istio
/
istio.io
mirror of https://github.com/istio/istio.io.git
1
0
Fork 0
Code Issues Packages Projects Releases Wiki Activity
istio.io/archive/v1.1/zh/blog/2017/0.1-auth/index.html

22 lines
28 KiB
HTML
Raw Permalink Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

<!doctype html><html lang=zh itemscope itemtype=https://schema.org/WebPage><head><meta charset=utf-8><meta http-equiv=x-ua-compatible content="IE=edge"><meta name=viewport content="width=device-width,initial-scale=1,shrink-to-fit=no"><meta name=theme-color content=#466BB0><meta name=title content="使用 Istio 增强端到端安全"><meta name=description content="Istio Auth 0.1 公告。"><meta name=author content="The Istio Team"><meta name=keywords content=microservices,services,mesh><meta property=og:title content="使用 Istio 增强端到端安全"><meta property=og:type content=website><meta property=og:description content="Istio Auth 0.1 公告。"><meta property=og:url content=/v1.1/zh/blog/2017/0.1-auth/><meta property=og:image content=/v1.1/img/istio-whitelogo-bluebackground-framed.svg><meta property=og:image:alt content="Istio Logo"><meta property=og:image:width content=112><meta property=og:image:height content=150><meta property=og:site_name content=Istio><meta name=twitter:card content=summary><meta name=twitter:site content=@IstioMesh><title>Istioldie 1.1 / 使用 Istio 增强端到端安全</title><script async src="https://www.googletagmanager.com/gtag/js?id=UA-98480406-2"></script><script>window.dataLayer=window.dataLayer||[];function gtag(){dataLayer.push(arguments);}
gtag('js',new Date());gtag('config','UA-98480406-2');</script><link rel=alternate type=application/rss+xml title="Istio Blog" href=/v1.1/feed.xml><link rel="shortcut icon" href=/v1.1/favicons/favicon.ico><link rel=apple-touch-icon href=/v1.1/favicons/apple-touch-icon-180x180.png sizes=180x180><link rel=icon type=image/png href=/v1.1/favicons/favicon-16x16.png sizes=16x16><link rel=icon type=image/png href=/v1.1/favicons/favicon-32x32.png sizes=32x32><link rel=icon type=image/png href=/v1.1/favicons/android-36x36.png sizes=36x36><link rel=icon type=image/png href=/v1.1/favicons/android-48x48.png sizes=48x48><link rel=icon type=image/png href=/v1.1/favicons/android-72x72.png sizes=72x72><link rel=icon type=image/png href=/v1.1/favicons/android-96x96.png sizes=96xW96><link rel=icon type=image/png href=/v1.1/favicons/android-144x144.png sizes=144x144><link rel=icon type=image/png href=/v1.1/favicons/android-192x192.png sizes=192x192><link rel=manifest href=/v1.1/manifest.json><meta name=apple-mobile-web-app-title content=Istio><meta name=application-name content=Istio><link rel=stylesheet href="https://fonts.googleapis.com/css?family=Work+Sans:400|Chivo:400|Work+Sans:500,300,600,300italic,400italic,500italic,600italic|Chivo:500,300,600,300italic,400italic,500italic,600italic"><link rel=stylesheet href=/v1.1/css/all.css></head><body