1b-bb80-2f2206b0ffa4
spec:host: consumersubsets:- labels:version: v1name: v1- labels:version: v1name: baseline- labels:version: "655"name: "655"trafficPolicy:connectionPool: ##连接池配置http:http1MaxPendingRequests: 6http2MaxRequests: 4maxRequestsPerConnection: 9maxRetries: 3tcp:connectTimeout: 2000msmaxConnections: 11loadBalancer: ##负载均衡算法simple: LEAST_CONNoutlierDetection: ##熔断配置baseEjectionTime: 4sconsecutive5xxErrors: 2consecutiveErrors: 2interval: 3smaxEjectionPercent: 30
重试、超时
apiVersion: networking.istio.io/v1beta1
kind: VirtualService
metadata:annotations:baseline: v1gray: "655"creationTimestamp: "2022-07-20T09:04:40Z"generation: 3name: consumernamespace: demo-dubboresourceVersion: "17269866"uid: d9988797-445a-4cdb-9b3e-68856ff1bfe0
spec:hosts:- consumerhttp:- name: baseretries: ##重试attempts: 3retryOn: retriable-4xx,5xxroute:- destination:host: consumersubset: baselinetimeout: 1000ms ##超时时间
零信任安全
定义:在不信任的网络上建立安全。
双向身份认证:
定义:开启双向TLS身份认证功能,组件之间通过密文通信
使用DestinationRule来定义启用或禁用双向TLS认证
apiVersion: networking.istio.io/v1beta1
kind: DestinationRule
metadata:annotations:meta.helm.sh/release-name: mesh-demometa.helm.sh/release-namespace: istio-systemcreationTimestamp: "2022-07-13T07:37:22Z"generation: 10labels:app.kubernetes.io/managed-by: Helmname: providernamespace: demoresourceVersion: "18085099"uid: 1c3e0ef6-1751-4a68-8d5e-b7d487f2d1bd
spec:host: providerssubsets:- labels:appversion: v1name: v1- labels:appversion: v2name: v2- labels:appversion: v22name: v22trafficPolicy:tls:mode: ISTIO_MUTUAL. ### DISABLE=关闭 ISTIO_MUTUAL=开启
PeerAuthentication
apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:creationTimestamp: "2022-08-04T09:37:05Z"generation: 1name: consumernamespace: demo-dubboresourceVersion: "18084866"uid: 4535fea1-4d0d-46e9-8ae9-8eac7f4d8a40
spec:mtls:mode: STRICTselector:matchLabels:app: consumer
请求认证:
定义:创建JWT请求认证策略,可以定义请求头中的ACCESS TOKEN,以及JWT TOKEN 生成的相关信息
RequestAuthentication
apiVersion: security.istio.io/v1beta1
kind: RequestAuthentication
metadata:creationTimestamp: "2022-08-04T02:21:38Z"generation: 1name: consumernamespace: demo-dubboresourceVersion: "17962899"uid: a63a0c33-cd8b-4c13-93e3-c4ae40f6cce0
spec:jwtRules:- issuer: testing@service.istio.cojwks: "{\n\t\"keys\": [{\n\t\t\"e\": \"AQBQ\",\n\t\t\"kid\": \"DHFbpolUqrY8t2zpA2qXfCmr5VO5ZEr4RzHU_envvQ\",\n\t\t\"kty\":\"RSA\",\n\t\t\"n\": \"xAE7B6qugXyCAG3yhh7pkDkT65pHym\"\n\t}]\n}"selector:matchLabels:app: consumer
授权策略:
定义:用于认证请求头中的ACCESS TOKEN 是否可信,并授权给来源合法的请求
AuthorizationPolicy
apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:creationTimestamp: "2022-08-04T02:21:38Z"generation: 2name: consumernamespace: demo-dubboresourceVersion: "18057826"uid: 4c088af6-a510-4651-8883-383e3e47874d
spec:action: DENYrules:- from:- source:principals:- 1=1to:- operation:paths:- /addwhen:- key: destination.portvalues:- "8080"selector:matchLabels:app: consumer
istio流量管理和零信任安全配置相关推荐
- Kubernetes 下零信任安全架构分析
作者 杨宁(麟童) 阿里云基础产品事业部高级安全专家 刘梓溪(寞白) 蚂蚁金服大安全基础安全安全专家 李婷婷(鸿杉) 蚂蚁金服大安全基础安全资深安全专家 简介 零信任安全最早由著名研究机构 Forre ...
