GKE上的Istio是否为相互TLS的每个服务创建不同的服务帐户

GKE上的Istio是一个开源的服务网格解决方案，用于管理和连接在Kubernetes集群中运行的微服务。它提供了一种简化和增强微服务之间通信的方式，并提供了流量管理、安全性、可观察性等功能。

在GKE上使用Istio时，它确实为每个服务创建了不同的服务账户，并为它们之间的通信提供了相互TLS（Transport Layer Security）的加密。相互TLS是指在服务之间建立安全的通信连接，确保数据在传输过程中的机密性和完整性。

通过为每个服务创建不同的服务账户，Istio可以实现服务间的身份验证和授权。每个服务账户都有自己的证书和私钥，用于加密和解密通信中的数据。这样可以确保只有经过身份验证的服务才能相互通信，并且数据不会被未经授权的服务访问。

相互TLS的优势包括：

安全性增强：相互TLS提供了端到端的加密，保护了数据在传输过程中的安全性，防止数据被窃取或篡改。
身份验证和授权：每个服务账户都有自己的证书，可以用于验证服务的身份，并根据需要进行授权，确保只有经过授权的服务才能相互通信。
细粒度的访问控制：通过相互TLS，可以对每个服务之间的通信进行细粒度的访问控制，限制服务之间的交互，提高系统的安全性。
简化配置和管理：Istio提供了自动化的证书管理和密钥轮换，简化了证书的配置和管理过程，减少了运维的工作量。

应用场景包括：

微服务架构：对于使用微服务架构的应用，可以使用Istio的相互TLS功能来保护服务之间的通信，提高系统的安全性。
多租户环境：在多租户环境中，不同租户的服务之间可能需要进行通信，相互TLS可以确保租户之间的通信是安全的，并且数据不会被其他租户访问。
遗留应用的现代化：对于需要将遗留应用进行现代化改造的场景，可以使用Istio的相互TLS功能来保护遗留应用与其他服务之间的通信。

腾讯云提供了一系列与Istio相关的产品和服务，包括腾讯云容器服务 TKE、腾讯云服务网格 TCM、腾讯云API网关等。您可以通过以下链接了解更多信息：

腾讯云容器服务 TKE：https://cloud.tencent.com/product/tke
腾讯云服务网格 TCM：https://cloud.tencent.com/product/tcm
腾讯云API网关：https://cloud.tencent.com/product/apigateway

请注意，以上答案仅供参考，具体的产品选择和配置应根据实际需求和情况进行决策。

相关·内容

启动某项服务时报错 1079：此服务的帐户不同于运行于同一进程上的其他服务的帐户

启动时间服务时报错了 1079：此服务的账户不同于运行于同一进程上的其他服务的帐户图片.png 跟正常机器的对比了下，发现应该是下面那个，选到上面就有这个问题修改回下面那个的话，点右边的"浏览"，设置...Local Service用户然后密码敲个空格就行然后重新启动时间服务即可恢复正常图片.png 如上操作后如果还是不行，参考https://cloud.tencent.com/developer/

2.6K3 0

idou老师教你学istio：如何为服务提供安全防护能力

不同平台上的 Istio 服务标识： Kubernetes: Kubernetes 服务帐户 GKE/GCE: 可以使用 GCP 服务帐户 AWS: AWS IAM 用户/角色帐户 On-premises...目前，Istio 为每个方案使用不同的证书密钥配置机制，下面试举例 Kubernetes 方案的配置过程： Citadel 监视 Kubernetes apiserver，为每个现有和新的服务帐户创建...创建 pod 时，Kubernetes 会根据其服务帐户通过 Kubernetes secret volume 将证书和密钥对挂载到 pod。...Istio 提供双向TLS作为传输身份认证的全栈解决方案。我们可以轻松启用此功能，而无需更改服务代码。这个解决方案：为每个服务提供强大的身份认定，以实现跨群集和跨云的互操作性。...在握手期间，客户端 Envoy 还执行安全命名检查，以验证服务证书中提供的服务帐户是否有权运行目标服务。