class="language-unknown archive-site"><script src=/v1.1/js/themes_init.min.js></script><script>const branchName="release-1.1";const docTitle="使用 Istio 增强端到端安全";const iconFile="\/v1.1/img/icons.svg";const buttonCopy='复制到剪切板';const buttonPrint='打印';const buttonDownload='下载';</script><script src="https://www.google.com/cse/brand?form=search-form" defer></script><script src=/v1.1/js/all.min.js data-manual defer></script><header><nav><a id=brand href=/v1.1/zh/><span class=logo><svg viewBox="0 0 300 300"><circle cx="150" cy="150" r="146" stroke-width="2" /><path d="M65 240H225L125 270z"/><path d="M65 230l60-10V110z"/><path d="M135 220l90 10L135 30z"/></svg></span><span class=name>Istioldie 1.1</span></a><div id=hamburger><svg class="icon"><use xlink:href="/v1.1/img/icons.svg#hamburger"/></svg></div><div id=header-links><a title="了解如何部署、使用和运维 Istio。" href=/v1.1/zh/docs/>文档</a>
<span title="关于使用 Istio 的博客文章。">博客</span>
<a title="一堆帮助您部署、配置和使用 Istio 的资源。" href=/v1.1/zh/help/>帮助</a>
<a title=关于Istio的说明。 href=/v1.1/zh/about/>关于</a><div class=menu><button id=gearDropdownButton class=menu-trigger title=选项和设置 aria-label="Options and Settings" aria-controls=gearDropdownContent><svg class="icon"><use xlink:href="/v1.1/img/icons.svg#gear"/></svg></button><div id=gearDropdownContent class=menu-content aria-labelledby=gearDropdownButton role=menu><a tabindex=-1 role=menuitem lang=en id=switch-lang-en>English</a>
<a tabindex=-1 role=menuitem lang=zh id=switch-lang-zh class=active>中文</a><div role=separator></div><a tabindex=-1 role=menuitem class=active id=light-theme-item>亮主题</a>
<a tabindex=-1 role=menuitem id=dark-theme-item>暗主题</a><div role=separator></div><a tabindex=-1 role=menuitem id=syntax-coloring-item>代码高亮</a><div role=separator></div><h6>本站的其它版本</h6><a tabindex=-1 role=menuitem onclick="navigateToUrlOrRoot('https://istio.io/blog\/2017\/0.1-auth\/');return false;">当前版本</a>
<a tabindex=-1 role=menuitem onclick="navigateToUrlOrRoot('https://preliminary.istio.io/blog\/2017\/0.1-auth\/');return false;">下个版本</a>
<a tabindex=-1 role=menuitem href=https://archive.istio.io>旧版本</a></div></div><button id=search-show title=搜索istio.io aria-label=Search><svg class="icon"><use xlink:href="/v1.1/img/icons.svg#magnifier"/></svg></button></div><form id=search-form name=cse role=search><input type=hidden name=cx value=013699703217164175118:iwwf17ikgf4>
<input type=hidden name=ie value=utf-8>
<input type=hidden name=hl value=en>
<input type=hidden id=search-page-url value=/v1.1/search.html>
<input id=search-textbox class=form-control name=q type=search aria-label=搜索istio.io>
