使用 Istio 保护 Kubernetes Service

本教程适用于有意使用 Istio 服务网格安全地部署 Kubernetes Service 并启用双向 TLS (mTLS) 通信的 Kubernetes 用户和管理员。

Istio 和 Cloud Service Mesh

Istio 不是受支持的 Google 产品。我们建议改为运行托管式 Cloud Service Mesh。如需了解详情，请参阅在 GKE Autopilot 集群上预配 Cloud Service Mesh。

Cloud Service Mesh 具有以下优势：

• 您可以使用 Fleet API 预配托管式 Cloud Service Mesh，而无需 istioctl 等客户端工具。
• Cloud Service Mesh 会自动将边车代理注入到工作负载中，而无需向容器授予提升的权限。
• 您无需进行任何额外配置，即可查看适用于网格和服务的丰富信息中心，然后使用这些指标配置服务等级目标 (SLO) 和提醒，以监控应用的运行状况。
• 托管式 Cloud Service Mesh 控制平面会自动升级，以确保您获得最新的安全补丁和功能。
• Cloud Service Mesh 托管式数据平面会自动升级工作负载中的边车代理，以便在代理升级和安全补丁可用时，您无需自行重启服务。
• Cloud Service Mesh 是受支持的产品，可以使用标准开源 Istio API 进行配置。如需了解详情，请参阅支持的功能。

目标

本教程包括以下步骤：

• 创建 GKE Autopilot 集群。
• 使用 istioctl 命令行工具安装 Istio。
• 部署一个示例应用以测试双向 TLS (mTLS) 身份验证。
• 使用 PeerAuthentication 自定义资源将 Istio 配置为使用 mTLS 身份验证进行服务到服务通信。
• 使用 Kiali 信息中心验证 mTLS 身份验证。

费用

在本文档中，您将使用 Google Cloud的以下收费组件：

• GKE
• Managed Service for Prometheus
• Cloud Load Balancing

您可使用价格计算器，根据您的预计使用情况生成费用估算。

完成本文档中描述的任务后，您可以通过删除所创建的资源来避免继续计费。如需了解详情，请参阅清理。

准备工作

Cloud Shell 预安装了本教程所需的软件，包括 kubectl、gcloud CLI 和 Terraform。如果您不使用 Cloud Shell，则必须安装 gcloud CLI。

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

Install the Google Cloud CLI.

如果您使用的是外部身份提供方 (IdP)，则必须先使用联合身份登录 gcloud CLI。

如需初始化 gcloud CLI，请运行以下命令：

gcloud init

Create or select a Google Cloud project.

• Create a Google Cloud project:

  gcloud projects create PROJECT_ID

  Replace PROJECT_ID with a name for the Google Cloud project you are creating.

• Select the Google Cloud project that you created:

  gcloud config set project PROJECT_ID

  Replace PROJECT_ID with your Google Cloud project name.

Verify that billing is enabled for your Google Cloud project.

Enable the GKE API:

gcloud services enable container.googleapis.com

Install the Google Cloud CLI.

如果您使用的是外部身份提供方 (IdP)，则必须先使用联合身份登录 gcloud CLI。

如需初始化 gcloud CLI，请运行以下命令：

gcloud init

Create or select a Google Cloud project.

• Create a Google Cloud project:

  gcloud projects create PROJECT_ID

  Replace PROJECT_ID with a name for the Google Cloud project you are creating.

• Select the Google Cloud project that you created:

  gcloud config set project PROJECT_ID

  Replace PROJECT_ID with your Google Cloud project name.

Verify that billing is enabled for your Google Cloud project.

Enable the GKE API:

gcloud services enable container.googleapis.com

1. Grant roles to your user account. Run the following command once for each of the following IAM roles: roles/container.clusterAdmin

   gcloud projects add-iam-policy-binding PROJECT_ID --member="user:USER_IDENTIFIER" --role=ROLE

   Replace the following:

   • PROJECT_ID: your project ID.
   • USER_IDENTIFIER: the identifier for your user account—for example, myemail@example.com.
   • ROLE: the IAM role that you grant to your user account.