1.1K5 0

使用 Cilium 服务网格的下一代相互身份验证

事实上，我们每天都使用 TLS 来实现机密性、完整性和服务器身份验证，但通常不依赖相互身份验证，即 TLS 会话确保我们与正确的服务器通信，但我们随后依赖密码或不同的顶部的身份验证形式，以使用 Web...例如，考虑身份证件（如护照）的示例，可以为每个家庭成员分发单独的护照，为居住在同一家庭的每个人合办一本护照，甚至可以识别居住在同一城镇的每个人的单一护照....根据您为识别选择的粒度，可以执行不同级别的身份验证。网络通信基于映射粒度的概念，我们可以看到执行相互认证的两种典型模式：会话认证和基于网络的认证。...除了验证 mTLS 预期的目标证书之外，此步骤还执行额外验证，因为 Cilium 处于代表服务进行身份验证的独特位置：目标证书是否属于打算在目标节点上运行？...以下是在 GKE 上运行的 Cilium 与 nighthawk 在不同模型中进行 HTTP 基准测试的测量结果：无需额外的相互身份验证（基线）启用 WireGuard 以实现完整性和机密性 Istio

1K1 0

使用NATS实现服务网格功能，第2部分：安全性

服务网格的安全部分包括端到端加密（相互TLS）、身份验证、授权策略以及服务之间的服务到服务访问控制。...服务网购（如Istio）的一个特点是，你的应用程序代码或基础设施，不需要进行任何更改来保护你的服务。它们听起来很简单，但实际上，你必须正确安装Istio。更重要的是，你必须理解它，并正确地配置它。...你首先创建一个操作员，它们负责运行NATS服务器，为帐户签署JSON Web令牌（JWT）。帐户在为该帐户中的用户（或消息客户端）签署JWT方面做了类似的工作。...有了操作员、每个操作员的帐户和每个帐户的用户的布局之后，就可以指定允许哪些用户使用帐户，哪些用户不使用帐户。 NATS 2.0还包含了流（Stream）和服务（Service）的概念。...对我来说，这更像是将HTTPS指定为你想要访问的初始服务，而不是Istio和Linkerd可以提供的服务到服务的相互TLS （mTLS）。所以你必须在这里管理你的证书。 ?

1.8K3 0

Cilium服务网格的下一代双向认证

日常中，我们每天都在使用TLS来实现保密性、完整性和服务端认证，但通常不依赖于双向认证，即TLS会话能够确保我们与正确的服务器通信，但我们随后依靠密码或不同形式的认证方式来认证网络服务。...我们想要更好的身份认证粒度的服务认证，包含TLS握手的特性，并能将其与基于网络的认证方法的透明度、性能和对不同网络协议的广泛支持等特性结合起来。...让我们从配置的角度来看看如何实现的。我们将以SPIFFE与Cilium的为例。其允许在创建网络策略时使用SPIFFE身份来选择工作负载。...除了验证目的地的证书也被窃取，当然，这个步骤还可以进行额外的验证，因为Cilium处于一个特殊的位置，可以代表服务进行验证。验证目的地的证书是否属于一个实际目的地节点上运行的工作负载？...性能测试所有这些额外的安全对于性能有何影响？下面是在GKE上运行的Cilium与nighthawk基于不同型号的HTTP基准测试中的测量结果。

6682 0

Kubernetes中使用mTLS保护微服务通信

Kubernetes，作为容器化应用程序的事实标准编排平台，为部署和管理微服务提供了强大的环境。但是，随着相互连接的服务数量的增长，一个稳固的安全机制的需求变得越来越关键。...mTLS 建立在传输层安全性(TLS)协议的基础之上，这是通过加密来保护互联网通信安全的常用方式。但是，mTLS 通过实施通信双方的相互认证将安全性提高了一个台阶。...我们将利用 Istio，这是一个为微服务提供高级网络和安全功能的开源服务网格。...Helm 是 Kubernetes 的包管理器，可以简化应用程序和服务的部署。虽然严格意义上并非必需，但使用 Helm 可以简化像 Istio 这样的复杂应用程序的安装。...这些数字证书在促进 Istio 服务网格内服务之间的安全通信中发挥着基础性作用。 Citadel 确保网格内的每个服务都拥有有效的证书，这是 mTLS 的相互认证机制的关键要求。

