更新时间:2024-03-04 GMT+08:00
对端认证
ASM服务通过端到端的PEP(Policy Enforcement Points)隧道实现服务实例之间的通信,对端认证定义了流量如何通过隧道(或者不通过隧道)传输到当前服务的实例。已经注入sidecar的服务实例之间,默认通过隧道进行通信,流量会自动进行TLS加密。对等身份认证可以控制对目标工作负载上双向认证的模式。
创建对端认证
支持YAML创建对端认证。
- 登录UCS控制台,进入网格。
- 在左侧导航栏,单击“服务安全”下的“对端认证”,进入对端认证详情页。
- 单击右上角“YAML创建”,弹出对端认证YAML创建界面。
- 为服务开启双向认证,该服务使用双向认证来接收调用方的访问,只处理TLS通道上加密的请求。
apiVersion: security.istio.io/v1beta1 kind: PeerAuthentication # 创建服务安全类别为对端认证 metadata: name: peer-policy # 对端认证名 namespace: weather # 在weather命名空间下创建 spec: selector: matchLabels: app: forecast # 标签键值对 mtls: mode: STRICT若要完成网格统一认证策略,设置如下:
apiVersion: security.istio.io/v1beta1 kind: PeerAuthentication metadata: name: mesh_tls namespace: istio-system spec: mtls: mode: STRICT
更新对端认证
- 登录UCS控制台,在左侧导航栏中单击“服务网格”。
- 单击服务网格名称,进入详情页。
- 在左侧导航栏,单击“服务安全”下的“对端认证”,进入对端认证详情页。
- 选定要更新的认证策略,单击操作列下的“YAML编辑”。
- 根据实际需求更新对端认证。例如:网格统一认证策略更新为命名空间统一认证策略,设置如下:
apiVersion: security.istio.io/v1beta1 kind: PeerAuthentication metadata: name: ns_weather_tls namespace: weather spec: mtls: mode: STRICT
删除对端认证
删除操作无法恢复,请谨慎操作。删除对端认证策略不会影响关联的服务本身运行。
- 登录UCS控制台,在左侧导航栏中单击“服务网格”。
- 单击服务网格名称,进入详情页。
- 在左侧导航栏,单击“服务安全”下的“对端认证”,进入对端认证详情页。
- 选定要删除的认证策略,单击操作列下的“删除”。
- 弹出“删除对端认证策略”对话框,单击“是”,删除对端认证完成。
案例
命名空间统一认证策略。
apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
name: ns_weather_tls
namespace: weather
spec:
mtls:
mode: STRICT
父主题: 服务安全
