Istio 安全设置笔记
Istio 是一个开源的服务网格平台,它提供了一种简单、可扩展的方式来管理服务间的通信和流量。Istio 的安全功能提供了一种简单的方式来加密、验证和验证服务间的通信。
以下是一些 Istio 安全设置的笔记:
- 使用 mTLS 进行服务间通信加密:Istio 使用双向 TLS 进行服务间通信的加密,以防止中间人攻击和数据泄露。
- 使用 JWT 进行身份验证:Istio 支持使用 JWT 进行身份验证,以确保只有具有有效身份的用户才能访问服务。
- 使用 RBAC 进行授权:Istio 支持使用 RBAC 进行授权,以确保只有具有适当权限的用户才能访问服务。
- 使用 Istio 的授权策略:Istio 提供了一种简单的方式来定义授权策略,以确保只有符合策略的请求才能访问服务。
- 使用 Istio 的速率限制功能:Istio 提供了一种简单的方式来定义速率限制,以确保服务不会被恶意用户滥用。
推荐的腾讯云相关产品:
- 腾讯云 TKE RegisterNode:允许用户在腾讯云 TKE 上注册节点,以便在腾讯云 TKE 上部署 Istio。
- 腾讯云 TKE Anywhere:允许用户在自己的数据中心上部署和管理腾讯云 TKE,以便在自己的数据中心上部署 Istio。
- 腾讯云 CLB:提供了一种简单的方式来管理服务间的流量,可以与 Istio 一起使用来管理服务间的通信。
- 腾讯云 API 网关:提供了一种简单的方式来管理 API 接口,可以与 Istio 一起使用来管理服务间的通信。
- 腾讯云 CLS:提供了一种简单的方式来收集和管理日志,可以与 Istio 一起使用来管理服务间的通信。
- 腾讯云 COS:提供了一种简单的方式来存储和管理对象存储,可以与 Istio 一起使用来管理服务间的通信。
- 腾讯云 CVM:提供了一种简单的方式来部署和管理虚拟机,可以与 Istio 一起使用来管理服务间的通信。
- 腾讯云 TKE:提供了一种简单的方式来部署和管理 Kubernetes 集群,可以与 Istio 一起使用来管理服务间的通信。
以上是一些 Istio 安全设置的笔记,以及推荐的腾讯云相关产品。
相关·内容
1回答
我有一个启用了AuthenticationPolicy和Istio的服务(授权上下文被设置为使用来自JWT的组),但是,在进行调用时,istio似乎没有考虑到来自JWT声明的groups属性。
作为一个IDP,我使用dex,并为此设置了相应的AuthnPolicy。
我已将授权上下文设置为:
apiVersion: "config.istio.io/v1alpha2"
kind: authorization
metadata:
name: requestcontext
namespace: istio-system
spec:
subject:
user:
浏览 0提问于2018-07-10得票数 1
回答已采纳
2回答
使用存储帐户保护Azure消费(无服务器)功能应用程序
azure、azure-functions、azure-storage-account
我正致力于在Azure上托管一个web应用程序,它使用APIM、函数应用程序(无服务器)、存储帐户。现在我想让所有这些安全的沟通。为此,我在Azure上找到了Vnet和私有端点。
因此,我在VNET中锁定了存储帐户,并为此创建了一个专用端点。但是,为了让功能应用程序能够访问它,函数应用程序也位于同一个VNET中,这在无服务器功能应用程序中是不可能的。(保费最低的应用程序可以在VNET中被锁定)
因此,我在这里的问题是,如何使函数应用程序和存储帐户之间的通信更加安全?
对于函数应用程序,我可以用APIm IP定义一个IP规则,这样就不能从外部访问它,但是如何处理存储帐户。
谢谢
浏览 1提问于2021-12-10得票数 -1
5回答
可以有多个腾讯云帐号认证为同一家企业吗?