1611 0

【译文连载】理解Istio服务网格（第七章安全）

越来越多的现代云原生应用开发体系中都会有好几个独立的开发团队，每个团队采用不同的开发迭代周期，新功能以周或天为单位迭代上线，只对他们自己的任务负责。...不同平台上的Istio采用不同的服务标识。...创建和管理身份标识的基本流程： Istio Citadel 组件监视Kubernetes api-server，为每个现有和新的服务帐户创建SPIFFE 证书和密钥对。...创建 pod 时，Kubernetes会根据其服务帐户通过 Kubernetes secret volume 将证书和密钥对挂载到 pod 上。...Istio 提供双向TLS 作为传输身份验证的完整解决方案。您可以轻松启用此功能，而无需更改服务代码。这个解决方案：为每个服务提供强大的身份，表示其角色，以实现跨群集和云的互操作性。

1.1K2 0

Service Mesh安全：当入侵者突破边界，如何抵御攻击？| CNBPS 2020演讲实录

Istio的安全模型都是围绕双向TLS实现的：自建证书权威机构，让私钥和证书轮换自动化强制双向的身份认证客户端检查服务端身份的同时，还要检查谁在运行服务端，这个人是否有资格运行服务端服务端检查客户端身份的同时...支持多种公有云平台，在没有服务身份的平台上，Istio可以使用服务名称作为Workload实例的身份。 Istio使用X.509证书为每个Workload设置强身份。...Istio将来自客户端的出站流量重新路由到客户端的本地Sidecar Envoy。客户端Envoy与服务器端Envoy开始相互TLS握手。...但Istio Envoy之间在握手，客户端Envoy还会进行安全的命名检查，而不是检查域名和证书是否一致，以验证服务器证书中提供的服务帐户service account是否有权运行目标服务。...客户端Envoy和服务器端Envoy建立了相互TLS连接，Istio将流量从客户端Envoy转发到服务器端Envoy。授权后，服务器端Envoy通过本地TCP连接将流量转发到服务端的服务。

6951 0

如何在Kubernetes上使用Istio Service Mesh设置Java微服务?

安装并使用您的GCP帐户登录（如果您还没有免费帐户，则可以创建一个免费帐户）。您可以使用以下命令设置区域和区域，也可以在执行每个命令时通过zone选项。...GKE上的Kubernetes集群在命令行中运行kubectl get nodes来查看它，并验证kubectl是否可以连接到您的集群。...首先，在Kubernetes集群上为Istio创建角色绑定。...Istio微服务架构它具有一个网关应用程序和三个微服务应用程序。他们都有自己的数据库。您可以看到每个应用程序都有一个Envoy proxy作为sidecar附加到了pod上。...尝试为微服务创建一些实体： store网关应用监控方式 Istio设置包括Grafana和Prometheus，它们配置为从我们的容器中收集和显示监控指标。让我们来看看。

3.8K5 1

istio的安全(概念)

下面展示了不同平台上可以使用的服务标识： Kubernetes: Kubernetes service account GKE/GCE: GCP service account GCP: GCP service...身份和证书管理 istio的安全使用X.509证书为每个负载提高了强身份标识。...Istio提供了mutual TLS作为传输身份验证的全栈解决方案，这种方式无需修改服务代码，该方案：为每个服务提供了强标识作为角色(role)，支持跨集群和云的互操作性。...在很多非istio的客户端和非istio的服务端架构中，当计划将服务端迁移到启用mutual TLS的istio上时都会遇到问题。...然而，每个JWT都需要使用不同的位置。授权 istio的授权特性提供了网格，命名空间和负载范围内的访问控制。

1.4K3 0

认识Service Mesh(1): Deploy Istio on Kubernetes with GKE

Google Cloud官方文档上是有Istio的例子： https://cloud.google.com/kubernetes-engine/docs/tutorials/istio-on-gke...通过GKE创建自己的kubernetes集群越来越多的国内外所谓的云平台厂商推出了基于kubernetes的容器云平台，并支持私有化部署。不妨先来看看，祖师爷Google是怎么做这口饭的。...比较奇怪的是，GKE默认创建的kubernetes版本是1.8.7，而当前最新版本是1.9.3。看来连Google自己都跟不上kubernetes的快速发展了。...目前搭建Istio环境需要以下几个基础组件。每个组件的详细功能，这次先按下不表，待完全熟悉后进行逐个详解。...接下来，需要访问下这个bookinfo服务，确定下是否真的部署成功: kubectl get ingress -o wide # 拿到集群的外网IP，并赋值给变量${GATEWAY_URL} curl

