Anthos Service Mesh e Traffic Director sono ora Cloud Service Mesh. Per saperne di più, consulta la panoramica di Cloud Service Mesh.

Questa pagina è stata tradotta dall'API Cloud Translation.

Cloud Service Mesh tramite esempi: mTLS

In Cloud Service Mesh 1.5 e versioni successive, il protocollo TLS automatico reciproca (mTLS) è abilitato predefinito. Con mTLS automatico, un proxy sidecar client rileva automaticamente se il server ha un sidecar. Il lato client invia mTLS ai carichi di lavoro con file collaterali e invia il testo non crittografato ai carichi di lavoro senza file collaterali. Tuttavia, tieni presente che i servizi accetta sia il traffico in testo non crittografato che il traffico mTLS. Man mano che inserisci proxy sidecar ai tuoi pod, ti consigliamo di configurare anche i servizi in modo che accettino solo traffico mTLS.

Con Cloud Service Mesh, puoi applicare mTLS al di fuori del codice dell'applicazione applicando un unico file YAML. Cloud Service Mesh ti offre la flessibilità di applicare un criterio di autenticazione all'intero mesh di servizi, a uno spazio dei nomi o a un singolo carico di lavoro.

mTLS reciproco

Costi

In questo documento utilizzi i seguenti componenti fatturabili di Google Cloud:

Per generare una stima dei costi basata sull'utilizzo previsto, utilizza il Calcolatore prezzi. I nuovi utenti di Google Cloud potrebbero essere idonei per una prova gratuita.

Al termine del tutorial, puoi evitare i costi continui eliminando le risorse che hai creato. Per maggiori informazioni, vedi Pulizia.

Prima di iniziare

Verifica che la fatturazione sia attivata per il tuo progetto Cloud. Scopri come verificare che la fatturazione sia attivata per il tuo progetto.
Installa Cloud Service Mesh su un cluster GKE ed esegui il deployment di un traffico in entrata gateway VPN ad alta disponibilità. Se devi configurare un cluster per questo tutorial, consulta guida rapida di Cloud Service Mesh, che ti guiderà attraverso:
- Crea un cluster GKE.
- Esegue il provisioning del mesh di servizi Cloud gestito.
- Esegui il deployment di un gateway di ingresso.
- Deployment dell'applicazione di esempio Online Boutique dal repository anthos-service-mesh-packages, che viene modificato dall'insieme originale di manifest nel microservices-demo repository. Seguendo le best practice, il deployment di ogni servizio viene eseguito in uno spazio dei nomi separato con un account di servizio univoco.

Crea un pod TestCurl per inviare traffico in testo non cifrato per i test.

  apiVersion: v1
  kind: Pod
  metadata:
    name: testcurl
    namespace: default
    annotations:
      sidecar.istio.io/inject: "false"
  spec:
    containers:
    - name: curl
      image: curlimages/curl
      command: ["sleep", "600"]

Accedi a Boutique online

Imposta il contesto corrente per kubectl sul cluster in cui hai eseguito il deployment di Online Boutique:

gcloud container clusters get-credentials CLUSTER_NAME  \
    --project=PROJECT_ID \
    --zone=CLUSTER_LOCATION