准备环境

如需设置您的环境，请按以下步骤操作：

1. 设置环境变量：

   export PROJECT_ID=PROJECT_ID
   gcloud config set project $PROJECT_ID
   gcloud config set compute/region us-central1
   

   将 PROJECT_ID 替换为您的 Google Cloud项目 ID。

2. 克隆 GitHub 代码库：

   git clone https://github.com/GoogleCloudPlatform/kubernetes-engine-samples.git
   

3. 切换到工作目录：

   cd kubernetes-engine-samples/service-mesh/istio-tutorial
   

创建 GKE 集群

启用 Istio 所需的 Linux 功能：NET_RAW 和 NET_ADMIN。默认情况下，GKE Autopilot 不允许使用 NET_ADMIN，但您可以在 GKE 1.27 版及更高版本中使用 --workload-policies=allow-net-admin 命令启用 NET_ADMIN：

gcloud container clusters create-auto istio-cluster \
    --location="us-central1" \
    --workload-policies="allow-net-admin"

如需详细了解 GKE Autopilot 安全，请参阅内置安全配置。

安装 Istio

您可以使用 Istioctl 在 GKE 集群上安装 Istio。

在本教程中，您将使用建议用于生产部署的默认配置文件安装 Istio。

1. 安装 Istio：

   • 如需安装最新版本的 Istio，请执行以下操作：

     curl -L https://istio.io/downloadIstio | sh -
     

   • 如需安装特定版本的 Istio，请执行以下操作：

     export ISTIO_VERSION=VERSION_NUMBER
     curl -L https://istio.io/downloadIstio | TARGET_ARCH=$(uname -m) sh -
     

     将 VERSION_NUMBER 替换为您要安装的 Istio 版本。如需了解 Istio 版本，请参阅版本公告。

2. 将 istioctl 命令行工具添加到 PATH：

   cd istio-*
   export PATH=$PWD/bin:$PATH
   

3. 在集群上安装 Istio：

   istioctl install --set profile="default" -y
   

   此步骤可能需要几分钟时间。

4. 等待 Istio Pod 准备就绪：

   watch kubectl get pods -n istio-system
   

   输出类似于以下内容：

   NAME                                    READY   STATUS        RESTARTS   AGE
   istio-ingressgateway-5c47bff876-wjm96   1/1     Running       0          2m54s
   istiod-5fc7cb65cd-k8cp4                 1/1     Running       0          2m57s
   

   当 Istio Pod 处于 Running 状态时，按 Ctrl+C 返回到命令行。

部署示例应用

在本部分中，您将使用 Bank of Anthos 示例应用创建具有 mTLS 身份验证的服务网格。

1. 添加命名空间标签，以指示 Istio 启用 Envoy 边车代理的自动注入：

   kubectl label namespace default istio-injection=enabled
   

2. 部署示例应用：

   cd ..
   git clone https://github.com/GoogleCloudPlatform/bank-of-anthos.git
   kubectl apply -f bank-of-anthos/extras/jwt/jwt-secret.yaml
   kubectl apply -f bank-of-anthos/kubernetes-manifests/
   

3. 等待应用准备就绪：

   watch kubectl get pods
   

   输出类似于以下内容：

   NAME                                 READY   STATUS    RESTARTS   AGE
   accounts-db-0                        2/2     Running   0          2m16s
   balancereader-5c695f78f5-x4wlz       2/2     Running   0          3m8s
   contacts-557fc79c5-5d7fg             2/2     Running   0          3m7s
   frontend-7dd589c5d7-b4cgq            2/2     Running   0          3m7s
   ledger-db-0                          2/2     Running   0          3m6s
   ledgerwriter-6497f5cf9b-25c6x        2/2     Running   0          3m5s
   loadgenerator-57f6896fd6-lx5df       2/2     Running   0          3m5s
   transactionhistory-6c498965f-tl2sk   2/2     Running   0          3m4s
   userservice-95f44b65b-mlk2p          2/2     Running   0          3m4s
   

