这篇是istio流量治理的部分配置记录一下,主要还是参考官方文档

流量管理

连接池管理、熔断

apiVersion: networking.istio.io/v1beta1
kind: DestinationRule
metadata:annotations:meta.helm.sh/release-name: mesh-demometa.helm.sh/release-namespace: istio-systemcreationTimestamp: "2022-07-13T07:37:22Z"generation: 7labels:app.kubernetes.io/managed-by: Helmname: consumernamespace: demo-dubboresourceVersion: "18084867"uid: 556f20f9-379e-4e1b-bb80-2f2206b0ffa4
spec:host: consumersubsets:- labels:version: v1name: v1- labels:version: v1name: baseline- labels:version: "655"name: "655"trafficPolicy:connectionPool:       ##连接池配置http:http1MaxPendingRequests: 6http2MaxRequests: 4maxRequestsPerConnection: 9maxRetries: 3tcp:connectTimeout: 2000msmaxConnections: 11loadBalancer:           ##负载均衡算法simple: LEAST_CONNoutlierDetection:       ##熔断配置baseEjectionTime: 4sconsecutive5xxErrors: 2consecutiveErrors: 2interval: 3smaxEjectionPercent: 30

重试、超时

apiVersion: networking.istio.io/v1beta1
kind: VirtualService
metadata:annotations:baseline: v1gray: "655"creationTimestamp: "2022-07-20T09:04:40Z"generation: 3name: consumernamespace: demo-dubboresourceVersion: "17269866"uid: d9988797-445a-4cdb-9b3e-68856ff1bfe0
spec:hosts:- consumerhttp:- name: baseretries:                ##重试attempts: 3retryOn: retriable-4xx,5xxroute:- destination:host: consumersubset: baselinetimeout: 1000ms             ##超时时间

零信任安全

定义:在不信任的网络上建立安全。

双向身份认证:

定义:开启双向TLS身份认证功能,组件之间通过密文通信

使用DestinationRule来定义启用或禁用双向TLS认证

apiVersion: networking.istio.io/v1beta1
kind: DestinationRule
metadata:annotations:meta.helm.sh/release-name: mesh-demometa.helm.sh/release-namespace: istio-systemcreationTimestamp: "2022-07-13T07:37:22Z"generation: 10labels:app.kubernetes.io/managed-by: Helmname: providernamespace: demoresourceVersion: "18085099"uid: 1c3e0ef6-1751-4a68-8d5e-b7d487f2d1bd
spec:host: providerssubsets:- labels:appversion: v1name: v1- labels:appversion: v2name: v2- labels:appversion: v22name: v22trafficPolicy:tls:mode: ISTIO_MUTUAL. ### DISABLE=关闭 ISTIO_MUTUAL=开启

PeerAuthentication

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:creationTimestamp: "2022-08-04T09:37:05Z"generation: 1name: consumernamespace: demo-dubboresourceVersion: "18084866"uid: 4535fea1-4d0d-46e9-8ae9-8eac7f4d8a40
spec:mtls:mode: STRICTselector:matchLabels:app: consumer

请求认证:

定义:创建JWT请求认证策略,可以定义请求头中的ACCESS TOKEN,以及JWT TOKEN 生成的相关信息

RequestAuthentication

apiVersion: security.istio.io/v1beta1
kind: RequestAuthentication
metadata:creationTimestamp: "2022-08-04T02:21:38Z"generation: 1name: consumernamespace: demo-dubboresourceVersion: "17962899"uid: a63a0c33-cd8b-4c13-93e3-c4ae40f6cce0
spec:jwtRules:- issuer: testing@service.istio.cojwks: "{\n\t\"keys\": [{\n\t\t\"e\": \"AQBQ\",\n\t\t\"kid\": \"DHFbpolUqrY8t2zpA2qXfCmr5VO5ZEr4RzHU_envvQ\",\n\t\t\"kty\":\"RSA\",\n\t\t\"n\": \"xAE7B6qugXyCAG3yhh7pkDkT65pHym\"\n\t}]\n}"selector:matchLabels:app: consumer

授权策略:

定义:用于认证请求头中的ACCESS TOKEN 是否可信,并授权给来源合法的请求

AuthorizationPolicy

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:creationTimestamp: "2022-08-04T02:21:38Z"generation: 2name: consumernamespace: demo-dubboresourceVersion: "18057826"uid: 4c088af6-a510-4651-8883-383e3e47874d
spec:action: DENYrules:- from:- source:principals:- 1=1to:- operation:paths:- /addwhen:- key: destination.portvalues:- "8080"selector:matchLabels:app: consumer

istio流量管理和零信任安全配置相关推荐

  1. Kubernetes 下零信任安全架构分析

    作者 杨宁(麟童) 阿里云基础产品事业部高级安全专家 刘梓溪(寞白) 蚂蚁金服大安全基础安全安全专家 李婷婷(鸿杉) 蚂蚁金服大安全基础安全资深安全专家 简介 零信任安全最早由著名研究机构 Forre ...

