idou老师教你学istio :基于角色的访问控制
istio的授权功能,也称为基于角色的访问控制(RBAC),它为istio服务网格中的服务提供命名空间级别、服务级别和方法级别的访问控制。基于角色的访问控制具有简单易用、灵活和高性能等特性。本文介绍如何在服务网格中为服务进行授权控制。
·前置条件·
•安装istio的k8s集群,启用认证功能、双向TLS认证
•部署bookinfo示例应用
下面基于bookinfo应用实例具体介绍如何启用授权并配置访问控制策略:
1. 创建service accout,启用访问控制
我们在service account的基础上启用访问控制,为了给不同的微服务授予不同的访问权限,需要建立不同的service account,在本例中:
创建Service account: bookinfo-productpage,并用它部署 productpage;
创建 Service account:bookinfo-reviews,并用它部署 reviews(其中包含 reviews-v2 和 reviews-v3 两个版本)。
清理所有现存RBAC规则:
此时,用浏览器打开bookinfo的productpage页面,会看到:
2. 启用Istio授权
使用 RbacConfig 对象启用 Istio Authorization:
此时,bookinfo的productpage页面,会看到:
3. 设置命名空间级的访问控制
这一策略创建service-viewer 的 ServiceRole,通过constraints指定了允许访问的服务范围:
创建 ServiceRoleBinding 对象,用来把 service-viewer 角色指派给所有 istio-system 和 default 命名空间的服务:
用浏览器打开bookinfo的productpage页面,会看到完整的页面:
4. 配置服务级的访问控制
清除命名空间级的访问控制
下面在bookinfo中逐步为服务加入访问:
1) 允许到productpage服务的访问
这条策略中创建了名称为 productpage-viewer的ServiceRole,它允许到 productpage 服务的读取访问,并创建命名为 productpage-viewer的 ServiceRole,将 productpage-viewer 角色赋予给所有用户和服务
此时,用浏览器打开bookinfo的productpage页面,会显示 Error fetching product details 和 Error fetching product reviews 的错误信息:
出现上述现象是因为我们还没有给productpage授权访问details 和 reviews 服务,下面两步修复这个问题。
2) 允许对details和reviews服务的访问
details-reviews-viewer:允许对 details 和 reviews 服务进行只读访问
bind-details-review: 把 details-reviews-viewer 角色授予给productpage 服务的 Service account
3) 允许对ratings服务的访问
ratings-viewer: 允许对ratings服务的访问
rind-ratings: 将ratings-viewer角色指派给bookinfo-reviews这个Service account
此时,用浏览器打开bookinfo的productpage页面,会看到完整的页面。
总结:通过上述步骤,我们可以快捷的启用授权功能,并灵活定制访问控制策略来满足不同的安全访问需求。
转载于:https://www.cnblogs.com/huaweiyuncce/p/10071753.html
idou老师教你学istio :基于角色的访问控制相关推荐
- idou老师教你学Istio 07: 如何用istio实现请求超时管理
在前面的文章中,大家都已经熟悉了Istio的故障注入和流量迁移.这两个方面的功能都是Istio流量治理的一部分.今天将继续带大家了解Istio的另一项功能,关于请求超时的管理. 首先我们可以通过一个简 ...
- idou老师教你学Istio 27:解读Mixer Report流程
1.概述 Mixer是Istio的核心组件,提供了遥测数据收集的功能,能够实时采集服务的请求状态等信息,以达到监控服务状态目的. 1.1 核心功能 •前置检查(Check):某服务接收并响应外部请求前 ...
- idou老师教你学istio:监控能力介绍
经过了一年多的开发和测试,Istio于北京时间7月31日发布了1.0版本,并且宣布1.0版本已经可以成熟的应用于生产环境.对于istio的各项主要功能,之前的文章已经介绍的非常详细,并且还会有更多的文 ...
- idou老师教你学Istio 04:Istio性能及扩展性介绍
Istio的性能问题一直是国内外相关厂商关注的重点,Istio对于数据面应用请求时延的影响更是备受关注,而以现在Istio官方与相关厂商的性能测试结果来看,四位数的qps显然远远不能满足应用于生产的要 ...