   当 Pod 处于 Running 状态时，按 Ctrl+C 返回到命令行。

4. 请查看以下清单：

   # Copyright 2020 Google LLC
   #
   # Licensed under the Apache License, Version 2.0 (the "License");
   # you may not use this file except in compliance with the License.
   # You may obtain a copy of the License at
   #
   #      http://www.apache.org/licenses/LICENSE-2.0
   #
   # Unless required by applicable law or agreed to in writing, software
   # distributed under the License is distributed on an "AS IS" BASIS,
   # WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
   # See the License for the specific language governing permissions and
   # limitations under the License.
   
   apiVersion: networking.istio.io/v1alpha3
   kind: Gateway
   metadata:
     name: frontend-gateway
   spec:
     selector:
       istio: ingressgateway # use Istio default gateway implementation
     servers:
     - port:
         number: 80
         name: http
         protocol: HTTP
       hosts:
       - "*"
   ---
   apiVersion: networking.istio.io/v1alpha3
   kind: VirtualService
   metadata:
     name: frontend-ingress
   spec:
     hosts:
     - "*"
     gateways:
     - frontend-gateway
     http:
     - route:
       - destination:
           host: frontend
           port:
             number: 80

   此清单描述了公开应用并使用 Istio 作为 Ingress 控制器的 Istio 网关和 VirtualService 资源。

5. 将清单应用到您的集群：

   kubectl apply -f bank-of-anthos/extras/istio/frontend-ingress.yaml
   

配置 mTLS

默认情况下，Istio 中会启用双向 TLS (mTLS) 身份验证。这意味着 Istio 会监控已迁移到 Istio 代理的服务器工作负载，并自动配置客户端代理以与这些工作负载建立 mTLS 连接。Istio 还会将客户端代理配置为在连接到没有边车代理的工作负载时不使用 mTLS。

Istio 可以将 mTLS 配置为在三种模式下工作：

• PERMISSIVE：工作负载同时接受 mTLS 和纯文本流量。
• STRICT：工作负载仅接受 mTLS 流量。
• DISABLE：mTLS 处于停用状态。如果要使用自己的安全解决方案，请使用此模式。

您可以在全局、按命名空间或按工作负载应用 mTLS 配置。在本教程中，您将使用 STRICT mTLS 模式按命名空间应用配置。

1. 请查看以下清单：

   apiVersion: security.istio.io/v1beta1
   kind: PeerAuthentication
   metadata:
     name: default
   spec:
     mtls:
         mode: STRICT

   此清单描述了一个对等身份验证 Istio 自定义资源。

2. 将清单应用到您的集群：

   kubectl apply -f peer-authentication.yaml
   

如需详细了解 Istio 中的 mTLS，请参阅双向 TLS 身份验证。

验证 mTLS 是否已启用

Kiali 是适用于 Istio 服务网格的基于网络的可观测性信息中心，提供微服务环境的图形视图，可让您监控应用并进行问题排查。您可以使用 Kiali 验证 mTLS 身份验证是否已启用且在 Istio 服务网格中正常运行。Kiali 要求将 Prometheus 作为遥测数据源。本教程使用 Google Cloud Managed Service for Prometheus。

安装查询接口

1. 使用 roles/monitoring.viewer 创建 IAM 服务账号以允许查询接口访问指标：

   gcloud iam service-accounts create monitoring \
       --display-name="Service account for query interface"
   gcloud projects add-iam-policy-binding PROJECT_ID \
       --member "serviceAccount:monitoring@PROJECT_ID.iam.gserviceaccount.com" \
       --role roles/monitoring.viewer
   gcloud iam service-accounts add-iam-policy-binding \
     monitoring@PROJECT_ID.iam.gserviceaccount.com \
       --role roles/iam.workloadIdentityUser \
       --member "serviceAccount:PROJECT_ID.svc.id.goog[monitoring/default]"
   

2. 创建 Kubernetes 命名空间：

   kubectl create namespace monitoring
   

3. 为命名空间中的默认 Kubernetes 服务账号添加注解，以配置适用于 GKE 的工作负载身份联合：

   kubectl annotate serviceaccount -n monitoring default \
       iam.gke.io/gcp-service-account=monitoring@PROJECT_ID.iam.gserviceaccount.com --overwrite
   

