Configurer la sécurité du transport.

Dans Cloud Service Mesh avec les API Istio pour les charges de travail Kubernetes, Le protocole TLS (mTLS automatique) est activé par défaut. L'authentification mTLS automatique permet à un proxy side-car client de détecter automatiquement si le serveur possède un side-car. Le side-car client envoie l'authentification mTLS aux charges de travail avec des side-cars et envoie du texte brut aux charges de travail sans side-car. Notez toutefois que les services acceptent le trafic en texte brut et mTLS. Lorsque vous injectez proxys side-car à vos pods, nous vous recommandons de configurer aussi vos services pour n'accepter que le trafic mTLS.

Avec Cloud Service Mesh, vous pouvez configurer vos services pour qu'ils n'acceptent que mTLS en appliquant une règle PeerAuthentication. Cloud Service Mesh vous offre la flexibilité d'appliquer la règle à l'ensemble du maillage de services, à un espace de noms ou à une charge de travail individuelle. Lorsque vous spécifiez une règle pour une charge de travail spécifique, cette règle est prioritaire. Par exemple, une règle spécifique à une charge de travail est prioritaire sur une règle spécifique à un espace de noms. Si aucune règle n'est spécifiée pour la charge de travail, elle hérite de la règle de l'espace de noms ou du maillage.

Consultez la section Fonctionnalités compatibles pour en savoir plus les champs de la RS PeerAuthentication sont pris en charge par la plate-forme.

Activer l'authentification TLS mutuelle par espace de noms

Pour activer l'authentification mTLS pour toutes les charges de travail d'un espace de noms donné, utilisez une règle d'authentification à l'échelle de l'espace de noms. Spécifiez l'espace de noms auquel il s'applique sous metadata.

kubectl apply -f - <<EOF
apiVersion: "security.istio.io/v1beta1"
kind: "PeerAuthentication"
metadata:
  name: "AUTH_POLICY_NAME"
  namespace: "NAMESPACE"
spec:
  mtls:
    mode: STRICT
EOF

Résultat attendu :

peerauthentication.security.istio.io/AUTH_POLICY_NAME created

Activer l'authentification TLS mutuelle par charge de travail

Pour définir une règle PeerAuthentication pour une charge de travail spécifique, vous devez configurer la section selector et spécifier les libellés correspondant à la charge de travail souhaitée. Toutefois, Cloud Service Mesh ne peut pas agréger les règles à l'échelle d'une charge de travail pour le trafic mTLS sortant vers un service. Vous devez configurer une règle de destination gérer ce comportement.

  1. Appliquez une règle d'authentification à une charge de travail spécifique de l'espace de noms :

    cat <<EOF | kubectl apply -n NAMESPACE -f -
    apiVersion: "security.istio.io/v1beta1"
    kind: "PeerAuthentication"
    metadata:
      name: "AUTH_POLICY_NAME"
      namespace: "NAMESPACE"
    spec:
      selector:
        matchLabels:
          app: WORKLOAD
      mtls:
        mode: STRICT
    EOF
    

    Résultat attendu :

    peerauthentication.security.istio.io/AUTH_POLICY_NAME created
  2. Configurez une règle de destination correspondante :

    cat <<EOF | kubectl apply -n NAMESPACE -f -
    apiVersion: "networking.istio.io/v1alpha3"
    kind: "DestinationRule"
    metadata:
      name: "DEST_RULE_NAME"
    spec:
      host: "WORKLOAD.NAMESPACE.svc.cluster.local"
      trafficPolicy:
        tls:
          mode: ISTIO_MUTUAL
    EOF
    

    Résultat attendu :

    destinationrule.networking.istio.io/WORKLOAD created

Appliquer l'authentification mTLS à l'échelle du maillage

Pour empêcher tous les services du maillage d'accepter le trafic en texte brut, définissez une règle PeerAuthentication à l'échelle du maillage avec le mode mTLS défini sur STRICT (la valeur par défaut est PERMISSIVE). La règle PeerAuthentication ne doit pas comporter de sélecteur et doit être appliquée dans l'espace de noms racine istio-system. Lorsque vous déployez la règle, le plan de contrôle provisionne automatiquement les certificats TLS afin que les charges de travail puissent s'authentifier mutuellement.

Pour appliquer l'authentification mTLS à l'échelle du maillage, procédez comme suit :

kubectl apply -f - <<EOF
apiVersion: "security.istio.io/v1beta1"
kind: "PeerAuthentication"
metadata:
  name: "AUTH_POLICY_NAME"
  namespace: "istio-system"
spec:
  mtls:
    mode: STRICT
EOF

Résultat attendu :

peerauthentication.security.istio.io/AUTH_POLICY_NAME created

Rechercher et supprimer des règles PeerAuthentication

Pour obtenir la liste de toutes les règles PeerAuthentication du maillage de services, procédez comme suit :

kubectl get peerauthentication --all-namespaces

Si une règle PeerAuthentication est appliquée, vous pouvez la supprimer à l'aide de la commande kubectl delete :

kubectl delete peerauthentication -n NAMESPACE AUTH_POLICY_NAME

Étape suivante