• 首页
  • 人妻人人妻A乱人伦
  • 强伦姧人妻在线看观
  • 男朋友揉我下面很爽
  • 给学生开嫩苞的视频
  • 又粗又黄的A级裸片
  • 热点资讯

    清纯校花被强行扒衣服在 Kubernetes 上

    发布日期:2022-10-01 10:33    点击次数:87
    99热精品一区二区清纯校花被强行扒衣服 

    本文转载自微信公众号「新钛云服」,作家祝祥 。转载本文请谈论新钛云服公众号。

    先容

    Istio 是一个开源样式,旨在处分云上微行状之间的通讯。它孤苦于平台,但每每且主要与 Kubernetes 一齐使用。Istio 提供了多项要道功能,举例流量处分、安全性和可明察性。

    在本文中,咱们将要点先容 Istio 的安全材干,包括增强认证、透明 TLS 加密、身份考证和授权。咱们将 Istio 部署在 Kubernetes 集群上,并从容先容 Istio 安全功能,商讨这些功能若何保护您的行状。

    示例

    咱们使用 Istio 提供的示例行使 Bookinfo[1] 来演示本文中 Istio 的功能。让咱们来望望 Istio 安全和 Bookinfo 的架构。

    ISTIO 安全架构

    Istio 安全触及多个组件;下图骄矜了该架构。在适度平面的 Istiod 组件中,咱们有一个 CA(Certificate Authority)来处分文凭,干系配置通过 API 行状器发送到数据平面(Envoy)。Envoy 动作战略扩充点 (PEP) 来保护网格中客户端和行状器之间或网额外部和里面之间的通讯安全。

    Bookinfo行使架构

    Bookinfo 行使要领分为四个孤苦的微行状:

    productpage:调用详备信息和挑剔微行状 details:包含竹素详备信息 eviews:调用 ratings 微行状生成书评 ratings:包含跟随书评的名次信息

    挑剔微行状共有三个版块;productpage 以轮回形态探问这些版块:

    · 版块 v1 不调用ratings行状。

    · 版块 v2 调用ratings行状并将每个评级骄矜为 1 到 5 颗黑星。

    · 版块 v3 调用ratings行状并将每个评级骄矜为 1 到 5 颗红星。

    该行使要领的端到端架构如下所示。这些是莫得 Istio sidecar 部署的原始纯行状。

    ISTIO 认证

    如若您仍是装置了 Istio,则无需对行使要领进行任何改动即可运行示例。简略,您不错浅易地在相沿 Istio 的环境中配置和运行行状,并在每个行状傍边注入 Envoy sidecar。生成的部署如下所示:

    这里咱们故意部署了莫得 sidecar 的 review-v2 和其他有 sidecar 的行状。这不错通过成立 Kubernetes 定名空间标签“istio-injection=enabled/disabled”冒昧适度。一朝咱们为 Pod 注入一个 sidecar 简略仅仅成立一个单一的旯旮代理动作进口网关,Istio 身份就会成功。

    Istio 身份模子使用一流的行状身份来确信肯求起首的身份。在 Kubernetes 上,Istio 使用 Kubernetes 行状帐户动作身份。下图展示了 Istio 的身份配置责任历程。

    启动一个注入了 Istio 的 Pod,它还会启动一个 Envoy 实例动作 Pod 的 sidecar。 当责任负载启动时,Envoy 通过 Envoy secret发现行状 (SDS) API 从 Istio 代理肯求文凭。 Istio 代理将文凭签名肯求 (CSR) 超越根据 (JWT) 发送到 istiod 进行签名。 Istio 代理将从 istiod 收到的以 SPIFFE 形态签名的文凭通过 Envoy SDS API 发送给 Envoy。

    这里的文凭是x.509,SPIFFE形态的URL动作x.509文凭的推广字段进行识别。SPIFFE 是开源的;k8s环境下Istio身份的形态访佛于“spiffe:///ns//sa/”。咱们不错通过使用 Istioctl 器用并手动贯通文凭中的 Spiffe URL 来获得文凭。咱们还不错转储并检查 sidecar 的配置以考证 URL 是否已注入其中。

    双向 TLS

    Istio 相沿双向 TLS 来加密行状之间传输的数据。在 Bookinfo 行使要领中, 粉嫩整个行状率先都是基于纯 HTTP 公约相互通讯的, 欧美激情在线视频其中数据莫得加密。当一个责任负载使用双向 TLS 认证战略向另一个责任负载发送肯求时,责任负载和 sidecar 之间的数据仍然是纯文本的,而客户端 Envoy 和行状器端 Envoy 成立双向 TLS 连系。