Elenca i servizi nello spazio dei nomi frontend:
```
kubectl get services -n frontend
```
Nota che frontend-external è un LoadBalancer e ha un all'indirizzo IP esterno. L'applicazione di esempio include un servizio che è un bilanciatore del carico in modo che possa essere implementato su GKE senza Cloud Service Mesh.
Visita l'applicazione nel browser utilizzando l'indirizzo IP esterno del servizio frontend-external:
```
http://FRONTEND_EXTERNAL_IP/
```
Cloud Service Mesh ti consente di eseguire il deployment di un gateway di ingresso. Puoi e accedere alla Boutique online utilizzando l'indirizzo IP esterno del server gateway VPN ad alta disponibilità. Ottieni l'IP esterno del gateway. Sostituisci i segnaposto con le seguenti informazioni:
- GATEWAY_SERVICE_NAME : il nome del gateway in entrata completamente gestito di Google Cloud. Se hai eseguito il deployment del gateway di esempio senza modifiche o hai eseguito il deployment gateway in entrata predefinito, il nome è istio-ingressgateway.
- GATEWAY_NAMESPACE: il nome dello spazio dei nomi in cui hai disegnato il gateway di ingresso. Se hai implementato il gateway di ingresso predefinito, il nome dello spazio dei nomi è istio-system.
```
kubectl get service GATEWAY_NAME -n GATEWAY_NAMESPACE
```
Apri un'altra scheda del browser e visita l'applicazione utilizzando la Indirizzo IP esterno del gateway in entrata:
```
http://INGRESS_GATEWAY_EXTERNAL_IP/
```
Esegui questo comando per curl il servizio frontend con HTTP normale da un altro pod. Poiché i servizi si trovano in spazi dei nomi diversi, devi eseguire curl sul nome DNS del servizio frontend.
```
kubectl debug --image istio/base --target istio-proxy -it \
  $(kubectl get pod -l app=productcatalogservice -n product-catalog -o jsonpath={.items..metadata.name}) \
  -n product-catalog -- \
  curl http://frontend.frontend.svc.cluster.local:80/ -o /dev/null -s -w '%{http_code}\n'
```
La tua richiesta ha esito positivo con lo stato 200 perché, per impostazione predefinita, sia TLS il traffico di testo normale sia accettato.

Attivare l'autenticazione TLS reciproca per ogni spazio dei nomi

Puoi applicare mTLS applicando un criterio PeerAuthentication con kubectl.

Salva il seguente criterio di autenticazione come mtls-namespace.yaml.
```
cat <<EOF > mtls-namespace.yaml
apiVersion: "security.istio.io/v1beta1"
kind: "PeerAuthentication"
metadata:
  name: "namespace-policy"
spec:
  mtls:
    mode: STRICT
EOF
```
La riga mode: STRICT nel file YAML configura i servizi solo accetta mTLS. Per impostazione predefinita, mode è PERMISSIVE, il che configura i servizi in modo che accettino sia il testo non criptato sia mTLS.

Applica il criterio di autenticazione per configurare tutti i servizi di Online Boutique in modo che accettino solo mTLS:

for ns in ad cart checkout currency email frontend loadgenerator \
     payment product-catalog recommendation shipping; do
kubectl apply -n $ns -f mtls-namespace.yaml
done

Risultato previsto:

peerauthentication.security.istio.io/namespace-policy created
peerauthentication.security.istio.io/namespace-policy created
peerauthentication.security.istio.io/namespace-policy created
peerauthentication.security.istio.io/namespace-policy created
peerauthentication.security.istio.io/namespace-policy created
peerauthentication.security.istio.io/namespace-policy created
peerauthentication.security.istio.io/namespace-policy created
peerauthentication.security.istio.io/namespace-policy created
peerauthentication.security.istio.io/namespace-policy created
peerauthentication.security.istio.io/namespace-policy created
peerauthentication.security.istio.io/namespace-policy created

Nel browser, vai alla scheda di accesso a Boutique online utilizzando il indirizzo IP esterno del servizio frontend-external:
```
http://FRONTEND_EXTERNAL_IP/
```
Aggiorna la pagina. Il browser visualizza il seguente errore:

L'aggiornamento della pagina comporta l'invio di testo non cifrato al servizio frontend. A causa del criterio di autenticazione STRICT, il proxy sidecar blocca la richiesta al servizio.
Vai alla scheda del browser che accede alla Boutique online utilizzando l'indirizzo IP esterno del istio-ingressgateway e aggiorna la pagina, che viene visualizzata correttamente. Quando accedi a Online Boutique utilizzando il gateway di ingresso, la richiesta segue il seguente percorso:

Flusso di autenticazione mTLS:
1. Il browser invia una richiesta HTTP in testo non crittografato al server.
2. Il container proxy del gateway di ingresso intercetta la richiesta.
3. Il proxy del gateway di ingresso esegue un handshake TLS con il proxy lato server (il servizio frontend in questo esempio). Questo handshake include uno scambio di certificati. Questi certificati vengono precaricati nei container proxy da Cloud Service Mesh.
4. Il proxy del gateway in entrata esegue un controllo dei nomi sicuri sul certificato del server, verificando che il server sia in esecuzione con un'identità autorizzata.
5. Il gateway di ingresso e i proxy server stabiliscono una connessione TLS mutuale e il proxy server inoltra la richiesta al contenitore dell'applicazione server (il servizio frontend).
Esegui questo comando per curl il servizio frontend con HTTP normale da un altro pod.
```
kubectl exec testcurl -n default -- curl \
  http://frontend.frontend.svc.cluster.local:80/ -o /dev/null -s -w '%{http_code}\n'
```
La tua richiesta non va a buon fine perché stiamo inviando traffico non criptato dal carico di lavoro senza sidecar in cui viene applicato il criterio peerAuthentication RIGOROSO.

