Questa pagina è stata tradotta dall'API Cloud Translation.

Proteggere i servizi Kubernetes con Istio

Autopilot

Questo tutorial è rivolto agli utenti e agli amministratori di Kubernetes interessati a utilizzare il mesh di servizi Istio per eseguire il deployment sicuro dei servizi Kubernetes e abilitare la comunicazione TLS mutuale (mTLS).

Istio e Cloud Service Mesh

Istio non è un prodotto Google supportato. Ti consigliamo di eseguire Cloud Service Mesh gestito. Per saperne di più, consulta Provisioning di Cloud Service Mesh in un cluster GKE Autopilot.

Per eseguire Istio su un cluster GKE Autopilot, devi attivare le funzionalità Linux NET_ADMIN e NET_RAW nei tuoi container. Si tratta di funzionalità Linux con privilegi. La funzionalità NET_ADMIN concede un accesso ampio alle operazioni di rete, come l'accesso in scrittura alle tabelle di routing e ai firewall. Un malintenzionato potrebbe potenzialmente utilizzare questo accesso per eseguire attacchi di escalation dei privilegi nel tuo cluster. Per maggiori dettagli, consulta la pagina di manuali di CAP_NET_ADMIN.

Cloud Service Mesh offre i seguenti vantaggi:

Puoi eseguire il provisioning di Cloud Service Mesh gestito utilizzando l'API Fleet senza strumenti lato client come istioctl.
Cloud Service Mesh inserisce automaticamente i proxy sidecar nei carichi di lavoro senza concedere privilegi elevati ai container.
Puoi visualizzare dashboard dettagliate per il tuo mesh e i tuoi servizi senza alcuna configurazione aggiuntiva e poi utilizzare queste metriche per configurare gli obiettivi del livello di servizio (SLO) e gli avvisi per monitorare l'integrità delle tue applicazioni.
Viene eseguito automaticamente l'upgrade del piano di controllo di Cloud Service Mesh gestito per assicurarti di ricevere le funzionalità e le patch di sicurezza più recenti.
Il piano di dati gestito di Cloud Service Mesh esegue automaticamente l'upgrade dei proxy sidecar nei tuoi carichi di lavoro, in modo che tu non debba riavviare i servizi quando sono disponibili upgrade dei proxy e patch di sicurezza.
Cloud Service Mesh è un prodotto supportato e può essere configurato utilizzando le API Istio open source standard. Per ulteriori informazioni, consulta le funzionalità supportate.

Obiettivi

Questo tutorial include i seguenti passaggi:

Crea un cluster GKE Autopilot.
Installa Istio utilizzando lo strumento a riga di comando istioctl.
Esegui il deployment di un'applicazione di esempio per testare l'autenticazione TLS reciproca (mTLS).
Configura Istio in modo che utilizzi l'autenticazione mTLS per la comunicazione tra servizi utilizzando una risorsa personalizzata PeerAuthentication.
Verifica l'autenticazione mTLS utilizzando la dashboard di Kiali.

Costi

In questo documento utilizzi i seguenti componenti fatturabili di Google Cloud:

Per generare una stima dei costi basata sull'utilizzo previsto, utilizza il Calcolatore prezzi. I nuovi utenti di Google Cloud potrebbero essere idonei per una prova gratuita.

Al termine delle attività descritte in questo documento, puoi evitare la fatturazione continua eliminando le risorse che hai creato. Per ulteriori informazioni, consulta la sezione Pulizia.

Prima di iniziare

Cloud Shell è preinstallato con il software necessario per questo tutorial, tra cui kubectl, gcloud CLI e Terraform. Se non utilizzi Cloud Shell, devi installare gcloud CLI.

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

Install the Google Cloud CLI.

To initialize the gcloud CLI, run the following command:

gcloud init

Note: If you installed the gcloud CLI previously, make sure you have the latest version by running

gcloud components
      update

Create or select a Google Cloud project.

Create a Google Cloud project:
```
gcloud projects create PROJECT_ID
```
Replace PROJECT_ID with a name for the Google Cloud project you are creating.
Select the Google Cloud project that you created:
```
gcloud config set project PROJECT_ID
```
Replace PROJECT_ID with your Google Cloud project name.

Make sure that billing is enabled for your Google Cloud project.

Enable the GKE API:

gcloud services enable container.googleapis.com

Install the Google Cloud CLI.

To initialize the gcloud CLI, run the following command:

gcloud init

Note: If you installed the gcloud CLI previously, make sure you have the latest version by running

gcloud components
      update

Create or select a Google Cloud project.