企业、腾讯云帐号
已经有个腾讯云帐号,脑子迷糊用私人qq号注册的,还完成了企业认证,
后面如果有技术团队了,那不就意味着这个私人qq号要拿出来给团队用。所以想重新申请个腾讯云帐号,做企业认证时能通过吗?(前面已经有一个腾讯云帐号认证为这家企业)
浏览 3241提问于2017-09-14
2回答
应用控制平面与数据平面在库伯奈特的应用
kubernetes、scale、amazon-eks、scalability
我是库伯内特斯的新手。我计划构建/部署一个应用程序到EKS。这可能也将部署在azure和gcp上。
我希望将部署在EKS中的应用程序中的数据平面和控制平面分开。
EKS/kubernetes是否允许这样做?
或者我们应该选择两个EKS,一个用于数据平面,另一个用于控制平面?
这是一个问题(从下面的答案中复制)
I有一个应用程序,该应用程序使用微服务体系结构构建(这意味着您将将其拆分为将相互通信的组件)。
我想在公共云(EKS、GCP、AWS)上部署这个应用程序。
我希望将应用程序控制平面(如身份验证API、内部服务路由等决策组件)与应用程序数据平面(通过出口向客户端提供应用程序数据)分离。
浏览 11提问于2022-07-11得票数 0
2回答
kubernetes为pod间通信提供了什么安全机制?
kubernetes
我是kuberenetes的新手,找不到任何关于pod之间的通信有多安全的信息。是不是加密了?有没有什么机制可以阻止潜在攻击者监听?
浏览 34提问于2020-07-16得票数 0
回答已采纳
2回答
如何扩展连锁服务功能,并为其添加新功能?
knative、knative-serving
目前,我正在评估作为将我的应用程序部署到Kubernetes的替代方案。我想知道是否有可能扩展K本机特性以向我的应用程序开发人员提供更多的功能,例如,我希望他们定义其他自定义基础结构,比如云数据库,或者允许他们配置Istio特性,比如授权策略,只使用Service清单,而不需要部署其他Kubernetes yamls。到头来,我只想把K本机服务作为我的应用合同,而不是其他任何东西。
有可能这样做吗?有没有关于如何做到这一点的文档?
浏览 6提问于2021-02-19得票数 0
回答已采纳
10回答
如何给数据加密技术选择并使用密钥为防止数据库数据外泄?
云服务器、数据库
弹幕视频网站 AcFun(A 站)2018年6月13日星期三在官网发布 《关于 AcFun 受黑客攻击致用户数据外泄的公告》 称,A站受到黑客攻击,“近千万条用户数据外泄”。其中包括用户 ID、昵称、“加密存储”的密码等信息。数据库外泄形势严峻,为了防止数据库信息泄露,我们会使用数据加密技术。那么,到底如何给数据加密技术选择并使用密钥为防止数据库数据外泄呢?腾讯云服务器提供相关的加密算法吗?
浏览 2752提问于2018-08-29
8回答
腾讯云服务器可以采取哪些算法来加密数据?
云服务器、数据加密服务、数据安全
数据加密服务提供弹性,高可用,高性能的数据加解密、密钥管理等云上数据安全服务,那么腾讯云服务器可以采取哪些算法来加密数据保障业务数据隐私安全?
浏览 5314提问于2018-06-12
1回答
是否可以使用RequestAuthentication和AuthenticationPolicy进行微业务通信?