  2. CISA零信任成熟度模型(译文)

    摘要:2023年4月,CISA发布了ZTMM(Zero Trust Maturity Model)2.0版本,按照联邦行政命令<改善国家网络安全>(EO 14028)和美国白宫办公厅(OM ...

  3. 如何缩小安全漏洞爆炸半径,实现服务间零信任安全?

    作者:王夕宁, 奇方 近日国内外多家安全机构监测到 Apache Log4j 存在任意代码执行漏洞(漏洞编号:CVE-2021-44228),未取得身份认证的用户,可以从远程发送数据请求输入数据日志, ...

  4. 了解零信任-SDP关系

    对于零信任,你需要了解的第一件事情是,对于一个强大的概念来说,这个名称并不是很好.这里的重点不是:没有什么可信任.相反,重点是:没有假定的信任.所有信任关系都需要明确说明. 也许最好将零信任表述为零隐 ...

  5. 零信任策略下云上安全信息与事件管理实践

    简介:随着企业数字化转型的深入推进,网络安全越来越被企业所重视.为了构建完备的安全防御体系,企业通常会引入了防火墙(Firewall).防病毒系统(Anti-Virus System,AVS).入侵防 ...

  6. 对话猿辅导:阿里云远程办公零信任落地创新安全

    简介: 大型实战场景验证,灵活应对复杂环境. 2020,一场突如其来的新冠疫情,引发了史上最大规模的远程办公.疫情让安全问题暴露得更加突出,与疫情的对抗也是阿里云安全的战场. 9月18日,2020云栖 ...

  7. 零信任技术进阶篇(关键技术及挑战、BeyondCorp安全模型)

    目录 零信任理论所需技术 零信任落地所需技术 零信任网络的技术难点 零信任网络控制平面 如何突破零信任的挑战 零信任迁移中的另一项挑战,是让员工具备该新理念的思维方式 BeyondCorp: 谷歌零信 ...

  8. 认识零信任安全网络架构

    目录 一.前言: 二.什么是零信任网络? 三.为什么选择零信任网络? 四.零信任网络与传统安全模型 五.零信任网络的设计原则 六.零信任架构的逻辑组成 七.零信任架构的部署形式 八.总结 一.前言: ...

  9. 错误:非法证书不受信任_企业零信任:完善访问控制

    错误:非法证书不受信任 This blog was co-written by Max Saltonstall and Jen Person 该博客由 Max Saltonstall 和Jen Per ...

最新文章

  1. 请教一个算法问题,有两个数组A,B,判断A中是否至少有一个元素和B中元素相同...
  2. AngularJS 实现的输入自动完成补充功能
  3. 【前端面试分享】- 寒冬求职下篇
  4. jvm性能调优实战 - 48无限循环调用和没有缓存的动态代理引起的OOM
  5. 【信息抽取】介绍一种端到端的关系抽取方法
  6. 转载---SQL Server XML基础学习之5--XQuery(query)
  7. JAVA 入门(2)-如何编译源代码
  8. 【python】lambda函数
  9. linux用命令行运行matlab的.mat文件
  10. 国产GPGPU如何赶超国外?这3条路最有希望
  11. 大一新生如何h看待大学生活?
  12. 1 统计学习方法基础
  13. 计算机无法安装小丸工具箱,小丸工具箱
  14. PS cc 2019自由变换默认等比例缩放操作问题的解决方法
  15. 李华《灵武二孝赞并序》中之“灵武”系指何地?
  16. 苹果账号续费以及过期更新问题
  17. mxnet load生成的json模型告警src/nnvm/legacy_json_util.cc:204: Warning: loading symbol saved by MXNet versio
  18. 爱奇艺电视果连不到WiFi的解决办法
  19. 佛说:前生五百次的凝眸,换今生一次的擦肩
  20. Object Detection with Discriminatively Trained Part-Based Models

热门文章

  1. 精准营销 工业品网络营销系列讲座第一课 张进老师主讲
  2. 14、课程总结与回顾
  3. [PAT A1025]PAT Ranking
  4. 巨头新贵为何都爱「低代码」?一头数字化现金牛!
  5. Android11.0 增加人脸解锁功能
  6. 算法工程师10——opencv
  7. UltraEdit安装方法
  8. 无线系统(EEEN3006J-Wireless Systems)复习笔记 (4)
  9. 软件测试,如何测试网站的安全性呢
  10. BugScan插件编写高(gǎo)级(jī)教程