Create a Google Cloud project:
```
gcloud projects create PROJECT_ID
```
Replace PROJECT_ID with a name for the Google Cloud project you are creating.
Select the Google Cloud project that you created:
```
gcloud config set project PROJECT_ID
```
Replace PROJECT_ID with your Google Cloud project name.

Make sure that billing is enabled for your Google Cloud project.

Enable the GKE API:

gcloud services enable container.googleapis.com

Grant roles to your user account. Run the following command once for each of the following IAM roles: roles/container.clusterAdmin
```
gcloud projects add-iam-policy-binding PROJECT_ID --member="user:USER_IDENTIFIER" --role=ROLE
```
- Replace PROJECT_ID with your project ID.
- Replace USER_IDENTIFIER with the identifier for your user account. For example, user:myemail@example.com.
- Replace ROLE with each individual role.

Prepara l'ambiente

Per configurare l'ambiente:

Imposta le variabili di ambiente:

export PROJECT_ID=PROJECT_ID
gcloud config set project $PROJECT_ID
gcloud config set compute/region us-central1

Sostituisci PROJECT_ID con il tuo ID progetto Google Cloud.

Clona il repository GitHub:

git clone https://github.com/GoogleCloudPlatform/kubernetes-engine-samples.git

Passa alla directory di lavoro:

cd kubernetes-engine-samples/service-mesh/istio-tutorial

Crea un cluster GKE

Abilita le funzionalità di Linux richieste da Istio: NET_RAW e NET_ADMIN. GKE Autopilot non consente NET_ADMIN per impostazione predefinita, ma puoi attivare NET_ADMIN utilizzando il comando --workload-policies=allow-net-admin nelle versioni GKE 1.27 e successive:

gcloud container clusters create-auto istio-cluster \
    --location="us-central1" \
    --workload-policies="allow-net-admin"

Per scoprire di più sulla sicurezza di GKE Autopilot, consulta Configurazioni di sicurezza integrate.

Installa Istio

Puoi installare Istio su un cluster GKE utilizzando Istioctl.

In questo tutorial, installi Istio con il profilo di configurazione predefinito consigliato per i deployment di produzione.

Installa Istio:

export ISTIO_VERSION=1.20.2
curl -L https://istio.io/downloadIstio | TARGET_ARCH=$(uname -m) sh -

Aggiungi lo strumento a riga di comando istioctl al PATH:

cd istio-${ISTIO_VERSION}
export PATH=$PWD/bin:$PATH

Installa Istio sul cluster:
```
istioctl install --set profile="default" -y
```
Questo passaggio potrebbe richiedere diversi minuti.

Attendi che i pod Istio siano pronti:

watch kubectl get pods -n istio-system

L'output è simile al seguente:

NAME                                    READY   STATUS        RESTARTS   AGE
istio-ingressgateway-5c47bff876-wjm96   1/1     Running       0          2m54s
istiod-5fc7cb65cd-k8cp4                 1/1     Running       0          2m57s

Quando i pod Istio sono Running, torna alla riga di comando premendo Ctrl+C.

Esegui il deployment dell'applicazione di esempio

In questa sezione utilizzerai l'applicazione di esempio Bank of Anthos per creare un mesh di servizi con autenticazione mTLS.

Aggiungi un'etichetta dello spazio dei nomi che indichi a Istio di attivare l'iniezione automatica dei proxy sidecar Envoy:
```
kubectl label namespace default istio-injection=enabled
```

Esegui il deployment dell'applicazione di esempio:

cd ..
git clone https://github.com/GoogleCloudPlatform/bank-of-anthos.git
kubectl apply -f bank-of-anthos/extras/jwt/jwt-secret.yaml
kubectl apply -f bank-of-anthos/kubernetes-manifests/

Attendi che l'applicazione sia pronta:

watch kubectl get pods

L'output è simile al seguente:

NAME                                 READY   STATUS    RESTARTS   AGE
accounts-db-0                        2/2     Running   0          2m16s
balancereader-5c695f78f5-x4wlz       2/2     Running   0          3m8s
contacts-557fc79c5-5d7fg             2/2     Running   0          3m7s
frontend-7dd589c5d7-b4cgq            2/2     Running   0          3m7s
ledger-db-0                          2/2     Running   0          3m6s
ledgerwriter-6497f5cf9b-25c6x        2/2     Running   0          3m5s
loadgenerator-57f6896fd6-lx5df       2/2     Running   0          3m5s
transactionhistory-6c498965f-tl2sk   2/2     Running   0          3m4s
userservice-95f44b65b-mlk2p          2/2     Running   0          3m4s

Quando i pod sono Running, torna alla riga di comando premendo Ctrl+C.