kubernetes、istio、istio-sidecar、istio-gateway、istio-operator
我们最近在kubernetes集群上设置了istio,并试图看看是否可以使用RequestAuthentication和AuthenticationPolicy来使我们只允许名称空间x中的pod在具有有效jwt令牌时与名称空间y中的pod通信。
我在网上看到的所有例子似乎只适用于通过网关进行最终用户身份验证,而不是通过内部pod到pod通信。
我们尝试了几种不同的选择,但还没有任何运气。
我们可以让AuthenticationPolicy使用"from“来处理从pod到pod的通信,源是名称空间x中pod的IP地址:
apiVersion: security.istio.io/v1be
浏览 7提问于2021-12-08得票数 1
回答已采纳
1回答
将大型文件从多个端点上传到云存储的体系结构
file-upload、server、cloud-storage
我正在开发一个桌面应用程序,提供上传到云存储。存储提供程序有一种简单的上传文件的方法。你得到了accessKeyId和secretAccessKey,你就可以上传了。我正在努力想出上传文件的最佳方法。
选项1.包每个带有访问键的应用实例。这样,文件就可以直接上传到云端,而不需要中间人。不幸的是,在上传到云之前,我无法执行任何逻辑。例如..。如果每个用户都有5GB的可用存储空间,我无法在存储提供程序中验证此约束。我还没找到任何这样的供应商。在上传之前,我可能会向自己的服务器发送一个请求来进行验证,但是由于密钥是在应用程序中硬编码的,所以我确信这是一个很容易利用的漏洞。
选项2.将每个上传的文件发
浏览 0提问于2019-04-30得票数 0
回答已采纳
1回答
Istio推荐使用角色和ClusterRoles吗?
kubernetes、istio、rbac
我正在尝试设置我的Helm图表,以便能够部署一个VirtualService。我的部署用户将Edit ClusterRole绑定到它。但是我意识到,由于Istio不是核心Kubernetes发行版的一部分,Edit ClusterRole没有添加VirtualService的权限(甚至可以查看它们)。
当然,如果需要的话,我可以创建自己的角色和ClusterRoles。但我想我会看看Istio是否有推荐的角色或者是ClusterRole。
但是,我为Istio角色和ClusterRoles找到的所有文档都是针对Istio的旧版本的。
是否建议不再使用角色和ClusterRoles?如果没有,他
浏览 3提问于2021-05-27得票数 2
1回答
如何在kubernetes中调试与istio的mTLS通信?
kubernetes、istio、servicemesh
我在Istio方面非常新,因此这可能是一个简单的问题,但我对Istio有一些困惑,我在多个问题中使用了Istio1.8.0和1.19,但是如果您能帮助我澄清最好的方法,我将非常感激。
在注入Istio之后,我想ı无法访问服务直接在吊舱内服务,但正如您在下面看到的,ı可以访问服务。或许我误解了,但这是否是预期的行为?与此同时,我如何调试服务是否通过特使代理与mTLS对话?我使用的是STRICT模式,是否应该部署微服务运行的名称空间,以避免出现这种情况?
kubectl获取对等身份验证--所有名称空间名称空间名称年龄istio-system默认26h
我如何限制流量,比如api-d
浏览 4提问于2021-01-14得票数 3
回答已采纳
1回答
Azure AD可验证凭证
azure、azure-active-directory、azure-keyvault、azure-ad-verifiable-credentials
Azure密钥库是一种云服务,可以安全地存储和访问机密和密钥。您的可验证凭据服务将公钥和私钥存储在Azure密钥库中。这些密钥用于签署和验证凭据。
我们如何找到可验证凭据的公钥和私钥?我可以在用于VC的密钥库中看到恢复、签名和更新密钥。
浏览 6提问于2022-06-03得票数 0
回答已采纳
2回答
REST最佳实践云
rest、authorization、ibm-appid
我在IBM云上有一组REST服务。入口集成了Appid进行身份验证。Ingress将令牌id和访问id添加到authorization头部。现在在API端(springboot),我是否需要在每次请求时再次验证用户?这会是多余的吗?如果没有,可以使用哪个appid接口对用户进行授权。对类似示例的任何引用
已经在IBM云站点上完成了示例。一个是关于入口和appid的集成,但没有讨论REST服务层如何处理那里的授权令牌。另一个只是spring和Appid (不谈入口)
浏览 5提问于2019-07-07得票数 2
1回答
有没有一种方法可以在蔚蓝上的虚拟节点中运行Istio sidecar?
