本文主要給大家簡單講講實現(xiàn)Istio13：Istio基礎認證講析，相關專業(yè)術語大家可以上網(wǎng)查查或者找一些相關書籍補充一下，這里就不涉獵了，我們就直奔實現(xiàn)Istio13：Istio基礎認證講析主題吧，希望可以給大家?guī)硪恍嶋H幫助。

“專業(yè)、務實、高效、創(chuàng)新、把客戶的事當成自己的事”是我們每一個人一直以來堅持追求的企業(yè)文化。 成都創(chuàng)新互聯(lián)公司是您可以信賴的網(wǎng)站建設服務商、專業(yè)的互聯(lián)網(wǎng)服務提供商! 專注于成都網(wǎng)站建設、做網(wǎng)站、軟件開發(fā)、設計服務業(yè)務。我們始終堅持以客戶需求為導向，結合用戶體驗與視覺傳達，提供有針對性的項目解決方案，提供專業(yè)性的建議，創(chuàng)新互聯(lián)建站將不斷地超越自我，追逐市場，引領市場！

前言

微服務架構提供了更好的靈活性、可伸縮性以及服務復用的能力，但，微服務也有特殊的安全需求，Istio Security嘗試提供全面的安全解決方案。為了提供靈活的服務訪問控制，需要雙向 TLS 和細粒度的訪問策略。Istio 提供兩種類型的身份驗證：傳輸身份驗證和來源身份驗證。通過配置不同級別的認證策略，可以快速控制不同的安全訪問粒度。

典型的使用場景：

1.在未啟用雙向TLS的安裝好 Istio 的 Kubernetes 集群中，需要快速啟用全網(wǎng)格雙向TLS；

2.網(wǎng)格內(nèi)某些服務之間需要使用雙向TLS，可以將這些服務放入同一命名空間并在命名空間啟用雙向TLS；

3.當單個服務需要啟用TLS時，可以在配置策略中通過spec字段指定；

認證策略是對服務收到的請求生效的，要在雙向 TLS 中指定客戶端認證策略，需要在DetinationRule 中設置 TLSSettings，每個認證策略需要和目的地規(guī)則共同生效。下面通過實例來演示在不同存儲范圍內(nèi)配置傳輸身份認證策略的過程，來源身份驗證通過spec中的origins字段指定。

環(huán)境準備：裝好istio的集群，禁用全局雙向TLS；Httpbin應用鏡像和sleep應用鏡像

1.創(chuàng)建命名空間、部署應用

創(chuàng)建3個命名空間：foo、bar、legacy，foo和bar中部署帶sidecar的httpbin應用和sleep應用，legacy中部署不帶sidecar的httpbin應用和sleep應用。

將sleep作為客戶端，httpbin作為服務端，驗證客戶端服務端可達性

2.驗證系統(tǒng)中目前不存在認證策略

可以看到在foo、bar和legacy命名空間中沒有任何策略和規(guī)則

3.為網(wǎng)格中的所有服務啟用雙向TLS認證

配置網(wǎng)格認證策略：

配置目的地規(guī)則：

需要注意的是，網(wǎng)格范圍內(nèi)的認證策略名稱必須是default，其它名稱的策略都會被拒絕和忽視，它的策略類型是MeshPolicy，不同于其它級別的策略類型

這些認證策略和目的地規(guī)則有效地配置了所有的sidecars，使服務在雙向TLS模式下收發(fā)請求。但是對不帶sidecar的服務并不適用。

可以看到上面有兩種連接不適用：從帶有 sidecar 的客戶端到不帶 sidecar 的服務端的連接以及從不帶 sidecar 的客戶端到帶有 sidecar 的服務端的連接。

①  為了修復從帶有 sidecar 的客戶端到不帶 sidecar 的服務端的連接，可以專門為這些服務端添加目的地規(guī)則來覆蓋 TLS 設置：

重新測試連接

當啟用全局雙向 TLS 認證時，這種方法也可以用來配置 Kubernetes 的 API 云服務器。

②  從不帶 sidecar 的客戶端到帶有 sidecar 的服務端(工作在雙向 TLS 模式)的連接，唯一的選擇是從雙向 TLS 模式切換到 PERMISSIVE 模式，該模式允許服務端接收 HTTP 或（雙向） TLS 流量

從 sleep.legacy 到 httpbin.foo 的請求應當是成功的，但是到 httpbin.bar 的請求依然會失敗。

1. 為一個命名空間中的所有服務啟用雙向TLS

可以配置策略為每一個命名空間單獨啟用雙向 TLS 而不必啟用全局雙向 TLS：

注意：命名空間范圍內(nèi)的策略必須命名為 default，并且不限定任何特定的服務（沒有 targets 設置域）

添加相應的目的地規(guī)則：

測試連接：

由于當前配置的策略和目的地規(guī)則只對命名空間foo有效，可以看到，只有從不帶 sidecar 的客戶端 (sleep.legacy) 到 httpbin.foo 的請求會失敗。

5.為單個服務啟用雙向TLS

你也可以為某個特定的服務設置認證策略和目的地規(guī)則。執(zhí)行以下命令只為 httpbin.bar 服務新增一項策略。

配置目的地規(guī)則：

1. 同時啟用命名空間層級和服務層級

假設我們已經(jīng)為命名空間 foo 中所有的服務添加了啟用雙向 TLS 的命名空間層級的策略并且觀察到從 sleep.legacy 到 httpbin.foo 的請求都失敗了（見上文）?，F(xiàn)在專門為 httpbin 服務添加額外的策略來禁用雙向 TLS （peers 域留空）：

可以看到服務層級的策略覆蓋了命名空間層級的策略，連接成功。

對于以上關于實現(xiàn)Istio13：Istio基礎認證講析，大家是不是覺得非常有幫助。如果需要了解更多內(nèi)容，請繼續(xù)關注我們的行業(yè)資訊，相信你會喜歡上這些內(nèi)容的。

另外有需要云服務器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應用場景需求。

分享題目：實現(xiàn)Istio13：Istio基礎認證講析-創(chuàng)新互聯(lián)
網(wǎng)頁地址：http://weahome.cn/article/djghgd.html