    平等认证

    行使平等身份考证战略(如上所示)后,Istio 会自动将两个 PEP 之间的整个流量升级为双向 TLS。由于默许情况下启用了 Istio 的自动 mTLS,因此仍然不错通过 HTTP 探问 Reviews-v2。Istio 中的 Auto-mTLS 有助于确信客户端 Sidecar 不错发送的流量类型:

    如若配置了 DestinationRule,则信任它

    如若行状器有 sidecar 并允许 mTLS,发送 mTLS – review-v1 & v3

    不然,发送纯文本 – review-v2

    平等身份考证仅界说行状器sidecar不错吸收哪种类型的流量。Reviews-v2 莫得 sidecar,free XX熟女是以客户端向它发送纯文本。行状器端默许处于 PERMISSIVE 模式,这意味着行状器端不错吸收纯文本和 mTLS。这在运转将集群与行状网格集成时绝顶有用,因为操作员每每无法同期为整个客户端装置 Istio sidecar,简略以至莫得权限在某些客户端上这么做。

    主义限定

    与平等身份考证比较,方针限定界说了客户端 Sidecar 不错发送的流量类型。行使方针限定战略(如上所示)后,review-v2 无法再探问,因为方针限定兑现 productpage sidecar 发送 mTLS 流量,而 review-v2 只可吸收纯文本。

    保护进口流量

    Istio 相沿通过进口网关将安全的 HTTPS 行状泄露给外部流量,因此无需改动里面公约。它统共相沿四种模式来在进口启用 TLS。SIMPLE/MUTUAL 和 ISTIO_MUTUAL 对传入的肯求扩充 TLS 闭幕;它们用于配置对 HTTP 行状的

    HTTPS 进口探问。PASSTHROUGH 和 AUTO_PASSTHROUGH 仅按原样传递进口流量,而不是使用 TLS 闭幕。

    授权进口流量

    添加要求最终用户 JWT 用于进口网关的肯求身份考证战略。如若您在授权标头中提供令牌(其隐式默许位置),则 Istio 将使用公钥集考证令牌,并在不记名令牌无效时拒却肯求。然而,吸收莫得令牌的肯求。

    要拒却莫得有用令牌的肯求,请添加一个 AuthorizationPolicy 限定,为具有肯求主体的肯求指定 ALLOW 操作,在上头的示例中骄矜为 requestPrincipals。requestPrincipals 仅在提供有用的 JWT 令牌时可用。因此,该限定只允许具有有用令牌的肯求。

    行使RequestAuthentication,如上图:

    使用有用的 JWT 令牌肯求 √ 肯求莫得 JWT 令牌 √ 使用无效的 JWT 令牌肯求 ×

    行使AuthorizationPolicy,如上图

    使用有用的 JWT 令牌肯求 √ 莫得 JWT 令牌的肯求 × 使用无效的 JWT 令牌肯求 × 网格流量中的授权

    AuthorizationPolicy 不仅不错行使于进口网关,还不错用于适度网格里面的探问。授权战略表率包括接收器、操作和限定列表:

    · 接收器字段指定战略的方针

    · action 字段指定是允许照旧拒却肯求;默许值为“允许”

    · 限定指定何时触发动作

    限定中的 from 字段指定肯求的起首 限定中的 to 字段指定肯求的操作 when 字段指定行使限定所需的要求

    如若行使拒却整个 AuthorizationPolicy,则默许定名空间下的行状之间的整个肯求都将被拒却。如若您随后行使 productpage-viewer 如下例所示,它允许对 productpage 行状进行“GET”操作。

    与productpage-viewer AuthorizationPolicy比较,reviews-viewer在spec限定的source字段多了一项配置;它指定只允许具有“[“cluster.local/ns/default/sa/bookinfo-productpage”]”行状帐户的行状发送“GET”肯求。逐一行使其他 AuthorizationPolicy 并测试产物页面。Bookinfo 行状提供的不同信息都会再次出咫尺您的网页上。图片

    综合:Istio 自动提供高大的识别功能。它还具有双向 TLS,可对流量进行加密以抵拒中间人挫折。Auto-mTLS 匡助您加入 Istio,PeerAuthentication 和 DestinationRule 简化了对配置进行隐微调治的过程。此外,Istio 提供了生动的行状探问适度,因此您不错使用 RequestAuthentication、AuthorizationPolicy 等来成立细粒度的探问战略。

    参考

    · Istio 官方文档:https ://istio.io/latest/docs/

    · https://istio.io/latest/docs/examples/bookinfo/

    原文

    https://01.org/blogs/luyaozhong/2021/secure-your-microservices-istio