azure、istio、azure-container-instances、istio-sidecar
我在Azure上有一个AKS集群,启用了虚拟节点(/azure-ACIv1.3.2),它工作正常(有点古怪,但主要是工作)。我的问题是,只要我在虚拟节点上运行的任何部署都启用istio侧汽车注入,istio代理侧服务器就不会启动,从而阻止整个吊舱启动。我认为问题在于,在虚拟-kubelet/azure中还不支持v1:status.podIP,而istio规范使用它。
有人有这个问题吗?我在googlez上找不到任何关于istio +虚拟kubelet的东西。
我目前正在解决这个问题,通过在依赖项上使用允许的mtls模式来解决这个问题,它依赖于能够调用http,并通过部署上的注释关闭侧汽车注入。
浏览 0提问于2021-02-13得票数 1
1回答
如何使用istio在网格中绕过jwt策略
istio
我正在使用istio设置最终用户身份验证。我的网格中有服务A和服务B,服务B应用了jwt策略,因此对于发出的请求,集群将需要授权令牌才能访问。
然而,我发现如果服务A需要访问服务B,它也返回401表示需要令牌,我如何绕过网格内的身份验证并仅将其应用于网格外的流量?
浏览 24提问于2019-08-21得票数 1
5回答
应用程序如何在Google Cloud数据存储中安全地存储秘密?
security、google-app-engine、oauth、google-cloud-platform、google-cloud-datastore
我正在构建一个将在Google App Engine (GAE)上运行的应用程序。它将需要访问用户存储在其他系统中的数据(例如,用户的Nest恒温器,Yahoo mail)。在GAE上运行的应用程序将允许用户为其他系统提供凭据。应用程序将这些凭据存储在Google Cloud (Datastore)中,以便稍后由运行在Google Compute Engine上的应用程序代表用户使用。该应用程序还将允许OAuth允许用户允许该应用程序代表用户访问外部系统。应用程序需要在Google Cloud中存储用户凭证(用户名和密码)或OAuth访问令牌。
应用程序需要在存储秘密之前对其进行加密,并能够解
浏览 2提问于2015-02-24得票数 14
5回答
准备状态探测失败: HTTP探测失败,状态代码: 503在ISTIO中
azure、kubernetes、istio、azure-aks
我已经在我的AKS集群中部署了istio服务网格。我有ui和后端服务,它们都配置在istio中,用于服务通信。我能够通过istio调用后端服务,并且在访问我的后端服务时没有问题。
但是当我看到pod状态时,我在test-ui pod中面临问题。
NAME READY STATUS RESTARTS AGE
Test-api-deployment-59f6c6f67-ml4xm 2/2 Running 0 3d21h
Test-ui-deployment-b54fd89b-2ndsv
浏览 0提问于2019-05-06得票数 3
回答已采纳
1回答
身份验证和粒度授权
authorization、openid-connect、roles、policy、dms
我们正在构建一个应用程序,其中的内容,即数据和文件,需要以角色和策略的方式进行细粒度的用户访问。我们使用一个身份提供者来使用oAuth2和OpenID连接。 我的问题是关于利用平台或AWS云服务的可能性,在这些平台或AWS云服务中,此类粒度授权可用。我不想在我的应用程序中构建自定义授权矩阵,而是更喜欢使用服务的API和用户角色/策略来执行进一步的操作。 当涉及到使用access中的作用域时,它们更适合于定义OpenID访问级别。
浏览 16提问于2021-05-05得票数 1
1回答
如何在云上管理加密密钥?
encryption、key、saas
我想从软件即服务(SaaS)提供商处调配服务。这是一个多租户环境(多个公司将使用应用程序的单个实例,具有单个数据库,在相同的硬件和相同的操作系统上运行)。
我们公司要求对静态数据进行加密。
我读过的大多数指南都指出,密钥应该留给客户或第三方,而不是云提供商。
如果我有这个密钥,那么我公司的每个用户在登录后都需要这个密钥来访问文件存储?这实际上是如何工作的呢?密钥是否会与我的用户用户名和密码绑定?
另一种选择是将密钥存储在云平台上的配置文件中,并由云提供商管理。但这会产生另一个问题,即保护配置文件的安全,以及将密钥放在共享平台上的风险。
云提供商可以在哪里安全地存储密钥,以便只有我和我的员工可以
浏览 1提问于2018-08-14得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储活动推荐
腾讯云开发者