7263 0

听GPT 讲Istio源代码--istioctl

它会创建一个包含多个子命令的cobra.Command对象，每个子命令都对应不同的验证项。...具体来说，google.go文件中定义了一些函数和变量，用于判断是否在GKE上运行，以及如何连接到GKE的管理控制平面（MCP）。...MCP（Management Control Plane）是GKE上的一个组件，用于管理和控制集群。这个函数通过检查地址是否以“mcp.”开头来判断是否是MCP地址。...这些函数主要用于在GKE上部署和管理Istio sidecar代理。Istio sidecar代理是一个负责管理和控制微服务通信的组件，它被注入到每个容器中。...createRemoteServiceAccountSecret：创建一个远程密钥，包含远程服务帐户的身份验证信息。

2335 0

使用服务网格增强安全性：Christian Posta探索Istio的功能

通过这种方式，我们可以在不依赖于每个应用程序开发团队的情况下获得一致的应用流量加密。 ? 为您的服务体系结构设置和维护TLS和相互TLS的实现的一个问题是证书管理。...使用这些证书，支持istio的集群具有自动的相互TLS。您还可以根据需要插入自己的CA提供者根证书。 ? 使用Istio，网格中的服务之间的通信在默认情况下是安全的和加密的。...您不再需要摆弄证书和CA证书链来让TLS工作。操作员不再希望和祈祷每个开发人员正确地实现和配置他们的TLS/HTTPS设置。它通过一些Istio配置自动完成。...我们还将tls模式配置为ISTIO_MUTUAL，这意味着我们期望Istio管理证书和密钥，并将它们挂载到服务中(在Kubernetes中使用Kubernetes的秘密)，以便服务代理可以使用它们来建立...使用Istio验证原点标识(使用JWT) 当我们使用如上所述的mTLS时，我们不仅可以加密连接，更重要的是知道谁在调用谁。Istio为每个人(SPIFFE)规范使用安全生产标识框架。

1.4K2 0

使用Let’s Encrypt在Kubernetes上保护Istio的Ingress服务

我们为用户提供所需的数字证书，以便以更友好的方式免费为网站启用HTTPS（SSL/TLS）。我们这样做是因为我们想要创建一个更安全、更尊重隐私的Web。...某些域名服务提供商具有固定域名服务器，但Google Cloud DNS会为每个区域创建一套4个域名服务器。您需要在域名提供商的设置中将这些域名服务器设置为你的域名服务器。...这是name.com中的域名服务器配置示例。检查您的域名服务配置是否已更新。域名通过互联网缓存，实际更新可能需要48小时。在我们的案例中花了大约2个小时。...为此，您必须创建服务帐户并将json文件的内容复制到值区域。...我们假设 domain-name.com将用作您的zone名称。我们目前为每个主机名创建一个证书，但我们计划在以后的版本中添加智能域名证书。对于当前的互联网状态，拥有SSL/TLS证书至关重要。

1.4K2 0

Istio 负载均衡的区域感知

简单说来，就是在分区部署的较大规模的集群，或者公有云上，Istio 负载均衡可以根据节点的区域标签，对调用目标做出就近选择。...可以看到，果然按照我们预想的情况，不同区域的请求，会交由不同区域的服务来进行响应。如果此时删除同区的目标负载，会发现开始平均访问其它区的服务。...Ingress 网关 Ingress 网关控制器在网格内同样也会分配到不同的节点上，因此也同样会受到区域的影响。...例如我们为 flaskapp 创建一个 VirtualService + Gateway 的组合，引入外部流量： apiVersion: networking.istio.io/v1alpha3 kind...结论目前的分区域分流功能似乎还有些问题，但是不失为一个新的服务亲和思路。

