溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

部署Istio實(shí)現(xiàn)雙向TLS遷移講析

發(fā)布時(shí)間:2020-04-30 13:54:01 來(lái)源:億速云 閱讀:249 作者:三月 欄目:云計(jì)算

本文主要給大家簡(jiǎn)單講講部署Istio實(shí)現(xiàn)雙向TLS遷移講析,相關(guān)專業(yè)術(shù)語(yǔ)大家可以上網(wǎng)查查或者找一些相關(guān)書籍補(bǔ)充一下,這里就不涉獵了,我們就直奔部署Istio實(shí)現(xiàn)雙向TLS遷移講析主題吧,希望可以給大家?guī)?lái)一些實(shí)際幫助。

在Istio中,雙向TLS是傳輸身份驗(yàn)證的完整堆棧解決方案,它為每個(gè)服務(wù)提供可跨集群的強(qiáng)大身份、保護(hù)服務(wù)到服務(wù)通信和最終用戶到服務(wù)通信,以及提供密鑰管理系統(tǒng)。本文闡述如何在不中斷通信的情況下,把現(xiàn)存Istio服務(wù)的流量從明文升級(jí)為雙向TLS。

使用場(chǎng)景

在部署了Istio的集群中,使用人員剛開始可能更關(guān)注功能性,服務(wù)之間的通信配置的都是明文傳輸,當(dāng)功能逐漸完善,開始關(guān)注安全性,部署有sidecar的服務(wù)需要使用雙向TLS進(jìn)行安全傳輸,但服務(wù)不能中斷,這時(shí),一個(gè)可取的方式就是進(jìn)行雙向TLS的遷移。

下面通過實(shí)例演示如何進(jìn)行雙向TLS的遷移。

環(huán)境準(zhǔn)備

?   已經(jīng)部署好Istio的集群,沒有啟用雙向TLS

?   創(chuàng)建三個(gè)命名空間,分別是 foo、bar 以及 legacy

?   在 foo、bar 中分別部署注入 Istio sidecar 的 httpbin 以及 sleep 應(yīng)用,在legacy中部署未注入sidecar的sleep應(yīng)用

檢查部署情況

部署Istio實(shí)現(xiàn)雙向TLS遷移講析

可以看到,從任意一個(gè)命名空間選一個(gè)sleep應(yīng)用,發(fā)送http請(qǐng)求到httpbin.foo,都能請(qǐng)求成功。這個(gè)時(shí)候,使用的是明文傳輸。

檢查系統(tǒng)中的認(rèn)證策略和目標(biāo)規(guī)則:

部署Istio實(shí)現(xiàn)雙向TLS遷移講析

可以看到,系統(tǒng)中在foo、bar 以及 legacy命名空間下沒有認(rèn)證策略和目標(biāo)規(guī)則。

下面開始通過配置服務(wù)端和客戶端來(lái)升級(jí)傳輸過程:

  1. 配置云服務(wù)器

向服務(wù)端注入以下策略:

部署Istio實(shí)現(xiàn)雙向TLS遷移講析

上圖策略中,模式為PERMISSIVE,這個(gè)模式讓云服務(wù)器能夠同時(shí)接收明文和雙向TLS流量,具體使用哪種方式由實(shí)際配置決定。再次驗(yàn)證網(wǎng)絡(luò)通信,可以看到所有請(qǐng)求都成功,目前使用的還是明文的方式。

部署Istio實(shí)現(xiàn)雙向TLS遷移講析

  1. 配置客戶端

通過設(shè)置下圖所示DestinationRule,為服務(wù)端添加目的地規(guī)則:

部署Istio實(shí)現(xiàn)雙向TLS遷移講析

這些規(guī)則生效后,客戶端sleep.foo 和 sleep.bar 就會(huì)開始使用雙向 TLS 和 httpbin.foo 進(jìn)行通信了,而sleep.legacy因?yàn)闆]有注入sidecar,因此不受DestinationRule 配置影響,還是使用明文來(lái)和httpbin.foo通信。

通過發(fā)送請(qǐng)求驗(yàn)證上述分析,可以看到三個(gè)應(yīng)用都訪問成功:

部署Istio實(shí)現(xiàn)雙向TLS遷移講析

  1. 鎖定使用雙向TLS(可選)

通過上述方式,可以把不同的客戶端和服務(wù)端之間流量都遷移到雙向TLS。當(dāng)系統(tǒng)中的流量都遷移完畢,并且希望所有應(yīng)用之間都通過雙向TLS進(jìn)行安全傳輸,我們可以將應(yīng)用間的傳輸鎖定為雙向TLS。具體操作方式如下:將配置的認(rèn)證策略mtls的模式修改為STRICT,這樣,服務(wù)端就只運(yùn)行使用雙向TLS這一種方式接收流量。

部署Istio實(shí)現(xiàn)雙向TLS遷移講析

鎖定之后,再發(fā)送請(qǐng)求驗(yàn)證通信,可以看到,sleep.legacy 的請(qǐng)求失敗,這是因?yàn)閟leep.legacy沒有注入sidecar,無(wú)法進(jìn)行雙向TLS傳輸。

部署Istio實(shí)現(xiàn)雙向TLS遷移講析

總結(jié):通過上述演示,可以了解到,將服務(wù)通信從明文流量傳輸遷移到雙向TLS傳輸?shù)倪^程是十分方便的,可以根據(jù)服務(wù)的實(shí)際需求按需配置,不會(huì)對(duì)服務(wù)的正常通信產(chǎn)生任何影響。

部署Istio實(shí)現(xiàn)雙向TLS遷移講析就先給大家講到這里,對(duì)于其它相關(guān)問題大家想要了解的可以持續(xù)關(guān)注我們的行業(yè)資訊。我們的板塊內(nèi)容每天都會(huì)捕捉一些行業(yè)新聞及專業(yè)知識(shí)分享給大家的。

向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI