Di Cloud Service Mesh 1.5 dan yang lebih baru, TLS bersama otomatis (mTLS otomatis) diaktifkan secara default. Dengan mTLS otomatis, proxy sidecar klien akan otomatis mendeteksi apakah server memiliki sidecar. Sidecar klien mengirimkan mTLS ke workload dengan sidecar dan mengirimkan teks biasa ke workload tanpa sidecar. Namun, perlu diperhatikan bahwa layanan menerima traffic plaintext dan mTLS. Saat Anda memasukkan proxy sidecar ke Pod, sebaiknya konfigurasi layanan Anda agar hanya menerima traffic mTLS.
Dengan Cloud Service Mesh, Anda dapat menerapkan mTLS, di luar kode aplikasi, dengan menerapkan satu file YAML. Cloud Service Mesh memberi Anda fleksibilitas untuk menerapkan kebijakan autentikasi ke seluruh mesh layanan, ke namespace, atau ke setiap workload.
Biaya
Dalam dokumen ini, Anda akan menggunakan komponen Google Cloud yang dapat ditagih berikut:
Untuk membuat perkiraan biaya berdasarkan proyeksi penggunaan Anda,
gunakan kalkulator harga.
Setelah menyelesaikan tutorial ini, Anda dapat menghindari biaya berkelanjutan dengan menghapus resource yang Anda buat. Untuk informasi selengkapnya, lihat Pembersihan.
Sebelum memulai
Pastikan penagihan diaktifkan untuk project Cloud Anda. Pelajari cara mengonfirmasi bahwa penagihan diaktifkan untuk project Anda.
Instal Cloud Service Mesh di cluster GKE dan deploy gateway ingress. Jika Anda perlu menyiapkan cluster untuk tutorial ini, lihat panduan memulai Cloud Service Mesh, yang akan memandu Anda:
- Membuat cluster GKE.
- Menyediakan Cloud Service Mesh terkelola.
- Men-deploy gateway masuk.
- Men-deploy aplikasi contoh Butik Online dari repo
anthos-service-mesh-packages
, yang diubah dari kumpulan manifes asli di repomicroservices-demo
. Dengan mengikuti praktik terbaik, setiap layanan di-deploy di namespace terpisah dengan akun layanan yang unik.
Mengakses Online Boutique
Tetapkan konteks saat ini untuk
kubectl
ke cluster tempat Anda men-deploy Butik Online:gcloud container clusters get-credentials CLUSTER_NAME \ --project=PROJECT_ID \ --zone=CLUSTER_LOCATION
Cantumkan layanan di namespace
frontend
:kubectl get services -n frontend
Perhatikan bahwa
frontend-external
adalahLoadBalancer
, dan memiliki alamat IP eksternal. Aplikasi contoh menyertakan layanan yang merupakan load balancer sehingga dapat di-deploy di GKE tanpa Cloud Service Mesh.Buka aplikasi di browser Anda menggunakan alamat IP eksternal layanan
frontend-external
:http://FRONTEND_EXTERNAL_IP/
Cloud Service Mesh memberi Anda kemampuan untuk men-deploy gateway masuk. Anda juga dapat mengakses Online Boutique menggunakan alamat IP eksternal gateway ingress. Dapatkan IP eksternal gateway. Ganti placeholder dengan informasi berikut:
- GATEWAY_SERVICE_NAME : Nama layanan gateway
ingress. Jika Anda men-deploy gateway contoh tanpa modifikasi, atau jika
Anda men-deploy
gateway ingress default,
namanya adalah
istio-ingressgateway
. - GATEWAY_NAMESPACE: Namespace tempat Anda men-deploy gateway masuk. Jika Anda men-deploy gateway masuk default, namespace-nya adalah
istio-system
.
kubectl get service GATEWAY_NAME -n GATEWAY_NAMESPACE
- GATEWAY_SERVICE_NAME : Nama layanan gateway
ingress. Jika Anda men-deploy gateway contoh tanpa modifikasi, atau jika
Anda men-deploy
gateway ingress default,
namanya adalah
Buka tab lain di browser Anda dan buka aplikasi menggunakan alamat IP eksternal gateway ingress:
http://INGRESS_GATEWAY_EXTERNAL_IP/
Jalankan perintah berikut untuk
curl
layananfrontend
dengan HTTP biasa dari Pod lain. Karena layanan berada di namespace yang berbeda, Anda harus melakukan curl pada nama DNS layananfrontend
.kubectl exec \ $(kubectl get pod -l app=productcatalogservice -n product-catalog -o jsonpath={.items..metadata.name}) \ -c istio-proxy -n product-catalog -- \ curl http://frontend.frontend.svc.cluster.local:80/ -o /dev/null -s -w '%{http_code}\n'
Permintaan Anda berhasil dengan status
200
, karena secara default, traffic TLS dan plaintext diterima.
Mengaktifkan TLS bersama per namespace
Anda menerapkan mTLS dengan menerapkan kebijakan PeerAuthentication
dengan kubectl
.
Simpan kebijakan autentikasi berikut sebagai
mtls-namespace.yaml
.cat <<EOF > mtls-namespace.yaml apiVersion: "security.istio.io/v1beta1" kind: "PeerAuthentication" metadata: name: "namespace-policy" spec: mtls: mode: STRICT EOF
Baris
mode: STRICT
di YAML mengonfigurasi layanan agar hanya menerima mTLS. Secara default,mode
adalahPERMISSIVE
, yang mengonfigurasi layanan untuk menerima teks biasa dan mTLS.Terapkan kebijakan autentikasi untuk mengonfigurasi semua layanan Online Boutique agar hanya menerima mTLS:
for ns in ad cart checkout currency email frontend loadgenerator \ payment product-catalog recommendation shipping; do kubectl apply -n $ns -f mtls-namespace.yaml done
Output yang diharapkan:
peerauthentication.security.istio.io/namespace-policy created peerauthentication.security.istio.io/namespace-policy created peerauthentication.security.istio.io/namespace-policy created peerauthentication.security.istio.io/namespace-policy created peerauthentication.security.istio.io/namespace-policy created peerauthentication.security.istio.io/namespace-policy created peerauthentication.security.istio.io/namespace-policy created peerauthentication.security.istio.io/namespace-policy created peerauthentication.security.istio.io/namespace-policy created peerauthentication.security.istio.io/namespace-policy created peerauthentication.security.istio.io/namespace-policy created
Buka tab di browser yang mengakses Butik Online menggunakan alamat IP eksternal layanan
frontend-external
:http://FRONTEND_EXTERNAL_IP/
Muat ulang halaman. Browser menampilkan error berikut:
Memuat ulang halaman akan menyebabkan teks biasa dikirim ke layanan
frontend
. Karena kebijakan autentikasiSTRICT
, proxy sidecar memblokir permintaan ke layanan.Buka tab di browser Anda yang mengakses Butik Online menggunakan alamat IP eksternal
istio-ingressgateway
, lalu muat ulang halaman, yang berhasil ditampilkan. Saat Anda mengakses Butik Online menggunakan gateway masuk, permintaan akan menggunakan jalur berikut:Alur autentikasi mTLS:
- Browser mengirimkan permintaan HTTP teks biasa ke server.
- Penampung proxy gateway masuk mencegat permintaan.
- Proxy gateway masuk melakukan handshake TLS dengan proxy sisi server (layanan frontend dalam contoh ini). Handshake ini menyertakan pertukaran sertifikat. Sertifikat ini dimuat sebelumnya ke dalam penampung proxy oleh Cloud Service Mesh.
- Proxy gateway masuk melakukan pemeriksaan penamaan aman pada sertifikat server, yang memverifikasi bahwa identitas yang diotorisasi menjalankan server.
- Gateway masuk dan proxy server membuat koneksi TLS timbal balik, dan proxy server meneruskan permintaan ke penampung aplikasi server (layanan frontend).
Jalankan perintah berikut untuk
curl
layananfrontend
dengan HTTP biasa dari Pod lain.kubectl exec \ $(kubectl get pod -l app=productcatalogservice -n product-catalog -o jsonpath={.items..metadata.name}) \ -c istio-proxy -n product-catalog -- \ curl http://frontend.frontend.svc.cluster.local:80/ -o /dev/null -s -w '%{http_code}\n'
Permintaan Anda gagal karena semua layanan Online Boutique ditetapkan ke
STRICT
mTLS, dan proxy sidecar memblokir permintaan ke layanan.Output yang diharapkan:
000 command terminated with exit code 56
Melihat status mTLS
Anda dapat melihat status fitur keamanan GKE Enterprise, termasuk kebijakan autentikasi, di Konsol Google Cloud.
Di konsol Google Cloud, buka halaman Ringkasan GKE Enterprise.
Pilih project Google Cloud dari daftar project di menu.
Dari kartu Status kebijakan, bergantung pada konfigurasi Anda, klik Lihat Kebijakan atau Aktifkan Kebijakan. Dasbor Pengontrol Kebijakan akan terbuka.
Klik tab Pelanggaran.
Di bagian Resource Kind, centang kotak Pod. Tindakan ini akan menampilkan daftar Pod yang melanggar kebijakan.
Menemukan dan menghapus kebijakan autentikasi
Untuk mengetahui daftar semua kebijakan
PeerAuthentication
di mesh layanan:kubectl get peerauthentication --all-namespaces
Outputnya mirip dengan hal berikut ini:
NAMESPACE NAME MODE AGE ad namespace-policy STRICT 17m cart namespace-policy STRICT 17m checkout namespace-policy STRICT 17m currency namespace-policy STRICT 17m email namespace-policy STRICT 17m frontend namespace-policy STRICT 17m loadgenerator namespace-policy STRICT 17m payment namespace-policy STRICT 17m product-catalog namespace-policy STRICT 17m recommendation namespace-policy STRICT 17m shipping namespace-policy STRICT 17m
Hapus kebijakan autentikasi dari semua namespace Online Boutique:
for ns in ad cart checkout currency email frontend loadgenerator payment \ product-catalog recommendation shipping; do kubectl delete peerauthentication -n $ns namespace-policy done;
Output yang diharapkan:
peerauthentication.security.istio.io "namespace-policy" deleted peerauthentication.security.istio.io "namespace-policy" deleted peerauthentication.security.istio.io "namespace-policy" deleted peerauthentication.security.istio.io "namespace-policy" deleted peerauthentication.security.istio.io "namespace-policy" deleted peerauthentication.security.istio.io "namespace-policy" deleted peerauthentication.security.istio.io "namespace-policy" deleted peerauthentication.security.istio.io "namespace-policy" deleted peerauthentication.security.istio.io "namespace-policy" deleted peerauthentication.security.istio.io "namespace-policy" deleted peerauthentication.security.istio.io "namespace-policy" deleted
Akses Online Boutique menggunakan alamat IP eksternal layanan
frontend-external
, lalu muat ulang halaman. Halaman ditampilkan seperti yang diharapkan.Jalankan perintah berikut untuk
curl
layananfrontend
dengan HTTP biasa dari Pod lain.kubectl exec \ $(kubectl get pod -l app=productcatalogservice -n product-catalog -o jsonpath={.items..metadata.name}) \ -c istio-proxy -n product-catalog -- \ curl http://frontend.frontend.svc.cluster.local:80/ -o /dev/null -s -w '%{http_code}\n'
Permintaan Anda berhasil dengan status
200
, karena secara default, traffic TLS dan plaintext diterima.
Jika Anda memuat ulang halaman di konsol Google Cloud yang menampilkan daftar Workload, halaman tersebut kini akan menampilkan bahwa status mTLS adalah Permissive
.
Mengaktifkan TLS bersama per beban kerja
Untuk menetapkan kebijakan PeerAuthentication
untuk beban kerja tertentu, Anda harus mengonfigurasi
bagian selector
dan menentukan label yang cocok dengan beban kerja yang diinginkan.
Namun, Cloud Service Mesh tidak dapat menggabungkan kebijakan tingkat beban kerja untuk traffic mTLS eksternal ke layanan. Anda perlu mengonfigurasi aturan tujuan untuk mengelola
perilaku tersebut.
Menerapkan kebijakan autentikasi ke workload tertentu. Perhatikan cara kebijakan berikut menggunakan label dan pemilih untuk menargetkan deployment
frontend
tertentu.cat <<EOF | kubectl apply -n frontend -f - apiVersion: "security.istio.io/v1beta1" kind: "PeerAuthentication" metadata: name: "frontend" namespace: "frontend" spec: selector: matchLabels: app: frontend mtls: mode: STRICT EOF
Output yang diharapkan:
peerauthentication.security.istio.io/frontend created
Konfigurasikan aturan tujuan yang cocok.
