我正在使用istio设置最终用户身份验证。我的网格中有服务A和服务B,服务B应用了jwt策略,因此对于发出的请求,集群将需要授权令牌才能访问。然而,我发现如果服务A需要访问服务B,它也返回401表示需要令牌,我如何绕过网格内的身份验证并仅将其应用于网格外的流量?
浏览 24提问于2019-08-21得票数 1
我有一个示例应用程序(web-app、后端-1、后端-2)部署在minikube上,所有这些应用程序都是在JWT策略下部署的,它们都有正确的目的地规则、Istio sidecar和MTLS,以确保东西通信的安全$> curl http://minikubeip/api "Authorization: Bearer $TOKEN"
有没有一种方法可以使用本地kubernetes/istio将http头转发到
浏览 1提问于2019-11-26得票数 1
1回答
我对istio很陌生,并且怀疑配置请求身份验证policy.The策略使用jwksuri,这是一个外部URI.The策略,在istio-system namespace.The上应用时,我应用此策略并执行以下操作>istioctl proxy-status
应用策略的入口网关被标记为stale.If,我删除此策略,网关返回同步state.It,因为我们是在公司代理后面,所以这个jwksuri是不可访问的。但这
浏览 3提问于2021-06-01得票数 1
1回答
我在Kubernetes的数据平台上工作。卡夫卡集群
有不同的身份验证方法,最有趣的是:
但上述所有组件都没有实现这些方法。例如,我对使用Keycloak感兴趣。它非常适合API服务器,Kafk
浏览 4提问于2021-06-07得票数 2
我已经将istio配置为服务到这个容器的请求。服务在没有istio的集群上正确运行。容器日志永远不承认登录尝试,我只在特使容器中看到401日志消息。apiVersion: network
浏览 4提问于2020-04-17得票数 1
我已经将Istio设置为使用keycloak的身份验证用户(如中所述)kind: "Policy" name: auth-token targets: origins: issuer: "http://10.233.11.203&
浏览 2提问于2019-04-30得票数 0
我是新来Istio的。我正在使用JWT实现授权。对于有效的JWT令牌,不会反映拒绝操作。我添加了JWT Payload and Authorization Policy以供参考。我使用的是kubernetes版本1.18.3和Istio 1.6.2。我在minikube上运行集群。: namespace: istio-system selector
浏览 3提问于2020-07-09得票数 2
apiVersion: "security.istio.io/v1beta1"metadata:spec: matchLabels: jwtRules:.amazonaws.com/ap-southea
浏览 1提问于2020-12-03得票数 1
回答已采纳
1回答
根据Istio安全文档:“如果每个JWT使用一个唯一的位置,则请求身份验证策略可以指定多个JWT。当多个策略匹配一个工作负载时,Istio将所有规则组合在一起,就好像它们被指定为单个策略一样。这种行为对于编程工作负载以接受来自不同提供者的JWT很有用。但是,不支持具有多个有效JWT的请求,因为这些请求的输出主体是未定义的。”这是否意味着我可以在不同的策略yamls中有多个唯一的&q
浏览 17提问于2022-02-03得票数 0
我找到了这个文档,,它讨论了如何在网关进行JWT令牌验证,我有一个关于这个的提问费:是
浏览 3提问于2020-11-05得票数 1
1回答
我想通过Istio在GRPC服务上设置一个。是否有人设法将auth策略添加到由Istio管理的GRPC服务中?
浏览 0提问于2018-08-27得票数 4
1回答
我正在研究Istio服务网格的使用,发现特使代理是一个非常好的服务代理选项。但在过去的几年里,特使的代理人似乎已经成长为一个。在我们的应用程序中,我们需要服务代理坐在我们的应用程序旁边,这个服务代理应该对所有传入的请求进行JWT验证。现在,我想知道是像这里解释的那样,使用特使代理并安装JWT验证,还是应该与Istio一起设置它。Istio还在入口网关级别进行基于JWT声明的验证。但我的主要问题是,<
浏览 10提问于2022-09-21得票数 1
回答已采纳
我正在尝试配置Istio身份验证策略来验证我们的JWT。我认为这是因为此服务器使用了由我们的公司CA签署的TLS证
浏览 3提问于2018-10-24得票数 4
我有一个在pod中运行的容器,它在不同的端口上运行几个jars。具体地说,它正在运行一个java应用程序和一个Artemis服务器。
应用程序通过rpc与Artemis服务器通信。一切正常,直到我安装了Istio并注入了一个sidecar。我想知道是否有人知道Istio是如何影响容器/pod中的通信的。
浏览 0提问于2019-02-23得票数 1
我考虑是否有一种使用Istio将不透明令牌转换为JWT的方法。用例:有两个服务(服务1是使用者,服务2是生产者) Service1使用不透明令牌,Service2可以使用JWT令牌进行身份验证和授权。为了避免在service2中添加不透明令牌身份验证,我考虑是否可以使用sidecar模式(确切地在Istio中)从service1获取请求(re1),提取授权头,将请
浏览 2提问于2022-02-15得票数 2
回答已采纳
在Istio中使用K8S ServiceAccount对服务进行身份验证非常有趣。这是否意味着我们必须启用mTLS才能使用此功能?
浏览 0提问于2019-03-30得票数 0
我已经部署了一个应用程序,该应用程序正在按预期工作到我的Istio集群。我希望启用JWT身份验证,以便使指令适应我的用例。ingressgateway:service/core-api-service:
在编辑了上面的策略、按下面的
浏览 0提问于2019-03-19得票数 1
回答已采纳
1回答
我在我的两个kubernetes集群上有一个ISTIO作为复制的控制平面。在我的例子中,一些限制标记的部署对象访问的网络策略,但这些策略在唯一的一个集群上有效。如何在Istio上实现两个集群之间的域名和服务限制?你有什么建议吗?谢谢apiVersion: networking.k8s.io/v1metadata:
name: policy-ne
浏览 1提问于2020-02-05得票数 0
当在ingressgateway目标上配置Jwt策略时,Cors预飞请求不起作用。/v1beta1"metadata: namespace: foo selector让我更有思想的是,在firefox中,它工作得很好,但是在其他浏览器中却失败了。注意:为了验证在istio</em
浏览 2提问于2020-04-11得票数 2
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
腾讯会议
云直播
对象存储活动推荐
腾讯云开发者
