Configurer la sécurité du transport.
Dans les versions 1.5 et ultérieures d'Anthos Service Mesh, l'authentification TLS mutuelle (mTLS) automatique est activée par défaut. L'authentification mTLS permet à un proxy side-car client de détecter automatiquement si le serveur possède un side-car. Le side-car client envoie l'authentification mTLS aux charges de travail avec des side-cars, et envoie du texte brut aux charges de travail sans side-car. Notez toutefois que les services acceptent à la fois le trafic en texte brut et le trafic mTLS. Lorsque vous injectez des proxys side-car dans vos pods, nous vous recommandons également de configurer vos services de manière à n'accepter que le trafic mTLS.
Avec Anthos Service Mesh, vous pouvez configurer vos services pour qu'ils n'acceptent que l'authentification mTLS en appliquant une règle PeerAuthentication
. Anthos Service Mesh vous donne la possibilité d'appliquer une règle à l'ensemble du maillage de services, à un espace de noms ou à une charge de travail individuelle. Lorsque vous spécifiez une règle pour une charge de travail spécifique, cette règle est prioritaire. Par exemple, une règle spécifique à une charge de travail est prioritaire sur une règle spécifique à un espace de noms. Si aucune règle n'est spécifiée pour la charge de travail, elle hérite de la règle de l'espace de noms ou du maillage.
Activer l'authentification TLS mutuelle par espace de noms
Pour activer l'authentification mTLS pour toutes les charges de travail d'un espace de noms donné, utilisez une règle d'authentification à l'échelle de l'espace de noms. Spécifiez l'espace de noms auquel il s'applique sous metadata
.
kubectl apply -f - <<EOF
apiVersion: "security.istio.io/v1beta1"
kind: "PeerAuthentication"
metadata:
name: "AUTH_POLICY_NAME"
namespace: "NAMESPACE"
spec:
mtls:
mode: STRICT
EOF
Résultat attendu :
peerauthentication.security.istio.io/AUTH_POLICY_NAME created
Activer l'authentification TLS mutuelle par charge de travail
Pour définir une règle PeerAuthentication
pour une charge de travail spécifique, vous devez configurer la section selector
et spécifier les libellés correspondant à la charge de travail souhaitée.
Toutefois, Anthos Service Mesh ne peut pas agréger les règles à l'échelle d'une charge de travail pour le trafic mTLS sortant vers un service. Vous devez configurer une règle de destination pour gérer ce comportement.
Appliquez une règle d'authentification à une charge de travail spécifique de l'espace de noms :
cat <<EOF | kubectl apply -n NAMESPACE -f - apiVersion: "security.istio.io/v1beta1" kind: "PeerAuthentication" metadata: name: "AUTH_POLICY_NAME" namespace: "NAMESPACE" spec: selector: matchLabels: app: WORKLOAD mtls: mode: STRICT EOF
Résultat attendu :
peerauthentication.security.istio.io/AUTH_POLICY_NAME created
Configurez une règle de destination correspondante :
cat <<EOF | kubectl apply -n NAMESPACE -f - apiVersion: "networking.istio.io/v1alpha3" kind: "DestinationRule" metadata: name: "DEST_RULE_NAME" spec: host: "WORKLOAD.NAMESPACE.svc.cluster.local" trafficPolicy: tls: mode: ISTIO_MUTUAL EOF
Résultat attendu :
destinationrule.networking.istio.io/WORKLOAD created
Appliquer l'authentification mTLS à l'échelle du maillage
Pour empêcher tous les services du maillage d'accepter le trafic en texte brut, définissez une règle PeerAuthentication
à l'échelle du maillage avec le mode mTLS défini sur STRICT
(la valeur par défaut est PERMISSIVE
). La règle PeerAuthentication
ne doit pas comporter de sélecteur et doit être appliquée dans l'espace de noms racine istio-system
. Lorsque vous déployez la règle, le plan de contrôle provisionne automatiquement les certificats TLS afin que les charges de travail puissent s'authentifier mutuellement.
Pour appliquer l'authentification mTLS à l'échelle du maillage, procédez comme suit :
kubectl apply -f - <<EOF
apiVersion: "security.istio.io/v1beta1"
kind: "PeerAuthentication"
metadata:
name: "AUTH_POLICY_NAME"
namespace: "istio-system"
spec:
mtls:
mode: STRICT
EOF
Résultat attendu :
peerauthentication.security.istio.io/AUTH_POLICY_NAME created
Rechercher et supprimer des règles PeerAuthentication
Pour obtenir la liste de toutes les règles PeerAuthentication
du maillage de services, procédez comme suit :
kubectl get peerauthentication --all-namespaces
Si une règle PeerAuthentication
est appliquée, vous pouvez la supprimer à l'aide de la commande kubectl delete
:
kubectl delete peerauthentication -n NAMESPACE AUTH_POLICY_NAME
Configurer la version minimale de l'authentification TLS pour vos charges de travail
Vous pouvez utiliser le champ minProtocolVersion
pour spécifier la version minimale de TLS pour les connexions TLS entre vos charges de travail.
Pour en savoir plus sur la définition de la version minimale de TLS et la vérification de la configuration TLS de vos charges de travail, consultez la page Configuration minimale de la version TLS de la charge de travail Istio.