- idou老师教你学Istio: 如何用Istio实现K8S Egress流量管理
本文主要介绍在使用Istio时如何访问集群外服务,即对出口流量的管理. 默认安装的Istio是不能直接对集群外部服务进行访问的,如果需要将外部服务暴露给 Istio 集群中的客户端,目前有两种方案: ...
- idou老师教你学Istio06: 如何用istio实现流量迁移
流量迁移是流量管理的一个重要功能.istio提供的流量管理功能将流量从基础设施扩展中解耦,支持动态请求路由,故障注入.超时重试.熔断和流量迁移等.流量迁移的主要目的是将流量从微服务的某一版本的逐步迁移 ...
- httos双向认证配置_idou老师教你学Istio 15:Istio实现双向TLS的迁移
本文由华为云容器Istio团队撰稿,未经允许谢绝转载. 众所周知,HTTPS是用来解决 HTTP 明文协议的缺陷,在 HTTP 的基础上加入 SSL/TLS 协议,依靠 SSL 证书来验证服务器的身份 ...
- dbnetlib不存在或拒绝访问_idou老师教你学Istio 16:如何用 Istio 实现微服务间的访问控制...
本文由华为云容器Istio团队撰稿,未经允许谢绝转载. 摘要 使用 Istio 可以很方便地实现微服务间的访问控制.本文演示了使用 Denier 适配器和黑白名单两种方法. 使用场景 有时需要对微服务 ...
- 基于角色的访问控制'的权限管理的数据库的设计实现
RBAC基于角色的访问控制的权限管理系统数据库设计与实现 use [master] go -- 检查数据库 [RBAC]是否存在,如果存在则删除(只测试用,不然会丢数据.) -- Search fro ...
- WCF技术实现基于角色的访问控制
第一次写,小紧张! 即将毕业了,现在将我毕业设计中用到的小的编程技术以及自己的一些理解分享出来,希望可以做点小贡献. 首先要感谢网上各路大神无私的分享,没有你们,就没有我的收获. 在大四之前,对于编程 ...
最新文章
- R语言中的dnorm(),pnorm(),qnorm(),rnorm()的解释
- 第十二周项目4-点、圆的关系
- 题目1009:二叉搜索树
- python中循环迭代语句_python条件与循环-循环
- boost::hana::overload用法的测试程序
- Task和async/await详解
- 出现23.97帧率的原因
- Redis HyperLogLog 是什么?这些场景使用它~
- Redis(四):String字符串数据类型详解
- mysql 归类函数_mysql常用的函数归类
- 栈溢出笔记1.8 字符串问题
- FireFox中国管理者的脑袋被驴踢了。
- 后序遍历的非递归算法python_Python非递归实现二叉树的后续遍历
- Hierarchical deformation of Locally Rigid Meshes
- python解决高并发的方法
- LeetCode 144 ——二叉树的前序遍历
- python提取国家和地区信息
- 【学习资料分享】光纤KVM坐席管理系统解决方案
- Python + Selenium自动化测试
- Matlab 拉丁超立方采样lhsdesign函数、lhsnorm函数介绍
热门文章
- 验证18位身份证真实性
- matlab中得到透明背景图片的方法,如何在Matlab中得到透明背景的图片?
- python-----异常处理
- JAVA 实现《坦克大战联机版》游戏
- python 跨行字符串_python字符串结束的标志_python-7-字符串的操作_方法_format_列表的操作...
- ps后期调色教程,ps怎么后期调色步骤图
- 什么相片可以两张弄成一张_美图秀秀怎么把两张图片合成一张?美图秀秀两张图片融合方法汇总_图形图像_软件教程_脚本之家...
- 图像形成(2) 基本的辐射图像形成模型(扩展内容,可不阅读)
- 计算机图形学入门(十五)-光线追踪(辐射度量学)
- lg-1 x 怎么算_【言情】魔鬼的体温 by 藤萝为枝 敏感自卑男主x治愈天使女主 我凭美食成为国家宝藏by 十尾兔...