4. 部署查询接口工作负载：

   kubectl -n monitoring apply -f https://raw.githubusercontent.com/GoogleCloudPlatform/prometheus-engine/v0.7.1/examples/frontend.yaml
   

5. 请查看以下清单：

   apiVersion: monitoring.googleapis.com/v1
   kind: PodMonitoring
   metadata:
     name: istiod
     namespace: istio-system
   spec:
     selector:
       matchLabels:
         app: istiod
     endpoints:
     - port: 15014
       path: /metrics
       timeout: 30s
       interval: 60s

   此清单描述了一个收集 Istio 和 Envoy 代理指标的 PodMonitoring 资源。

6. 将清单应用到您的集群：

   kubectl apply -f pod-monitorings.yaml
   

7. 获取示例应用的链接：

   INGRESS_HOST=$(kubectl -n istio-system get service istio-ingressgateway -o jsonpath='{.status.loadBalancer.ingress[0].ip}')
   echo "http://$INGRESS_HOST"
   

8. 打开链接以查看示例应用。使用默认用户名和密码登录，以在微服务之间生成流量。

安装 Kiali

我们建议您使用 Kiali Operator 安装 Kiali。

1. 安装 Kiali Operator：

   helm repo add kiali https://kiali.org/helm-charts
   helm repo update
   helm install \
       --namespace kiali-operator \
       --create-namespace \
       kiali-operator \
       kiali/kiali-operator
   

2. 请查看以下清单：

   apiVersion: kiali.io/v1alpha1
   kind: Kiali
   metadata:
     name: kiali
     namespace: istio-system
   spec:
     deployment:
       namespace: istio-system
     auth:
       strategy: anonymous
     external_services:
       custom_dashboards:
         prometheus:
           url: "http://frontend.monitoring:9090/"
           auth:
             type: none
       prometheus:
         url: "http://frontend.monitoring:9090/"
         auth:
           type: none
       tracing:
         enabled: false
       grafana:
         enabled: false

   此清单描述了一个定义 Kiali 服务器的 Operator 自定义资源。

3. 将清单应用到您的集群：

   kubectl apply -f kiali.yaml
   

4. 等待 Kiali 服务器准备就绪：

   watch kubectl get pods -n istio-system
   

   输出类似于以下内容：

   NAME                                    READY   STATUS    RESTARTS   AGE
   istio-ingressgateway-6845466857-92zp8   1/1     Running   0          9m11s
   istiod-6b47d84cf-4cqlt                  1/1     Running   0          12m
   

   当 Pod 处于 Running 状态时，按 Ctrl+C 返回到命令行。

5. 在 Kiali 服务器服务上设置端口转发以访问信息中心：

   kubectl -n istio-system port-forward svc/kiali 8080:20001
   

6. 打开网页预览。在 Kiali 中，转到图表部分，然后在显示下拉列表中选择安全性选项。此视图显示图表中每个节点的安全性状态。带有已启用 mTLS 标记的节点表示已为该服务启用了 mTLS，而不带该标记的节点表示未启用 mTLS。

清理

为避免因本教程中使用的资源导致您的 Google Cloud 账号产生费用，请删除包含这些资源的项目，或者保留项目但删除各个资源。

删除项目

Delete a Google Cloud project:

gcloud projects delete PROJECT_ID

逐个删除资源

如果您使用的是现有项目，并且不想将其删除，请逐个删除资源。

1. 删除 Kiali：

   kubectl -n istio-system delete kiali kiali
   helm uninstall --namespace kiali-operator kiali-operator
   

2. 删除监控资源：

   kubectl -n monitoring delete -f https://raw.githubusercontent.com/GoogleCloudPlatform/prometheus-engine/v0.7.1/examples/frontend.yaml
   

3. 删除示例应用：

   kubectl delete -f bank-of-anthos/extras/istio/frontend-ingress.yaml
   kubectl delete -f bank-of-anthos/kubernetes-manifests
   

4. 卸载 Istio：

   istioctl uninstall --purge -y
   

5. 删除 GKE 集群：

   gcloud container clusters delete --location us-central1 istio-cluster --quiet
   

后续步骤

• 探索有关 Google Cloud 的参考架构、图表和最佳做法。查看我们的 Cloud 架构中心。