<button id=search-close title="Cancel search" type=reset aria-label="Cancel search"><svg class="icon"><use xlink:href="/v1.1/img/icons.svg#cancel-x"/></svg></button></form></nav></header><main class=primary><div id=sidebar-container class="sidebar-container sidebar-offcanvas"><nav id=sidebar aria-label="Section Navigation"><div class=directory><div class=card><button class="header dynamic" id=card0 title="2019 年的博客文章。" aria-controls=card0-body><svg class="icon"><use xlink:href="/v1.1/img/icons.svg#blog"/></svg>2019 年的博客文章</button><div class=body aria-labelledby=card0 role=region id=card0-body><ul role=tree aria-expanded=true class=leaf-section aria-labelledby=card0><li role=none><a role=treeitem title="Istio 1.0.8 补丁版本。" href=/v1.1/zh/blog/2019/announcing-1.0.8/>发布 Istio 1.0.8</a></li><li role=none><a role=treeitem title="学习延长 Istio 自签发根证书的有效期的方法。" href=/v1.1/zh/blog/2019/root-transition/>延长 Istio 自签发根证书的有效期</a></li><li role=none><a role=treeitem title="发布 Istio 1.1.8 补丁版本。" href=/v1.1/zh/blog/2019/announcing-1.1.8/>发布 Istio 1.1.8</a></li><li role=none><a role=treeitem title="应对 CVE-2019-12243 带来的安全威胁。" href=/v1.1/zh/blog/2019/cve-2019-12243/>安全更新 - CVE-2019-12243</a></li><li role=none><a role=treeitem title="Istio 1.0 即将宣告终结。" href=/v1.1/zh/blog/2019/announcing-1.0-eol/>Istio 1.0 将在 2019 年 6 月 19 日停止支持</a></li><li role=none><a role=treeitem title="发布 Istio 1.1.7 补丁版本。" href=/v1.1/zh/blog/2019/announcing-1.1.7/>发布 Istio 1.1.7</a></li><li role=none><a role=treeitem title="Istio 1.1.6 补丁版本。" href=/v1.1/zh/blog/2019/announcing-1.1.6/>发布 Istio 1.1.6</a></li><li role=none><a role=treeitem title="发布 Istio 1.1.5 补丁版本。" href=/v1.1/zh/blog/2019/announcing-1.1.5/>发布 Istio 1.1.5</a></li><li role=none><a role=treeitem title="发布 Istio 1.1.4 补丁版本。" href=/v1.1/zh/blog/2019/announcing-1.1.4/>发布 Istio 1.1.4</a></li><li role=none><a role=treeitem title="Istio 1.1.3。" href=/v1.1/zh/blog/2019/announcing-1.1.3/>安全更新:发布 Istio 1.1.3</a></li><li role=none><a role=treeitem title="Istio 1.0.7 的补丁版本。" href=/v1.1/zh/blog/2019/announcing-1.0.7/>安全更新:发布 Istio 1.0.7</a></li><li role=none><a role=treeitem title="Istio 1.1.2 的补丁版本。" href=/v1.1/zh/blog/2019/announcing-1.1.2/>安全更新:发布 Istio 1.1.2</a></li><li role=none><a role=treeitem title="发布 Istio 1.1.1 补丁版本。" href=/v1.1/zh/blog/2019/announcing-1.1.1/>发布 Istio 1.1.1</a></li><li role=none><a role=treeitem title="Istio 1.1 发布声明。" href=/v1.1/zh/blog/2019/announcing-1.1/>宣布 Istio 1.1 发布</a></li><li role=none><a role=treeitem title="Istio 1.1 性能概览." href=/v1.1/zh/blog/2019/istio1.1_perf/>面向性能而架构的 Istio 1.1</a></li><li role=none><a role=treeitem title="发布 Istio 1.0.6 补丁版本。" href=/v1.1/zh/blog/2019/announcing-1.0.6/>Istio 1.0.6 发布</a></li><li role=none><a role=treeitem title="在多集群服务网格环境中配置 Istio 的路由规则。" href=/v1.1/zh/blog/2019/multicluster-version-routing/>多集群服务网格中的分版本路由</a></li><li role=none><a role=treeitem title=宣布新的博客策略。 