cat <<EOF | kubectl apply -n frontend -f - apiVersion: "networking.istio.io/v1alpha3" kind: "DestinationRule" metadata: name: "frontend" spec: host: "frontend.demo.svc.cluster.local" trafficPolicy: tls: mode: ISTIO_MUTUAL EOF
Output yang diharapkan:
destinationrule.networking.istio.io/frontend created
Akses Online Boutique menggunakan alamat IP eksternal layanan
frontend-external
, lalu muat ulang halaman. Halaman tidak ditampilkan karenafrontend service
disetel keSTRICT
mTLS, dan proxy sidecar memblokir permintaan.Jalankan perintah berikut untuk
curl
layananfrontend
dengan HTTP biasa dari Pod lain.kubectl exec \ $(kubectl get pod -l app=productcatalogservice -n product-catalog -o jsonpath={.items..metadata.name}) \ -c istio-proxy -n product-catalog -- \ curl http://frontend.frontend.svc.cluster.local:80/ -o /dev/null -s -w '%{http_code}\n'
Permintaan Anda gagal dengan kode status
56
.Jika Anda memuat ulang halaman di konsol Google Cloud yang menampilkan daftar Workloads, halaman tersebut kini akan menampilkan bahwa status mTLS untuk layanan
frontend
adalahStrict
dan semua layanan lainnya disetel kePermissive
.Hapus kebijakan autentikasi:
kubectl delete peerauthentication -n frontend frontend
Output yang diharapkan:
peerauthentication.security.istio.io "frontend" deleted
Hapus aturan tujuan:
kubectl delete destinationrule -n frontend frontend
Output yang diharapkan:
destinationrule.networking.istio.io "frontend" deleted
Menerapkan mTLS di seluruh mesh
Untuk mencegah semua layanan Anda di mesh menerima traffic teks biasa, tetapkan
kebijakan PeerAuthentication
seluruh mesh dengan mode mTLS yang ditetapkan ke STRICT
.
Kebijakan PeerAuthentication
seluruh mesh tidak boleh memiliki pemilih dan harus
diterapkan di namespace root, istio-system
. Saat Anda men-deploy kebijakan, bidang kontrol akan otomatis menyediakan sertifikat TLS sehingga beban kerja dapat
diautentikasi satu sama lain.
Terapkan mTLS di seluruh mesh:
kubectl apply -f - <<EOF apiVersion: "security.istio.io/v1beta1" kind: "PeerAuthentication" metadata: name: "mesh-wide" namespace: "istio-system" spec: mtls: mode: STRICT EOF
Output yang diharapkan:
peerauthentication.security.istio.io/mesh-wide created
Akses Online Boutique menggunakan alamat IP eksternal layanan
frontend-external
, lalu muat ulang halaman. Halaman tidak ditampilkan.Jalankan perintah berikut untuk
curl
layananfrontend
dengan HTTP biasa dari Pod lain.kubectl exec \ $(kubectl get pod -l app=productcatalogservice -n product-catalog -o jsonpath={.items..metadata.name}) \ -c istio-proxy -n product-catalog -- \ curl http://frontend.frontend.svc.cluster.local:80/ -o /dev/null -s -w '%{http_code}\n'
Permintaan Anda gagal dengan kode status
56
.Hapus kebijakan
mesh-wide
:kubectl delete peerauthentication -n istio-system mesh-wide
Output yang diharapkan:
peerauthentication.security.istio.io "mesh-wide" deleted
Jika memuat ulang halaman di konsol Google Cloud, Anda akan melihat bahwa detail
mTLS
untuk semua layanan kini menampilkanPermissive
.
Pembersihan
Agar tidak perlu membayar biaya pada akun Google Cloud Anda untuk resource yang digunakan dalam tutorial ini, hapus project yang berisi resource tersebut, atau simpan project dan hapus setiap resource.
Jika Anda ingin mencegah tagihan tambahan, hapus cluster:
gcloud container clusters delete CLUSTER_NAME \ --project=PROJECT_ID \ --zone=CLUSTER_LOCATION
Jika Anda ingin mempertahankan cluster dan menghapus contoh Butik Online:
- Hapus namespace aplikasi:
kubectl delete -f online-boutique/kubernetes-manifests/namespaces
Output yang diharapkan:
namespace "ad" deleted namespace "cart" deleted namespace "checkout" deleted namespace "currency" deleted namespace "email" deleted namespace "frontend" deleted namespace "loadgenerator" deleted namespace "payment" deleted namespace "product-catalog" deleted namespace "recommendation" deleted namespace "shipping" deleted
- Hapus entri layanan:
kubectl delete -f online-boutique/istio-manifests/allow-egress-googleapis.yaml
Output yang diharapkan:
serviceentry.networking.istio.io "allow-egress-googleapis" deleted serviceentry.networking.istio.io "allow-egress-google-metadata" deleted
Langkah selanjutnya
- Untuk panduan umum tentang cara mengonfigurasi kebijakan
PeerAuthentication
, lihat Mengonfigurasi keamanan transpor.