Configurare la sicurezza del servizio nel mesh di servizi sidecar Envoy su GKE

Questa pagina descrive come configurare le funzionalità di sicurezza nel mesh di servizi sidecar Envoy su GKE.

Prerequisiti

Come punto di partenza, questa guida presuppone che tu abbia già:

• Hai creato un cluster GKE e lo hai registrato in un parco risorse.
• Configura mesh di servizi sidecar Envoy con le API Gateway.

Configura i criteri di autorizzazione sui sidecar su GKE

Questa sezione mostra come configurare diversi tipi di criteri di autorizzazione nei sidecar di Cloud Service Mesh su GKE.

Prima di poter creare un criterio di autorizzazione, devi installare la risorsa personalizzata CustomResourceDefinition (CRD) GCPAuthzPolicy:

curl https://github.com/GoogleCloudPlatform/gke-networking-recipes/blob/main/gateway-api/config/mesh/crd/experimental/gcpauthzpolicy.yaml \
| kubectl apply -f -

I criteri di autorizzazione possono applicare il controllo dell'accesso al traffico in entrata nei sidecar di Envoy. I criteri possono essere applicati ai deployment Kubernetes. Il deployment deve trovarsi nello stesso spazio dei nomi del criterio di autorizzazione.

Criterio di autorizzazione per negare tutte le richieste

Se hai un carico di lavoro che dovrebbe effettuare solo chiamate in uscita, come un job cron, puoi configurare un criterio di autorizzazione per negare qualsiasi richiesta HTTP in entrata al carico di lavoro. L'esempio seguente nega le richieste HTTP in entrata al workload whereami.

Per creare e applicare il criterio di autorizzazione di rifiuto:

1. Crea un criterio di rifiuto creando un file denominato deny-all-authz-policy.yaml:

   cat >deny-all-authz-policy.yaml <<EOF
   apiVersion: networking.gke.io/v1
   kind: GCPAuthzPolicy
   metadata:
     name: myworkload-authz
     namespace: sidecar-example
   spec:
   targetRefs:
   - kind: Deployment
     name: wherami
   httpRules:
   - to:
       operations:
       - paths:
         - type: Prefix
           value: "/"
   action: DENY
   EOF
   

2. Applica il criterio:

   kubectl apply -f deny-all-authz-policy.yaml
   

Criterio di autorizzazione per consentire le richieste

Puoi anche configurare un criterio di autorizzazione che consenta solo le richieste che soddisfano criteri specifici e ne rifiuti le altre. L'esempio seguente configura un criterio di autorizzazione su whereamiin cui saranno consentite solo le richieste GET che hanno l'intestazione HTTP x-user-role:admin presente nella richiesta.

Per creare e applicare il criterio di autorizzazione Consenti, elimina il criterio di negazione creato in precedenza prima di aggiungerlo per vedere i risultati:

1. Crea una norma personalizzata creando un file denominato allow-authz-policy.yaml:

   cat >allow-authz-policy.yaml <<EOF
   apiVersion: networking.gke.io/v1
   kind: GCPAuthzPolicy
   metadata:
     name: myworkload-authz
     namespace: sidecar-example
   spec:
   targetRefs:
   - kind: Deployment
     name: whereami
   httpRules:
   - to:
       operations:
       - methods: ["GET"]
     when: "request.headers['x-user-role'] == 'admin'
   action: ALLOW
   EOF
   

2. Applica il criterio:

   kubectl apply -f allow-authz-policy.yaml
   

Criterio di autorizzazione per negare le richieste in base alle regole

L'esempio seguente nega le richieste HTTP GET in entrata al workload whereami quando si trovano nel percorso /admin .

Per creare e applicare il criterio di autorizzazione di rifiuto:

1. Crea un criterio di rifiuto creando un file denominato deny-path-authz-policy.yaml:

   cat >deny-path-authz-policy.yaml <<EOF
   apiVersion: networking.gke.io/v1
   kind: GCPAuthzPolicy
   metadata:
     name: myworkload-authz
     namespace: sidecar-example
   spec:
   targetRefs:
   - kind: Deployment
     name: whereami
   httpRules:
   - to:
       operations:
       - paths:
         - type: Prefix
           value: "/admin"
         methods: ["GET"]
   action: DENY
   EOF
   

2. Applica il criterio:

   kubectl apply -f deny-path-authz-policy.yaml