href=/v1.1/zh/blog/2019/sail-the-blog/>博客策略更新</a></li><li role=none><a role=treeitem title="评估加入 Egress gateway 对性能造成的影响。" href=/v1.1/zh/blog/2019/egress-performance/>Egress gateway 性能测试</a></li><li role=none><a role=treeitem title="Istio 将数据面组件注入到现存部署之中的过程。" href=/v1.1/zh/blog/2019/data-plane-setup/>Istio Sidecar 注入过程解密</a></li><li role=none><a role=treeitem title="使用 AppSwitch 解决应用程序启动顺序和启动延迟。" href=/v1.1/zh/blog/2019/appswitch/>使用 AppSwitch 进行 Sidestepping 依赖性排序</a></li><li role=none><a role=treeitem title="如何使用 cert-manager 手工部署一个自定义 Ingress 网关。" href=/v1.1/zh/blog/2019/custom-ingress-gateway/>使用 Cert-Manager 部署一个自定义 Ingress 网关</a></li><li role=none><a role=treeitem title="Istio 推出新的讨论板。" href=/v1.1/zh/blog/2019/announcing-discuss.istio.io/>宣布 discuss.istio.io</a></li></ul></div></div><div class=card><button class="header dynamic" id=card1 title="2017 年的博客文章。" aria-controls=card1-body><svg class="icon"><use xlink:href="/v1.1/img/icons.svg#blog"/></svg>2017 年的博客文章</button><div class="body default" aria-labelledby=card1 role=region id=card1-body><ul role=tree aria-expanded=true class=leaf-section aria-labelledby=card1><li role=none><a role=treeitem title=提高可用,降低延迟。 href=/v1.1/zh/blog/2017/mixer-spof-myth/>Mixer 和 SPOF 神话</a></li><li role=none><a role=treeitem title="概要说明 Mixer 的插件架构。" href=/v1.1/zh/blog/2017/adapter-model/>Mixer 适配器模型</a></li><li role=none><a role=treeitem title="Istio 0.2 公告。" href=/v1.1/zh/blog/2017/0.2-announcement/>宣布 Istio 0.2</a></li><li role=none><a role=treeitem title="Istio 的策略如何关联 Kubernetes 的网络策略 。" href=/v1.1/zh/blog/2017/0.1-using-network-policy/>Istio 使用网络策略</a></li><li role=none><a role=treeitem title="使用 Istio 创建自动缩放的金丝雀部署。" href=/v1.1/zh/blog/2017/0.1-canary/>使用 Istio 进行金丝雀部署</a></li><li role=none><span role=treeitem class=current title="Istio Auth 0.1 公告。">使用 Istio 增强端到端安全</span></li><li role=none><a role=treeitem title="Istio 0.1 宣布。" href=/v1.1/zh/blog/2017/0.1-announcement/>初次了解 Istio</a></li></ul></div></div><div class=card><button class="header dynamic" id=card2 title="2018 年的博客文章。" aria-controls=card2-body><svg class="icon"><use xlink:href="/v1.1/img/icons.svg#blog"/></svg>2018 年的博客文章</button><div class=body aria-labelledby=card2 role=region id=card2-body><ul role=tree aria-expanded=true class=leaf-section aria-labelledby=card2><li role=none><a role=treeitem title="发布 Istio 1.0.5 补丁版本。" href=/v1.1/zh/blog/2018/announcing-1.0.5/>Istio 1.0.5 发布</a></li><li role=none><a role=treeitem title="发布 Istio 1.0.4 补丁版本。" href=/v1.1/zh/blog/2018/announcing-1.0.4/>Istio 1.0.4 发布</a></li><li role=none><a role=treeitem title="如何在不部署 Sidecar 代理的情况下使用 Istio 进行流量管理。" href=/v1.1/zh/blog/2018/incremental-traffic-management/>增量式应用 Istio 第一部分,流量管理</a></li><li role=none><a role=treeitem title="描述了一个基于 Istio 的 Bookinfo 示例的简单场景。" href=/v1.1/zh/blog/2018/egress-mongo/>使用外部 MongoDB 服务</a></li><li role=none><a role=treeitem title="发布 Istio 1.0.3 补丁版本。" href=/v1.1/zh/blog/2018/announcing-1.0.3/>Istio 1.0.3 发布</a></li><li role=none><a role=treeitem title="发布 Istio 1.0.2 补丁版本." href=/v1.1/zh/blog/2018/announcing-1.0.2/>Istio 1.0.2 发布</a></li><li role=none><a role=treeitem title="发布 