Trova ed elimina i criteri di autenticazione

Per un elenco di tutti i criteri PeerAuthentication nel mesh di servizi:

kubectl get peerauthentication --all-namespaces

L'output è simile al seguente:

NAMESPACE         NAME               MODE     AGE
ad                namespace-policy   STRICT   17m
cart              namespace-policy   STRICT   17m
checkout          namespace-policy   STRICT   17m
currency          namespace-policy   STRICT   17m
email             namespace-policy   STRICT   17m
frontend          namespace-policy   STRICT   17m
loadgenerator     namespace-policy   STRICT   17m
payment           namespace-policy   STRICT   17m
product-catalog   namespace-policy   STRICT   17m
recommendation    namespace-policy   STRICT   17m
shipping          namespace-policy   STRICT   17m

Elimina il criterio di autenticazione da tutti gli spazi dei nomi di Boutique online:

for ns in ad cart checkout currency email frontend loadgenerator payment \
  product-catalog recommendation shipping; do
    kubectl delete peerauthentication -n $ns namespace-policy
done;

Output previsto:

peerauthentication.security.istio.io "namespace-policy" deleted
peerauthentication.security.istio.io "namespace-policy" deleted
peerauthentication.security.istio.io "namespace-policy" deleted
peerauthentication.security.istio.io "namespace-policy" deleted
peerauthentication.security.istio.io "namespace-policy" deleted
peerauthentication.security.istio.io "namespace-policy" deleted
peerauthentication.security.istio.io "namespace-policy" deleted
peerauthentication.security.istio.io "namespace-policy" deleted
peerauthentication.security.istio.io "namespace-policy" deleted
peerauthentication.security.istio.io "namespace-policy" deleted
peerauthentication.security.istio.io "namespace-policy" deleted

Accedi alla boutique online utilizzando l'indirizzo IP esterno del servizio frontend-external e aggiorna la pagina. La pagina viene visualizzata come previsto.

Esegui questo comando per curl il servizio frontend con HTTP normale da un altro pod.

kubectl debug --image istio/base --target istio-proxy -it \
  $(kubectl get pod -l app=productcatalogservice -n product-catalog -o jsonpath={.items..metadata.name}) \
  -n product-catalog -- \
  curl http://frontend.frontend.svc.cluster.local:80/ -o /dev/null -s -w '%{http_code}\n'

La tua richiesta ha esito positivo con lo stato 200 perché, per impostazione predefinita, sia TLS il traffico di testo normale sia accettato.

Se aggiorni la pagina della console Google Cloud che mostra l'elenco dei carichi di lavoro, ora viene visualizzato lo stato mTLS Permissive.

Attivare l'autenticazione TLS reciproca per carico di lavoro

Per impostare un criterio PeerAuthentication per un carico di lavoro specifico, devi configurare sezione selector e specifica le etichette corrispondenti al carico di lavoro desiderato. Tuttavia, Cloud Service Mesh non può aggregare i criteri a livello di carico di lavoro per il traffico mTLS in uscita verso un servizio. Devi configurare una regola di destinazione per gestire questo comportamento.

Applica un criterio di autenticazione a un carico di lavoro specifico. Tieni presente che il seguente criterio utilizza etichette e selettori per scegliere come target la specifica implementazione frontend.

cat <<EOF | kubectl apply -n frontend -f -
apiVersion: "security.istio.io/v1beta1"
kind: "PeerAuthentication"
metadata:
  name: "frontend"
  namespace: "frontend"
spec:
  selector:
    matchLabels:
      app: frontend
  mtls:
    mode: STRICT
EOF

Risultato previsto:

peerauthentication.security.istio.io/frontend created

Configura una regola di destinazione corrispondente.

cat <<EOF | kubectl apply -n frontend -f -
apiVersion: "networking.istio.io/v1alpha3"
kind: "DestinationRule"
metadata:
  name: "frontend"
spec:
  host: "frontend.demo.svc.cluster.local"
  trafficPolicy:
    tls:
      mode: ISTIO_MUTUAL
EOF