- CISA零信任成熟度模型(译文)
摘要:2023年4月,CISA发布了ZTMM(Zero Trust Maturity Model)2.0版本,按照联邦行政命令<改善国家网络安全>(EO 14028)和美国白宫办公厅(OM ...
- 如何缩小安全漏洞爆炸半径,实现服务间零信任安全?
作者:王夕宁, 奇方 近日国内外多家安全机构监测到 Apache Log4j 存在任意代码执行漏洞(漏洞编号:CVE-2021-44228),未取得身份认证的用户,可以从远程发送数据请求输入数据日志, ...
- 了解零信任-SDP关系
对于零信任,你需要了解的第一件事情是,对于一个强大的概念来说,这个名称并不是很好.这里的重点不是:没有什么可信任.相反,重点是:没有假定的信任.所有信任关系都需要明确说明. 也许最好将零信任表述为零隐 ...
- 零信任策略下云上安全信息与事件管理实践
简介:随着企业数字化转型的深入推进,网络安全越来越被企业所重视.为了构建完备的安全防御体系,企业通常会引入了防火墙(Firewall).防病毒系统(Anti-Virus System,AVS).入侵防 ...
- 对话猿辅导:阿里云远程办公零信任落地创新安全
简介: 大型实战场景验证,灵活应对复杂环境. 2020,一场突如其来的新冠疫情,引发了史上最大规模的远程办公.疫情让安全问题暴露得更加突出,与疫情的对抗也是阿里云安全的战场. 9月18日,2020云栖 ...
- 零信任技术进阶篇(关键技术及挑战、BeyondCorp安全模型)
目录 零信任理论所需技术 零信任落地所需技术 零信任网络的技术难点 零信任网络控制平面 如何突破零信任的挑战 零信任迁移中的另一项挑战,是让员工具备该新理念的思维方式 BeyondCorp: 谷歌零信 ...
- 认识零信任安全网络架构
目录 一.前言: 二.什么是零信任网络? 三.为什么选择零信任网络? 四.零信任网络与传统安全模型 五.零信任网络的设计原则 六.零信任架构的逻辑组成 七.零信任架构的部署形式 八.总结 一.前言: ...
- 错误:非法证书不受信任_企业零信任:完善访问控制
错误:非法证书不受信任 This blog was co-written by Max Saltonstall and Jen Person 该博客由 Max Saltonstall 和Jen Per ...
最新文章
- 请教一个算法问题,有两个数组A,B,判断A中是否至少有一个元素和B中元素相同...
- AngularJS 实现的输入自动完成补充功能
- 【前端面试分享】- 寒冬求职下篇
- jvm性能调优实战 - 48无限循环调用和没有缓存的动态代理引起的OOM
- 【信息抽取】介绍一种端到端的关系抽取方法
- 转载---SQL Server XML基础学习之5--XQuery(query)
- JAVA 入门(2)-如何编译源代码
- 【python】lambda函数
- linux用命令行运行matlab的.mat文件
- 国产GPGPU如何赶超国外?这3条路最有希望
- 大一新生如何h看待大学生活?
- 1 统计学习方法基础
- 计算机无法安装小丸工具箱,小丸工具箱
- PS cc 2019自由变换默认等比例缩放操作问题的解决方法
- 李华《灵武二孝赞并序》中之“灵武”系指何地?
- 苹果账号续费以及过期更新问题
- mxnet load生成的json模型告警src/nnvm/legacy_json_util.cc:204: Warning: loading symbol saved by MXNet versio
- 爱奇艺电视果连不到WiFi的解决办法
- 佛说:前生五百次的凝眸,换今生一次的擦肩
- Object Detection with Discriminatively Trained Part-Based Models