Istio 1.0.1 补丁版本。" href=/v1.1/zh/blog/2018/announcing-1.0.1/>Istio 1.0.1 发布</a></li><li role=none><a role=treeitem title="Istio 在 Twitch 举办了为期一天的直播庆祝 1.0 的发布。" href=/v1.1/zh/blog/2018/istio-twitch-stream/>Istio 在 Twitch 上全天直播</a></li><li role=none><a role=treeitem title="惠普如何在 Istio 上构建其下一代鞋类个性化平台。" href=/v1.1/zh/blog/2018/hp/>Istio 是惠普 FitStation 平台的改变者</a></li><li role=none><a role=treeitem title="Istio 1.0 已生产就绪。" href=/v1.1/zh/blog/2018/announcing-1.0/>宣布 Istio 1.0</a></li><li role=none><a role=treeitem title="使用 AppSwitch 自动接入应用并降低延迟。" href=/v1.1/zh/blog/2018/delayering-istio/>使用 AppSwitch 精简 Istio 层次</a></li><li role=none><a role=treeitem title="描述 Istio 的授权功能以及如何在各种用例中使用它。" href=/v1.1/zh/blog/2018/istio-authorization/>基于 Istio 的 Micro-Segmentation 授权</a></li><li role=none><a role=treeitem title="如何通过 Stackdriver 将 Istio 访问日志导出到 BigQuery、GCS、Pub/Sub 等不同的接收器。" href=/v1.1/zh/blog/2018/export-logs-through-stackdriver/>通过 Stackdriver 将日志导出到 BigQuery、GCS、Pub/Sub</a></li><li role=none><a role=treeitem title="描述如何配置 Istio 进行 HTTP Egress 流量监控和访问策略。" href=/v1.1/zh/blog/2018/egress-monitoring-access-control/>HTTP Egress 流量监控和访问策略</a></li><li role=none><a role=treeitem title="Istio v1alpha3 路由 API 介绍,动机及其设计原则。" href=/v1.1/zh/blog/2018/v1alpha3-routing/>Istio v1aplha3 路由 API 介绍</a></li><li role=none><a role=treeitem title="描述如何在AWS上使用网络负载均衡器配置 Istio Ingress。" href=/v1.1/zh/blog/2018/aws-nlb/>使用AWS NLB 配置 Istio Ingress</a></li><li role=none><a role=treeitem title="使用 Kubernetes 命名空间和 RBAC 为 Istio 构建软性多租户环境。" href=/v1.1/zh/blog/2018/soft-multitenancy/>Istio 的软性多租户支持</a></li><li role=none><a role=treeitem title=介绍更安全,低风险的部署和发布到生产。 href=/v1.1/zh/blog/2018/traffic-mirroring/>用于在生产环境进行测试的 Istio 流量镜像功能</a></li><li role=none><a role=treeitem title="描述基于 Istio 的 Bookinfo 示例的简单场景。" href=/v1.1/zh/blog/2018/egress-tcp/>使用外部 TCP 服务</a></li><li role=none><a role=treeitem title="描述基于 Istio Bookinfo 示例的简单场景。" href=/v1.1/zh/blog/2018/egress-https/>使用外部 Web 服务</a></li></ul></div></div></div></nav></div><div class=article-container><button tabindex=-1 id=sidebar-toggler title=折叠导航栏><svg class="icon"><use xlink:href="/v1.1/img/icons.svg#pull"/></svg></button><nav aria-label=Breadcrumb><ol><li><a href=/v1.1/zh/>Istio</a></li><li><a href=/v1.1/zh/blog/ title="关于使用 Istio 的博客文章。">博客</a></li><li><a href=/v1.1/zh/blog/2017/ title="2017 年的博客文章。">2017 年的博客文章</a></li><li>使用 Istio 增强端到端安全</li></ol></nav><article aria-labelledby=title><div class=title-area><div><h1 id=title>使用 Istio 增强端到端安全</h1><p class=subtitle>默认保护服务间通信</p><p class=byline><span>作者</span>
