华为云UCS
华为云UCS
- 最新动态
- 服务公告
- 产品介绍
- 计费说明
- 快速入门
-
用户指南
- UCS集群
- 容器舰队
- 集群联邦
- 镜像仓库
- 权限管理
-
策略中心
- 策略中心概述
- 策略定义与策略实例的基本概念
- 启用策略中心
- 创建和管理策略实例
- 示例:使用策略中心实现Kubernetes资源合规性治理
-
使用策略定义库
- 策略定义库概述
- k8spspvolumetypes
- k8spspallowedusers
- k8spspselinuxv2
- k8spspseccomp
- k8spspreadonlyrootfilesystem
- k8spspprocmount
- k8spspprivilegedcontainer
- k8spsphostnetworkingports
- k8spsphostnamespace
- k8spsphostfilesystem
- k8spspfsgroup
- k8spspforbiddensysctls
- k8spspflexvolumes
- k8spspcapabilities
- k8spspapparmor
- k8spspallowprivilegeescalationcontainer
- k8srequiredprobes
- k8srequiredlabels
- k8srequiredannotations
- k8sreplicalimits
- noupdateserviceaccount
- k8simagedigests
- k8sexternalips
- k8sdisallowedtags
- k8sdisallowanonymous
- k8srequiredresources
- k8scontainerratios
- k8scontainerrequests
- k8scontainerlimits
- k8sblockwildcardingress
- k8sblocknodeport
- k8sblockloadbalancer
- k8sblockendpointeditdefaultrole
- k8spspautomountserviceaccounttokenpod
- k8sallowedrepos
- 配置管理
- 服务网格
- 流量分发
- 可观测性
- 云原生服务中心
- 容器迁移
- 流水线
- 错误码
- 最佳实践
- API参考
- 常见问题
- 文档下载
- 通用参考
链接复制成功!
请求认证
在服务网格中配置请求授权,可以实现来源认证。在接收用户请求时,该配置用于认证请求头信息中的Access Token是否可信,并授权给来源合法的请求。请求认证通过负载选择器Selector选择目标负载。认证的规则通过JWTRule来描述,定义如何匹配JWT令牌上的认证信息。
创建请求认证
支持YAML创建请求认证。
- 登录UCS控制台,在左侧导航栏中单击“服务网格”。
- 单击服务网格名称,进入详情页。
- 在左侧导航栏,单击“服务安全”下的“请求认证”,进入请求认证详情页。
- 单击右上角“YAML创建”,弹出请求认证YAML创建界面。
- 为命名空间下的服务访问,校验请求中的认证信息。
apiVersion: security.istio.io/v1beta1 kind: RequestAuthentication # 创建服务安全类别为请求认证 metadata: name: forecast # 请求认证名 namespace: weather # 在weather命名空间下创建 spec: selector: matchLabels: app: forecast # 标签键值对 jwtRules: - issuer: "weather@cloudnative-istio.book " jwksUri: https://cloudnative-istio.book/jwks-demo/jwks
更新请求认证
- 登录UCS控制台,在左侧导航栏中单击“服务网格”。
- 单击服务网格名称,进入详情页。
- 在左侧导航栏,单击“服务安全”下的“请求认证”,进入请求认证详情页。
- 选定要更新的认证策略,单击操作列下的“YAML编辑”。
删除请求认证
删除操作无法恢复,请谨慎操作。删除请求认证策略不会影响关联的服务本身运行。
- 登录UCS控制台,在左侧导航栏中单击“服务网格”。
- 单击服务网格名称,进入详情页。
- 在左侧导航栏,单击“服务安全”下的“请求认证”,进入请求认证详情页。
- 选定要删除的请求认证策略,单击操作列下的“删除”。
- 弹出“删除请求认证策略”对话框,单击“是”,删除请求认证完成。
案例
请求令牌自定义属性认证。
apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: detailed-jwt spec: action: ALLOW rules: - from: - source: requestPrincipals: ["weather@cloudnative-istio.book/weather"] when: - key: request.auth.claims[role] values: ["editor"]
父主题: 服务安全