2. 程式人生 > 其它 >istio 安全閘道器

istio 安全閘道器

阿新 發佈:2022-04-02

使用簡單或雙向 TLS 暴露安全 HTTPS 服務。

https://istio.io/latest/zh/docs/tasks/traffic-management/ingress/secure-ingress-mount/

 

1、基於檔案掛載的方式配置 TLS ingress 閘道器

1.1)建立一個 Kubernetes secret 以儲存伺服器的證書和私鑰。使用 kubectl 在名稱空間 istio-system 下建立 secret istio-ingressgateway-certs。Istio 閘道器將會自動載入該 secret。

kubectl create -n istio-system secret tls istio-ingressgateway-certs --key httpbin.example.com.key --cert httpbin.example.com.crt

驗證 tls.crt 和 tls.key 是否都已經掛載到 ingress 閘道器 pod 中:

kubectl exec -it -n istio-system $(kubectl -n istio-system get pods -l istio=ingressgateway -o jsonpath='{.items[0].metadata.name}') -- ls -al /etc/istio/ingressgateway-certs

1.2)配置gw和vs

apiVersion: networking.istio.io/v1alpha3
kind: Gateway
metadata:
  name: httpbin
 
-gateway
spec:
  selector:
    istio: ingressgateway # use istio default ingress gateway
  servers:
  - port:
      number: 443
      name: https
      protocol: HTTPS
    tls:
      mode: SIMPLE
      serverCertificate: /etc/istio/ingressgateway-certs/tls.crt
      privateKey: /etc/istio/ingressgateway-certs/tls.key
    hosts:
    
 
- "httpbin.example.com"
---
apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: httpbin
spec:
  hosts:
  - "httpbin.example.com"
  gateways:
  - httpbin-gateway
  http:
  - match:
    - uri:
        prefix: /status
    - uri:
        prefix: /delay
    route:
    - destination:
        port:
          number: 8000
        host: httpbin

 

 

2、配置雙向 TLS ingress 閘道器

 2.1)建立一個 Kubernetes Secret 以儲存服務端將用來驗證它的客戶端的 CA 證書。使用 kubectl 在名稱空間 istio-system 中建立 secret istio-ingressgateway-ca-certs。Istio 閘道器將會自動載入該 secret。

kubectl create -n istio-system secret generic istio-ingressgateway-ca-certs --from-file=example.com.crt

2.2) 重新定義之前的 Gateway,修改 TLS 模式為 MUTUAL,並指定 caCertificates

apiVersion: networking.istio.io/v1alpha3
kind: Gateway
metadata:
  name: httpbin-gateway
spec:
  selector:
    istio: ingressgateway # use istio default ingress gateway
  servers:
  - port:
      number: 443
      name: https
      protocol: HTTPS
    tls:
      mode: MUTUAL
      serverCertificate: /etc/istio/ingressgateway-certs/tls.crt
      privateKey: /etc/istio/ingressgateway-certs/tls.key
      caCertificates: /etc/istio/ingressgateway-ca-certs/example.com.crt
    hosts:
    - "httpbin.example.com"

2.3) 像上一節中一樣通過 HTTPS 訪問 httpbin 服務:

$ curl -HHost:httpbin.example.com --resolve httpbin.example.com:$SECURE_INGRESS_PORT:$INGRESS_HOST --cacert example.com.crt https://httpbin.example.com:$SECURE_INGRESS_PORT/status/418
curl: (35) error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure

2.4) 為 httpbin.example.com 服務建立客戶端證書。您可以使用 httpbin-client.example.com URI 來指定客戶端,或使用其它 URI。

openssl req -out httpbin-client.example.com.csr -newkey rsa:2048 -nodes -keyout httpbin-client.example.com.key -subj "/CN=httpbin-client.example.com/O=httpbin's client organization"
openssl x509 -req -sha256 -days 365 -CA example.com.crt -CAkey example.com.key -set_serial 0 -in httpbin-client.example.com.csr -out httpbin-client.example.com.crt

2.5) 重新用 curl 傳送之前的請求,這次通過引數傳遞客戶端證書(新增 --cert 選項)和您的私鑰(--key 選項):

curl -HHost:httpbin.example.com --resolve httpbin.example.com:$SECURE_INGRESS_PORT:$INGRESS_HOST --cacert example.com.crt --cert httpbin-client.example.com.crt --key httpbin-client.example.com.key https://httpbin.example.com:$SECURE_INGRESS_PORT/status/418


    -=[ teapot ]=-

       _...._
     .'  _ _ `.
    | ."` ^ `". _,
    \_;`"---"`|//
      |       ;/
      \_     _/
        `"""`

 

3、為多主機配置TLS ingress閘道器  參考:https://www.cnblogs.com/bill2014/p/16087824.html

 

3、無 TLS 終止的 Ingress Gateway

ingress gw作用就是透傳443埠的請求,具體證書有後端提供。 

   