<span class=attribution>The Istio Team</span><span> | </span><span><svg class="icon"><use xlink:href="/v1.1/img/icons.svg#calendar"/></svg><span>&nbsp;</span>2017年5月25日</span></p></div></div><nav class=toc-inlined aria-label="Table of Contents"><div><hr><ol><li role=none aria-label=背景知识><a href=#%e8%83%8c%e6%99%af%e7%9f%a5%e8%af%86>背景知识</a><li role=none aria-label=解决方案:增强的服务身份和验证><a href=#%e8%a7%a3%e5%86%b3%e6%96%b9%e6%a1%88-%e5%a2%9e%e5%bc%ba%e7%9a%84%e6%9c%8d%e5%8a%a1%e8%ba%ab%e4%bb%bd%e5%92%8c%e9%aa%8c%e8%af%81>解决方案:增强的服务身份和验证</a><ol><li role=none aria-label=强身份认证><a href=#%e5%bc%ba%e8%ba%ab%e4%bb%bd%e8%ae%a4%e8%af%81>强身份认证</a><li role=none aria-label=通信安全><a href=#%e9%80%9a%e4%bf%a1%e5%ae%89%e5%85%a8>通信安全</a><li role=none aria-label=密钥管理和分配><a href=#%e5%af%86%e9%92%a5%e7%ae%a1%e7%90%86%e5%92%8c%e5%88%86%e9%85%8d>密钥管理和分配</a></ol></li><li role=none aria-label="Istio Auth 优点"><a href=#istio-auth-%e4%bc%98%e7%82%b9><code>Istio Auth</code> 优点</a><li role=none aria-label=加入我们><a href=#%e5%8a%a0%e5%85%a5%e6%88%91%e4%bb%ac>加入我们</a></ol><hr></div></nav><p>传统的网络安全方式无法解决部署在动态变化环境下分布式应用的安全威胁。这里,我们将描述 <code>Istio Auth</code> 如何帮助企业将其安全从边界保护转变为内部所有服务间通信保护。 使用 <code>Istio Auth</code> 开发人员和运维人员可以在不改动程序的情况下,对于敏感数据进行保护,防止未经授权的内部人员访问。</p><p><code>Istio Auth</code> 是更广泛的 <a href=/v1.1/zh>Istio 平台</a>的安全组件。它结合了 Google 生产环境中保护数百万微服务安全的经验。</p><h2 id=背景知识>背景知识</h2><p>现代应用程序体系结构越来越多地基于共享服务,共享服务部署在云平台上,可被方便地进行动态部署和扩容。 传统的网络边界安全性(例如防火墙)控制力度太粗,会导致部分非预期的客户端访问。使用盗取合法客户端的认证令牌进行重放攻击,就是一种常见的安全风险。对于持有敏感数据公司而言,内部威胁是一个需要关注的主要风险。其他网络安全方法(如 IP 白名单)通过静态方式定义,难以大规模管理,不适合动态变化的生产环境。</p><p>因此,安全管理员需要一种工具,其可以能够默认开启并且始终保护生产环境中服务间的所有通信。</p><h2 id=解决方案-增强的服务身份和验证>解决方案:增强的服务身份和验证</h2><p>多年来Google 通过研发架构和技术,帮助其生产环境中数百万个微服务抵御了外部攻击和内部威胁。 关键安全原则包括信任端而不是网络,基于服务身份和级别授权的双向强身份验证。<code>Istio Auth</code> 基于相同的原则。</p><p><code>Istio Auth</code> 服务 0.1 版本在 Kubernetes 上运行,并提供以下功能:</p><ul><li><p>服务间强身份认证</p></li><li><p>访问控制以限制可以访问服务(及其数据)的身份</p></li><li><p>传输中的数据自动加密</p></li><li><p>密钥和证书的大规模管理</p></li></ul><p><code>Istio Auth</code> 基于双向 TLS 和 X.509 等行业标准。 此外Google 还积极参与一个开放的,社区驱动的 <a href=https://spiffe.io/>SPIFFE</a> 服务安全框架。 随着 <a href=https://spiffe.io/>SPIFFE</a> 规范的成熟,我们打算让 <code>Istio Auth</code> 参考并实现。</p><p>下图概述了 Kubernetes 上的 <code>Istio Auth</code> 服务认证体系结构。</p><figure style=width:100%><div class=wrapper-with-intrinsic-ratio style=padding-bottom:56.25%><a data-skipendnotes=true href=/v1.1/blog/2017/0.1-auth/istio_auth_overview.svg title="`Istio Auth` 概览"><img class=element-to-stretch src=/v1.1/blog/2017/0.1-auth/istio_auth_overview.svg alt="`Istio Auth` 概览"></a></div><figcaption>`Istio Auth` 概览</figcaption></figure><p>上图说明了三个关键的安全功能:</p><h3 id=强身份认证>强身份认证</h3><p><code>Istio Auth</code> 使用 <a href=https://kubernetes.io/docs/tasks/configure-pod-container/configure-service-account/>Kubernetes 服务帐户</a> 来识别服务运行的身份。 身份用于建立信任和定义服务级别访问策略。 身份在服务部署时分配,并在 X.509 证书的 SAN主题备用名称字段中进行编码。 使用服务帐户作为身份具有以下优点:</p><ul><li><p>管理员可以使用 Kubernetes 1.6 中引入的 <a href=https://kubernetes.io/docs/reference/access-authn-authz/rbac/>RBAC</a> 功能配置谁有权访问服务帐户</p></li><li><p>灵活地识别人类用户,服务或一组服务</p></li><li><p>稳定地支持服务身份的动态配置和工作负载自动扩展</p></li></ul><h3 id=通信安全>通信安全</h3><p>服务间通信基于高性能客户端和服务器端 <a href=https://envoyproxy.github.io/envoy/>Envoy</a> 代理的传输隧道。 