1.8K4 0

Isito 入门（九）：安全认证

为每个服务提供强大的身份标识，以实现跨群集和云的互操作性。...PeerAuthentication 可以配置为整个集群或只在命名空间中起作用，但是只能有一个网格范围的 Peer 认证策略，每个命名空间也只能有一个命名空间范围的 Peer 认证策略。...mtls: 定义双向 TLS 的模式，有三种模式。 STRICT: 强制执行 mTLS，要求客户端和服务器使用 TLS 进行通信。这需要客户端和服务器具有有效的证书。...默认值为false，表示JWT令牌不会转发给上游服务。如果设置为true，则Istio会将令牌添加到请求头中，并转发给上游服务。...，可以通过这些规则限制不同服务的访问策略。

3432 0

听GPT 讲Istio源代码--pilot(4)

用于根据优先级调整终端节点的服务。 applyPriorityFailoverPerLocality：为每个本地性调整优先级故障转移。...现在来详细介绍每个变量和函数的作用： istioMtlsTransportSocketMatch：用于匹配Istio Mutual TLS传输套接字规则的变量。...TransportProtocol结构体：它定义了Istio支持的多种传输协议，如HTTP、TLS等。每个协议都有对应的名称和特定的配置。...isClusterLocalService: 判断给定的Service是否是一个集群本地服务，即是否在Istio的自动服务导出范围之内。...DestinationRule 是目标规则，Type 是类型，ServiceFound 表示找到的服务，IsDNSCluster 表示是否为 DNS 集群，Key 是键值，Cacheable 表示是否可缓存

2402 0

Istio入门,原理,实战

本质上，服务之间的请求是通过与服务一起运行但位于基础结构层之外的代理路由的: image.png 这些代理基本上为服务创建了一个网状网络——因此得名为服务网格！...最重要的是，我们为这些微服务创建了一个Docker镜像，以便我们可以将它们部署在Kubernetes上; 7.3 部署在像Minikube这样的Kubernetes集群上部署容器化的工作负载非常简单...这实际上意味着，如果我们将并发请求数超过1，熔断器将开始trap一些请求。 8.3 启用双向TLS 双向身份验证是指双方在诸如TLS之类的身份验证协议中同时相互进行身份验证的情况。...默认情况下，具有代理的服务之间的所有流量在Istio中都使用相互TLS。但是，没有代理的服务仍继续以纯文本格式接收流量。...虽然Istio将具有代理的服务之间的所有流量自动升级为双向TLS，但这些服务仍可以接收纯文本流量。

5K4 1

万字长文从 0 详解 Istio

本质上，服务之间的请求是通过与服务一起运行但位于基础结构层之外的代理路由的：这些代理基本上为服务创建了一个网状网络——因此得名为服务网格！通过这些代理，服务网格能够控制服务到服务通信的各个方面。...从根本上讲，Istio的工作原理是以Sidcar的形式将Envoy的扩展版本作为代理布署到每个微服务中：该代理网络构成了Istio架构的数据平面。...这实际上意味着，如果我们将并发请求数超过1，熔断器将开始trap一些请求。启用双向 TLS 双向身份验证是指双方在诸如TLS之类的身份验证协议中同时相互进行身份验证的情况。...默认情况下，具有代理的服务之间的所有流量在Istio中都使用相互TLS。但是，没有代理的服务仍继续以纯文本格式接收流量。...虽然Istio将具有代理的服务之间的所有流量自动升级为双向TLS，但这些服务仍可以接收纯文本流量。

1.2K0 0

Service Mesh: Istio vs Linkerd

服务网格为负载平衡，服务到服务的身份验证，监视等提供了一种创建服务网络的简便方法，而对服务代码的更改很少或没有更改。让我们看一下Istio和Linkerd的体系结构。...目标–数据平面中的每个代理都将调查此组件以查找将请求发送到的位置。它具有用于每个路由指标，重试和超时的服务配置文件信息。...这些代理拦截与每个Pod之间的通信，以提供检测和加密（TLS），而无需更改应用程序代码。...如果您将Google的GKE与Istio结合使用，或者将Red Hat OpenShift与Istio作为服务网格使用，则可能会获得各个供应商的支持。...一个组件中可能有一些功能看起来不错，但请确保检查另一个功能是否计划在不久的将来发布，并基于不仅是理论上的评估，而且还要在一个测试中对它们进行尝试，做出明智的决定。概念验证沙箱。

7612 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云