 

相關推薦

istio 安全

使用簡單或雙向 TLS 暴露安全 HTTPS 服務。 https://istio.io/latest/zh/docs/tasks/traffic-management/ingress/secure-ingress-mount/

綜合視訊監控工廠對安全可靠的需要

在各種監控系統中,僅僅只有控制訊號的顯示,不能夠滿足工廠對安全可靠的需要。因此通過安裝視訊監視裝置並且在連線星創易聯綜合視訊閘道器,方便工作人員通過影象畫面直接瞭解水廠、水池、泵站的執行狀況,它的應

一文講解API核心功能——就是nginx,無非加入了安全、流控、轉換、版本控制等功能

一文講解API閘道器核心功能 【編者的話】本文詳細講解了API閘道器的基礎概念,使用場景和核心功能,以及基於API閘道器核心引擎做的API全生命週期管理功能擴充套件等,最好再介紹下當前主流的開源API閘道器引擎。A

SIA-GateWay之API安裝部署指南

SIA-GATEWAY是基於SpringCloud微服務生態體系下開發的一個分散式微服務閘道器係統。具備簡單易用、視覺化、高可擴充套件、高可用性等特徵,提供雲原生、完整及成熟的接入服務解決方案。本文介紹API閘道器的安裝部署。

服務Spring Cloud Zuul

Spring Cloud Zuul 開發環境 idea 2019.1.2 jdk1.8.0_201 Spring Boot 2.1.9.RELEASE Spring Cloud Greenwich SR3

如何基於SpringWebFlux打造高效能

開源閘道器現狀: 目前java開源閘道器主要由zuul、SpringCloudGateway等兩款,但是目前這兩款閘道器都還需要根據自身的業務需求進行擴充套件。所以有不少公司公司對其二次開發,當然也有部分公司選擇自研閘道器。大部

一文帶你瞭解什麼是Zuul

著作權歸作者所有,任何形式的轉載都請聯絡作者獲得授權並註明出處。 Zuul和基本應用場景

如何通過做服務編排?

什麼是服務編排/資料聚合? 服務編排/資料聚合 指的是可以通過一個請求來依次呼叫多個微服務,並對每個服務的返回結果做資料處理,最終整合成一個大的結果返回給前端。

微服務與技術(SIA-GateWay)

一、背景 軟體架構,總是在不斷的演進中... 把時間退回到二十年之前,當時企業級領域研發主要推崇的還是C/S模式,PB、Delphi這樣的開發軟體是企業應用開發的主流。隨著時間的推移,基於瀏覽器的B/S架構開始漸漸流行了

微服務SIA-GateWay使用指南

一、DeskTop DeskTop展示當前註冊的各個組,點選一個組將選中該組並跳轉至首頁。

zuul整合Sentinel最新的流控元件

一、說明 Sentinel 閘道器流控支援針對不同的路由和自定義的 API 分組進行流控,支援針對請求屬性(如 URL 引數,Client IP,Header 等)進行流控。Sentinel 1.6.3 引入了閘道器流控控制檯的支援,使用者可以直接在

SpringCloud路由Zuul與Ribbon

Zuul淺談 角色功能: Zuul是netflix開源的一個API Gateway 伺服器,本質上是一個web servlet應用。

API在微服務中的應用

作者:老顧 轉載請宣告出處! 前言 現在的網際網路產品技術架構,如果沒有上微服務架構,都感覺被同行鄙視,太low了。在微服務架構中,不同的微服務有不同的請求地址,各個微服務之間通過互相呼叫完成使用者請求。

Spring Cloud基於zuul實現過程解析

這篇文章主要介紹了Spring Cloud基於zuul實現過程解析,文中通過示例程式碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下

gateway和jwt認證實現過程解析

這篇文章主要介紹了gateway和jwt認證實現過程解析,文中通過示例程式碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下

Spring Cloud 服務 zuul 動態路由的實現方法

zuul動態路由 服務是流量的唯一入口。不能隨便停服務。所以動態路由就顯得尤為必要。

簡單瞭解spring cloud 服務

微服務 閘道器服務 閘道器服務是微服務體系裡面重要的一環。 微服務體系內,各個服務之間都會有通用的功能比如說:鑑權、安全、監控、日誌、服務排程轉發。這些都是可以單獨抽象出來做一個服務來處理。所以微服務

spring cloud gateway整合sentinel實現限流

這篇文章主要介紹了spring cloud gateway整合sentinel實現限流,文中通過示例程式碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下

spring cloud gateway路由分配程式碼例項解析

這篇文章主要介紹了spring cloud gateway路由分配程式碼例項解析,文中通過示例程式碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下

springcloud教程之zuul路由的實現

1.簡介 當微服務對外提供介面訪問時,並且有多個微服務,外部如何訪問到具體的微服務?這時就可以使用的路由功能,依據url匹配將請求分別轉發到不同的服務上