代理之间的通信使用双向 TLS 来进行保护。 使用双向 TLS 的好处是服务身份不会被替换为从源窃取或重放攻击的令牌。 <code>Istio Auth</code> 还引入了安全命名的概念,以防止服务器欺骗攻击 - 客户端代理验证允许验证特定服务的授权的服务帐户。</p><h3 id=密钥管理和分配>密钥管理和分配</h3><p><code>Istio Auth</code> 为每个集群提供 CA证书颁发机构并可对密钥和证书自动管理。 这种情况下,<code>Istio Auth</code> 具备以下功能 </p><ul><li><p>为每个服务帐户生成密钥和证书对。</p></li><li><p>使用 <a href=https://kubernetes.io/docs/concepts/configuration/secret/>Kubernetes Secrets</a> 将密钥和证书分发到相应的 pod。</p></li><li><p>定期轮换密钥和证书。</p></li><li><p>必要时(未来)撤销特定密钥和证书对。</p></li></ul><p>下图说明了 Kubernetes 上的端到端 <code>Istio Auth</code> 身份验证工作流程:</p><figure style=width:100%><div class=wrapper-with-intrinsic-ratio style=padding-bottom:56.25%><a data-skipendnotes=true href=/v1.1/blog/2017/0.1-auth/istio_auth_workflow.svg title="`Istio Auth` 工作流程"><img class=element-to-stretch src=/v1.1/blog/2017/0.1-auth/istio_auth_workflow.svg alt="`Istio Auth` 工作流程"></a></div><figcaption>`Istio Auth` 工作流程</figcaption></figure><p><code>Istio Auth</code> 是更广泛的容器安全中的一部分。 Red Hat 是 Kubernetes 开发的合作伙伴,定义了 <a href=https://www.redhat.com/en/resources/container-security-openshift-cloud-devops-whitepaper>10 层</a> 容器安全。 Istio 和 <code>Istio Auth</code> 解决了其中两个层:”网络隔离” 和 “API 和服务端点管理”。 随着集群联邦在 Kubernetes 和其他平台上的发展,我们的目的是让 Istio 对跨越多个联邦集群的服务间通信提供保护。</p><h2 id=istio-auth-优点><code>Istio Auth</code> 优点</h2><p><strong>深度防御</strong>:当与 Kubernetes或基础架构网络策略结合使用时用户可以获得更多的安全信心因为他们知道 Pod 或服务间的通信在网络层和应用层上都得到保护。</p><p><strong>默认安全</strong>:当与 Istio 的代理和集中策略引擎一起使用时,可在极少或不更改应用的情况下部署并配置 <code>Istio Auth</code>。 因此,管理员和操作员可以确保默认开启服务通信保护,并且可以跨协议和运行时一致地实施这些策略。</p><p><strong>强大的服务认证</strong><code>Istio Auth</code> 使用双向 TLS 保护服务通信,以确保服务身份不会是其他来源窃取或重放攻击的令牌。 这可确保只能从经过严格身份验证和授权的客户端才能够访问具有敏感数据的服务。</p><h2 id=加入我们>加入我们</h2><p><code>Istio Auth</code> 是提供完整安全功能的第一步,安全功能可以用于抵御外部攻击和内部威胁,保护服务的敏感数据。 虽然初始版本仅在 Kubernetes 上运行,但我们的目标是使其能够在不同的生产环境中保护服务通信。 我们鼓励更多的社区<a href=https://github.com/istio/istio/tree/release-1.1/security>加入我们</a>,为不同的应用技术栈和运行平台上轻松地提供强大的服务安全保障。</p></article><nav class=pagenav><div class=left><a title="使用 Istio 创建自动缩放的金丝雀部署。" href=/v1.1/zh/blog/2017/0.1-canary/><svg class="icon"><use xlink:href="/v1.1/img/icons.svg#left-arrow"/></svg>使用 Istio 进行金丝雀部署</a></div><div class=right><a title="Istio 0.1 宣布。" href=/v1.1/zh/blog/2017/0.1-announcement/>初次了解 Istio<svg class="icon"><use xlink:href="/v1.1/img/icons.svg#right-arrow"/></svg></a></div></nav><div id=endnotes-container aria-hidden=true><h2>链接</h2><ol id=endnotes></ol></div></div><div class=toc-container><nav class=toc aria-label="Table of Contents"><div id=toc><ol><li role=none aria-label=背景知识><a href=#%e8%83%8c%e6%99%af%e7%9f%a5%e8%af%86>背景知识</a><li role=none aria-label=解决方案:增强的服务身份和验证><a href=#%e8%a7%a3%e5%86%b3%e6%96%b9%e6%a1%88-%e5%a2%9e%e5%bc%ba%e7%9a%84%e6%9c%8d%e5%8a%a1%e8%ba%ab%e4%bb%bd%e5%92%8c%e9%aa%8c%e8%af%81>解决方案:增强的服务身份和验证</a><ol><li role=none aria-label=强身份认证><a