httos双向认证配置_idou老师教你学Istio 15:Istio实现双向TLS的迁移
本文由華為云容器Istio團隊撰稿,未經允許謝絕轉載。
眾所周知,HTTPS是用來解決 HTTP 明文協議的缺陷,在 HTTP 的基礎上加入 SSL/TLS 協議,依靠 SSL 證書來驗證服務器的身份,為客戶端和服務器端之間建立“SSL”通道,確保數據運輸安全。而Istio的雙向TLS也用來保證數據傳輸安全。那么,Istio的雙向TLS是如何與HTTPS服務一起工作的呢?
下面通過實例演示Istio的雙向TLS是如何與HTTPS服務一起工作的,包括三個部分:
· 在沒有 Istio sidecar 的情況下部署 HTTPS 服務
· 關閉 Istio 雙向 TLS 認證情況下部署 HTTPS 服務
· 部署一個啟動雙向 TLS 的 HTTPS 服務。對于每個部署,請求連接到此服務并驗證其是否有效。
環境準備
· 未啟用雙向TLS的安裝了Istio的k8s集群
· 安裝openssl,生成證書和configmap
通過openssl生成key和證書:
從給定的公私鑰對創建TLS secret:
使用kubectl創建Configmap:
1. 沒有部署sidecar
創建一個不部署sidecar的基于nginx的HTTPS服務,并創建一個部署sidecar的sleep應用來調度nginx
檢查上述pod是否正常運行
在pod正常運行時,從sleep應用的istio-proxy容器內訪問HTTPS服務:
可以看到,nginx能正常訪問。
2. 部署sidecar并禁用雙向TLS
刪除上一步創建的未部署sidecar的HTTPS服務,并用sidecar部署它
查看pod是否正常啟動:
在pod正常運行時,從istio-proxy容器運行,可以看到,nginx能正常訪問:
3. 部署sidecar,并啟用雙向TLS
通過配置網格級別的認證策略啟用全局雙向TLS,首先配置網格認證策略:
配置目的地規則:
此時,網格中的所有服務已經開啟了雙向TLS功能,從sleep容器中訪問nginx是正常的:
從sleep容器中訪問時,工作流為“sleep→sleep-proxy→nginx-proxy→nginx” ,此時,整個過程是7層流量,在sleep-proxy到nginx-proxy之間有一個L4雙向TLS加密。
而在istio-proxy中運行時,它無法工作:
此時,工作流為“sleep-proxy→nginx-proxy→nginx”,nginx-proxy會從sleep-proxy中獲得雙向TLS流量,但是sleep-proxy無法提供客戶端證書,因此,它不起作用。
總結:通過上述演示,可以了解到,當istio sidecar使用HTTPS服務部署時,無論是否啟用雙向TLS功能,代理自動從L7降到L4,所以,它不會終止原來的HTTPS通信。
本文由華為云容器Istio團隊撰稿,未經允許謝絕轉載。
總結
以上是生活随笔為你收集整理的httos双向认证配置_idou老师教你学Istio 15:Istio实现双向TLS的迁移的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: flask登录验证用ajax,基于 Aj
- 下一篇: Golang——单元测试testing