Esamina il seguente manifest:

# Copyright 2020 Google LLC
#
# Licensed under the Apache License, Version 2.0 (the "License");
# you may not use this file except in compliance with the License.
# You may obtain a copy of the License at
#
#      http://www.apache.org/licenses/LICENSE-2.0
#
# Unless required by applicable law or agreed to in writing, software
# distributed under the License is distributed on an "AS IS" BASIS,
# WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
# See the License for the specific language governing permissions and
# limitations under the License.

apiVersion: networking.istio.io/v1alpha3
kind: Gateway
metadata:
  name: frontend-gateway
spec:
  selector:
    istio: ingressgateway # use Istio default gateway implementation
  servers:
  - port:
      number: 80
      name: http
      protocol: HTTP
    hosts:
    - "*"
---
apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: frontend-ingress
spec:
  hosts:
  - "*"
  gateways:
  - frontend-gateway
  http:
  - route:
    - destination:
        host: frontend
        port:
          number: 80

Questo manifest descrive le risorse Istio Gateway e VirtualService che espongono l'applicazione e utilizzano Istio come controller Ingress.

Applica il manifest al cluster:

kubectl apply -f bank-of-anthos/extras/istio/frontend-ingress.yaml

Configura mTLS

L'autenticazione TLS reciproca (mTLS) è abilitata per impostazione predefinita in Istio. Ciò significa che Istio monitora i carichi di lavoro del server di cui è stata eseguita la migrazione ai proxy Istio e configura automaticamente i proxy client per stabilire connessioni mTLS con questi carichi di lavoro. Istio configura inoltre i proxy client in modo che non utilizzino mTLS quando si connettono ai workload senza proxy sidecar.

Istio può configurare mTLS in modo che funzioni in tre modalità:

PERMISSIVE: i workload accettano sia il traffico mTLS sia il traffico in testo normale.
STRICT: i workload accettano solo traffico mTLS.
DISABLE: mTLS è disattivato. Utilizza questa modalità se vuoi utilizzare la tua soluzione di sicurezza.

Puoi applicare la configurazione mTLS a livello globale, per spazio dei nomi o per carico di lavoro. In questo tutorial, applichi la configurazione per spazio dei nomi utilizzando la modalità mTLS di STRICT.

Esamina il seguente manifest:

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: default
spec:
  mtls:
      mode: STRICT

Questo manifest descrive una risorsa personalizzata Istio per l'autenticazione tra pari.

Applica il manifest al cluster:

kubectl apply -f peer-authentication.yaml

Per ulteriori informazioni su mTLS in Istio, consulta Autenticazione TLS reciproca.

Verificare che mTLS sia abilitato

Kiali è una dashboard di osservabilità basata su web per la mesh di servizi Istio che fornisce una visualizzazione grafica dell'ambiente dei microservizi, consentendoti di monitorare e risolvere i problemi delle tue applicazioni. Puoi utilizzare Kiali per verificare che l'autenticazione mTLS sia attivata e funzioni correttamente nel mesh di servizi Istio. Kiali richiede Prometheus come origine dati di telemetria. Questo tutorial utilizza Google Cloud Managed Service per Prometheus.

Installa un'interfaccia di query

Crea un account di servizio IAM con il ruolo roles/monitoring.viewer per consentire all'interfaccia di query di accedere alle metriche:

gcloud iam service-accounts create monitoring \
    --display-name="Service account for query interface"
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member "serviceAccount:monitoring@PROJECT_ID.iam.gserviceaccount.com" \
    --role roles/monitoring.viewer
gcloud iam service-accounts add-iam-policy-binding \
  monitoring@PROJECT_ID.iam.gserviceaccount.com \
    --role roles/iam.workloadIdentityUser \
    --member "serviceAccount:PROJECT_ID.svc.id.goog[monitoring/default]"

Crea uno spazio dei nomi Kubernetes:
```
kubectl create namespace monitoring
```

Aggiungi un'annotazione all'account di servizio Kubernetes predefinito nello spazio dei nomi per configurare Workload Identity Federation for GKE:

kubectl annotate serviceaccount -n monitoring default \
    iam.gke.io/gcp-service-account=monitoring@PROJECT_ID.iam.gserviceaccount.com --overwrite

Esegui il deployment del carico di lavoro dell'interfaccia di query:

kubectl -n monitoring apply -f https://raw.githubusercontent.com/GoogleCloudPlatform/prometheus-engine/v0.7.1/examples/frontend.yaml

Esamina il seguente manifest:

apiVersion: monitoring.googleapis.com/v1
kind: PodMonitoring
metadata:
  name: istiod
  namespace: istio-system
spec:
  selector:
    matchLabels:
      app: istiod
  endpoints:
  - port: 15014
    path: /metrics
    timeout: 30s
    interval: 60s

Questo manifest descrive una risorsa PodMonitoring che raccoglie le metriche di Istio e del proxy Envoy.