Risultato previsto:

destinationrule.networking.istio.io/frontend created

Accedi alla boutique online utilizzando l'indirizzo IP esterno del servizio frontend-external e aggiorna la pagina. La pagina non viene visualizzata perché frontend service è impostato su STRICT mTLS e il proxy sidecar blocca la richiesta.
Esegui questo comando per curl il servizio frontend con HTTP normale da un altro pod.
```
kubectl exec testcurl -n default -- curl \
  http://frontend.frontend.svc.cluster.local:80/ -o /dev/null -s -w '%{http_code}\n'
```
La tua richiesta non va a buon fine perché stiamo inviando traffico non criptato dal carico di lavoro senza sidecar in cui viene applicato il criterio peerAuthentication RIGOROSO.

Elimina il criterio di autenticazione:

kubectl delete peerauthentication -n frontend frontend

Risultato previsto:

peerauthentication.security.istio.io "frontend" deleted

Elimina la regola di destinazione:

kubectl delete destinationrule -n frontend frontend

Output previsto:

destinationrule.networking.istio.io "frontend" deleted

Applicazione di mTLS a livello di mesh

Per impedire a tutti i servizi nel mesh di accettare traffico in testo non cifrato, imposta un criterio PeerAuthentication a livello di mesh con la modalità mTLS impostata su STRICT. Il criterio PeerAuthentication a livello di mesh non deve avere un selettore e deve essere applicata nello spazio dei nomi principale, istio-system. Quando esegui il deployment del criterio, il piano di controllo esegue automaticamente il provisioning dei certificati TLS in modo che i carichi di lavoro possano autenticarsi tra loro.

Applica mTLS a livello di mesh:

kubectl apply -f - <<EOF
apiVersion: "security.istio.io/v1beta1"
kind: "PeerAuthentication"
metadata:
  name: "mesh-wide"
  namespace: "istio-system"
spec:
  mtls:
    mode: STRICT
EOF

Risultato previsto:

peerauthentication.security.istio.io/mesh-wide created

Accedi alla boutique online utilizzando l'indirizzo IP esterno del servizio frontend-external e aggiorna la pagina. La pagina non viene visualizzata.
Esegui questo comando per curl il servizio frontend con HTTP normale da un altro pod.
```
kubectl exec testcurl -n default -- curl \
  http://frontend.frontend.svc.cluster.local:80/ -o /dev/null -s -w '%{http_code}\n'
```
La tua richiesta non va a buon fine perché stiamo inviando traffico non criptato dal carico di lavoro senza sidecar in cui viene applicato il criterio peerAuthentication RIGOROSO.

Elimina il criterio mesh-wide:

kubectl delete peerauthentication -n istio-system mesh-wide

Risultato previsto:

peerauthentication.security.istio.io "mesh-wide" deleted

Esegui la pulizia

Per evitare che al tuo account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questo tutorial, elimina il progetto che contiene le risorse oppure mantieni il progetto ed elimina le singole risorse.

Se vuoi evitare addebiti aggiuntivi, elimina il cluster:

gcloud container clusters delete  CLUSTER_NAME  \
    --project=PROJECT_ID \
    --zone=CLUSTER_LOCATION

Se vuoi conservare il cluster e rimuovere l'esempio di Boutique online:

Elimina gli spazi dei nomi dell'applicazione:

kubectl delete -f online-boutique/kubernetes-manifests/namespaces

Risultato previsto:

namespace "ad" deleted
namespace "cart" deleted
namespace "checkout" deleted
namespace "currency" deleted
namespace "email" deleted
namespace "frontend" deleted
namespace "loadgenerator" deleted
namespace "payment" deleted
namespace "product-catalog" deleted
namespace "recommendation" deleted
namespace "shipping" deleted

Elimina le voci di servizio:

kubectl delete -f online-boutique/istio-manifests/allow-egress-googleapis.yaml

Risultato previsto:

serviceentry.networking.istio.io "allow-egress-googleapis" deleted
serviceentry.networking.istio.io "allow-egress-google-metadata" deleted

Passaggi successivi

Per una guida generale sulla configurazione dei criteri PeerAuthentication, consulta Configurare la sicurezza del trasporto.