Configura la seguridad del transporte
En Cloud Service Mesh con APIs de Istio para cargas de trabajo de Kubernetes, se aplica la mutua automática TLS (mTLS automático) está habilitado de forma predeterminada. Con la mTLS automática, se puede usar un proxy detecta automáticamente si el servidor tiene un archivo adicional. El sidecar del cliente envía mTLS a las cargas de trabajo con sidecars y envía texto simple a las cargas de trabajo sin sidecars. Sin embargo, ten en cuenta que los servicios aceptan tráfico de texto simple y mTLS. Mientras se inyecta con proxies de sidecar a los Pods, te recomendamos que también configures los servicios solo aceptar tráfico de mTLS.
Con Cloud Service Mesh, puedes configurar tus servicios para que solo acepten mTLS
aplicando una política PeerAuthentication. Cloud Service Mesh te brinda la
flexibilidad para aplicar la política a toda la malla de servicios, a un espacio de nombres
a una carga de trabajo individual. Cuando especificas una política
para una carga de trabajo específica,
esa política tiene prioridad. Por ejemplo, una política específica de carga de trabajo tiene
prioridad sobre una específica de espacio de nombres. Si no se especifica ninguna política para la
carga de trabajo, hereda la política del espacio de nombres o la malla.
Para obtener más información, consulta las funciones compatibles.
campos de la CR PeerAuthentication son compatibles con la plataforma.
Habilita TLS mutua por espacio de nombres
A fin de habilitar mTLS para todas las cargas de trabajo dentro de un espacio de nombres en particular, usa una política de autenticación de todo el espacio de nombres. Especifica el espacio de nombres que se aplica
en metadata.
kubectl apply -f - <<EOF
apiVersion: "security.istio.io/v1beta1"
kind: "PeerAuthentication"
metadata:
name: "AUTH_POLICY_NAME"
namespace: "NAMESPACE"
spec:
mtls:
mode: STRICT
EOF
Resultado esperado:
peerauthentication.security.istio.io/AUTH_POLICY_NAME created
Habilita TLS mutua por carga de trabajo
Si quieres configurar una política PeerAuthentication para una carga de trabajo específica, debes configurar la sección selector y especificar las etiquetas que coincidan con la carga de trabajo deseada.
Sin embargo, Cloud Service Mesh no puede agregar políticas a nivel de carga de trabajo para
el tráfico mTLS saliente a un servicio. Debes configurar una regla de destino para
ese comportamiento.
Aplica una política de autenticación a una carga de trabajo específica en tu espacio de nombres:
cat <<EOF | kubectl apply -n NAMESPACE -f - apiVersion: "security.istio.io/v1beta1" kind: "PeerAuthentication" metadata: name: "AUTH_POLICY_NAME" namespace: "NAMESPACE" spec: selector: matchLabels: app: WORKLOAD mtls: mode: STRICT EOFResultado esperado:
peerauthentication.security.istio.io/AUTH_POLICY_NAME created
Configura una regla de destino que coincida:
cat <<EOF | kubectl apply -n NAMESPACE -f - apiVersion: "networking.istio.io/v1alpha3" kind: "DestinationRule" metadata: name: "DEST_RULE_NAME" spec: host: "WORKLOAD.NAMESPACE.svc.cluster.local" trafficPolicy: tls: mode: ISTIO_MUTUAL EOFResultado esperado:
destinationrule.networking.istio.io/WORKLOAD created
Aplica la mTLS en toda la malla
Para evitar que todos tus servicios de la malla acepten tráfico de texto sin formato, configura una política PeerAuthentication en toda la malla con el modo mTLS establecido en STRICT (el valor predeterminado es PERMISSIVE). La política PeerAuthentication de toda la malla no debe tener un selector y debe aplicarse en el espacio de nombres raíz, istio-system. Cuando implementas la política, el plano de control aprovisiona automáticamente certificados TLS para que las cargas de trabajo puedan autenticarse entre sí.
Para aplicar mTLS en toda la malla, sigue estos pasos:
kubectl apply -f - <<EOF
apiVersion: "security.istio.io/v1beta1"
kind: "PeerAuthentication"
metadata:
name: "AUTH_POLICY_NAME"
namespace: "istio-system"
spec:
mtls:
mode: STRICT
EOF
Resultado esperado:
peerauthentication.security.istio.io/AUTH_POLICY_NAME created
Busca y borra políticas de PeerAuthentication
Para obtener una lista de todas las políticas de PeerAuthentication en la malla de servicios, haz lo siguiente:
kubectl get peerauthentication --all-namespaces
Si se aplica una política PeerAuthentication de forma forzosa, puedes borrarla con kubectl delete:
kubectl delete peerauthentication -n NAMESPACE AUTH_POLICY_NAME