Applica il manifest al cluster:
```
kubectl apply -f pod-monitorings.yaml
```

Ottieni un link all'applicazione di esempio:

INGRESS_HOST=$(kubectl -n istio-system get service istio-ingressgateway -o jsonpath='{.status.loadBalancer.ingress[0].ip}')
echo "http://$INGRESS_HOST"

Apri il link per visualizzare l'applicazione di esempio. Accedi con il nome utente e la password predefiniti per generare traffico tra i microservizi.

Installa Kiali

Ti consigliamo di installare Kiali utilizzando l'operatore Kiali.

Installa l'operatore Kiali:

helm repo add kiali https://kiali.org/helm-charts
helm repo update
helm install \
    --namespace kiali-operator \
    --create-namespace \
    kiali-operator \
    kiali/kiali-operator

Esamina il seguente manifest:

apiVersion: kiali.io/v1alpha1
kind: Kiali
metadata:
  name: kiali
  namespace: istio-system
spec:
  deployment:
    namespace: istio-system
  auth:
    strategy: anonymous
  external_services:
    custom_dashboards:
      prometheus:
        url: "http://frontend.monitoring:9090/"
        auth:
          type: none
    prometheus:
      url: "http://frontend.monitoring:9090/"
      auth:
        type: none
    tracing:
      enabled: false
    grafana:
      enabled: false

Questo manifest descrive una risorsa personalizzata di Operator che definisce il server Kiali.

Applica il manifest al cluster:
```
kubectl apply -f kiali.yaml
```

Attendi che il server Kiali sia pronto:

watch kubectl get pods -n istio-system

L'output è simile al seguente:

NAME                                    READY   STATUS    RESTARTS   AGE
istio-ingressgateway-6845466857-92zp8   1/1     Running   0          9m11s
istiod-6b47d84cf-4cqlt                  1/1     Running   0          12m

Quando i pod sono Running, torna alla riga di comando premendo Ctrl+C.

Configura l'inoltro delle porte sul servizio del server Kiali per accedere alla dashboard:
```
kubectl -n istio-system port-forward svc/kiali 8080:20001
```
Apri Anteprima web. In Kiali, vai alla sezione Grafico e seleziona l'opzione Sicurezza nel menu a discesa Visualizza. Questa visualizzazione mostra lo stato di sicurezza di ogni nodo nel grafico. I nodi con il badge mTLS abilitato indicano che mTLS è abilitato per quel servizio, mentre i nodi senza il badge indicano che mTLS non è abilitato.

Esegui la pulizia

Per evitare che al tuo account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questo tutorial, elimina il progetto che contiene le risorse oppure mantieni il progetto ed elimina le singole risorse.

Elimina il progetto

Attenzione: l'eliminazione di un progetto ha i seguenti effetti:

L'intero contenuto del progetto viene eliminato. Se hai utilizzato un progetto esistente per le attività descritte in questo documento, quando lo elimini elimini anche tutto il lavoro svolto nel progetto.
Gli ID progetto personalizzati non sono più disponibili. Quando hai creato questo progetto, potresti aver creato un ID progetto personalizzato che vuoi utilizzare in futuro. Per conservare gli URL che utilizzano l'ID progetto, ad esempio un appspot.com URL, elimina le risorse selezionate all'interno del progetto anziché eliminare l'intero progetto.

Se intendi esplorare più architetture, tutorial o guide rapide, il riuso dei progetti può aiutarti a non superare i limiti di quota.

Delete a Google Cloud project:

gcloud projects delete PROJECT_ID

Elimina le singole risorse

Se hai utilizzato un progetto esistente e non vuoi eliminarlo, elimina le singole risorse.

Elimina Kiali:

kubectl -n istio-system delete kiali kiali
helm uninstall --namespace kiali-operator kiali-operator

Elimina le risorse di monitoraggio:

kubectl -n monitoring delete -f https://raw.githubusercontent.com/GoogleCloudPlatform/prometheus-engine/v0.7.1/examples/frontend.yaml

Elimina l'applicazione di esempio:

kubectl delete -f bank-of-anthos/extras/istio/frontend-ingress.yaml
kubectl delete -f bank-of-anthos/kubernetes-manifests

Disinstalla Istio:
```
istioctl uninstall --purge -y
```

Elimina il cluster GKE:

gcloud container clusters delete --region us-central1 istio-cluster --quiet

Passaggi successivi

Esplora architetture di riferimento, diagrammi e best practice su Google Cloud. Consulta il nostro Cloud Architecture Center.