href=#%e5%bc%ba%e8%ba%ab%e4%bb%bd%e8%ae%a4%e8%af%81>强身份认证</a><li role=none aria-label=通信安全><a href=#%e9%80%9a%e4%bf%a1%e5%ae%89%e5%85%a8>通信安全</a><li role=none aria-label=密钥管理和分配><a href=#%e5%af%86%e9%92%a5%e7%ae%a1%e7%90%86%e5%92%8c%e5%88%86%e9%85%8d>密钥管理和分配</a></ol></li><li role=none aria-label="Istio Auth 优点"><a href=#istio-auth-%e4%bc%98%e7%82%b9><code>Istio Auth</code> 优点</a><li role=none aria-label=加入我们><a href=#%e5%8a%a0%e5%85%a5%e6%88%91%e4%bb%ac>加入我们</a></ol></div></nav></div></main><footer><div class=user-links><a class=channel title="Go download Istio 1.1.9 now" href=https://github.com/istio/istio/releases/tag/1.1.9 aria-label="Download Istio"><span>download</span><svg class="icon"><use xlink:href="/v1.1/img/icons.svg#download"/></svg>
</a><a class=channel title="加入 Istio discussion board 参与讨论获取帮助" href=https://discuss.istio.io aria-label="Istio discussion board"><span>discuss</span><svg class="icon"><use xlink:href="/v1.1/img/icons.svg#discourse"/></svg></a>
<a class=channel title="Stack Overflow 中列举了针对实际问题以及部署、配置和使用 Istio 的各项回答" href=https://stackoverflow.com/questions/tagged/istio aria-label="Stack Overflow"><span>stack overflow</span><svg class="icon"><use xlink:href="/v1.1/img/icons.svg#stackoverflow"/></svg></a>
<a class=channel title="关注我们的 Twitter 来获取最新信息" href=https://twitter.com/IstioMesh aria-label=Twitter><span>twitter</span><svg class="icon"><use xlink:href="/v1.1/img/icons.svg#twitter"/></svg></a><div class=tag>对于用户</div></div><div class=info><p class=copyright>中文内容由 ServiceMesher 社区维护,部分文档可能稍微滞后于英文版本,同步工作持续进行中<br>Istio 归档
1.1.9<br>&copy; 2019 Istio Authors, <a href=https://policies.google.com/privacy>隐私政策</a><br>归档于 2019年6月18日</p></div><div class=dev-links><a class=channel title="Istio 的代码在 GitHub 上开发" href=https://github.com/istio/community aria-label=GitHub><span>github</span><svg class="icon"><use xlink:href="/v1.1/img/icons.svg#github"/></svg></a>
<a class=channel title="在 Slack 上与 Istio 社区交互讨论开发问题(仅限邀请)" href=https://istio.slack.com aria-label=slack><span>slack</span><svg class="icon"><use xlink:href="/v1.1/img/icons.svg#slack"/></svg></a>
<a class=channel title="如果您想深入了解 Istio 的技术细节,请查看我们日益完善的设计文档" href=https://groups.google.com/forum/#!forum/istio-team-drive-access aria-label="team drive"><span>drive</span><svg class="icon"><use xlink:href="/v1.1/img/icons.svg#drive"/></svg></a>
<a class=channel title="如果您想为 Istio 项目做出贡献,请考虑加入我们的工作组" href=https://github.com/istio/community/blob/master/WORKING-GROUPS.md aria-label="working groups"><span>working groups</span><svg class="icon"><use xlink:href="/v1.1/img/icons.svg#working-groups"/></svg></a><div class=tag>对于开发者</div></div></footer><div id=scroll-to-top-container aria-hidden=true><button id=scroll-to-top title=回到顶部><svg class="icon"><use xlink:href="/v1.1/img/icons.svg#top"/></svg></button></div></body></html>
Reference in New Issue View Git Blame Copy Permalink