ICode9
精准搜索请尝试: 精确搜索
首页
编程语言>
数据库
系统相关
互联网
其他分享
Python
Java
JavaScript
android
PHP
首页 > 其他分享> 文章详细

idou老师教你学istio 21:基于角色的访问控制

2019-02-18 19:55:27  阅读:347  来源: 互联网

标签:服务 21 idou viewer istio bookinfo reviews 访问控制 productpage


istio的授权功能,也称为基于角色的访问控制(RBAC),它为istio服务网格中的服务提供命名空间级别、服务级别和方法级别的访问控制。基于角色的访问控制具有简单易用、灵活和高性能等特性。本文介绍如何在服务网格中为服务进行授权控制。

·前置条件·

•安装istio的k8s集群,启用认证功能、双向TLS认证

•部署bookinfo示例应用

下面基于bookinfo应用实例具体介绍如何启用授权并配置访问控制策略:

  1. 创建service accout,启用访问控制

我们在service account的基础上启用访问控制,为了给不同的微服务授予不同的访问权限,需要建立不同的service account,在本例中:

idou老师教你学istio 21:基于角色的访问控制

创建Service account: bookinfo-productpage,并用它部署 productpage;

创建 Service account:bookinfo-reviews,并用它部署 reviews(其中包含 reviews-v2 和 reviews-v3 两个版本)。

清理所有现存RBAC规则:

idou老师教你学istio 21:基于角色的访问控制

此时,用浏览器打开bookinfo的productpage页面,会看到:

idou老师教你学istio 21:基于角色的访问控制

  1. 启用Istio授权

使用 RbacConfig 对象启用 Istio Authorization:

idou老师教你学istio 21:基于角色的访问控制

idou老师教你学istio 21:基于角色的访问控制

此时,bookinfo的productpage页面,会看到:

idou老师教你学istio 21:基于角色的访问控制

  1. 设置命名空间级的访问控制

idou老师教你学istio 21:基于角色的访问控制

这一策略创建service-viewer 的 ServiceRole,通过constraints指定了允许访问的服务范围:

idou老师教你学istio 21:基于角色的访问控制

创建 ServiceRoleBinding 对象,用来把 service-viewer 角色指派给所有 istio-system 和 default 命名空间的服务:

idou老师教你学istio 21:基于角色的访问控制

用浏览器打开bookinfo的productpage页面,会看到完整的页面:

idou老师教你学istio 21:基于角色的访问控制

  1. 配置服务级的访问控制

清除命名空间级的访问控制

idou老师教你学istio 21:基于角色的访问控制

下面在bookinfo中逐步为服务加入访问:

1) 允许到productpage服务的访问

idou老师教你学istio 21:基于角色的访问控制

这条策略中创建了名称为 productpage-viewer的ServiceRole,它允许到 productpage 服务的读取访问,并创建命名为 productpage-viewer的 ServiceRole,将 productpage-viewer 角色赋予给所有用户和服务

idou老师教你学istio 21:基于角色的访问控制

此时,用浏览器打开bookinfo的productpage页面,会显示 Error fetching product details 和 Error fetching product reviews 的错误信息:

idou老师教你学istio 21:基于角色的访问控制
出现上述现象是因为我们还没有给productpage授权访问details 和 reviews 服务,下面两步修复这个问题。

2) 允许对details和reviews服务的访问

idou老师教你学istio 21:基于角色的访问控制

details-reviews-viewer:允许对 details 和 reviews 服务进行只读访问

bind-details-review: 把 details-reviews-viewer 角色授予给productpage 服务的 Service account

idou老师教你学istio 21:基于角色的访问控制
3) 允许对ratings服务的访问

idou老师教你学istio 21:基于角色的访问控制

ratings-viewer: 允许对ratings服务的访问

rind-ratings: 将ratings-viewer角色指派给bookinfo-reviews这个Service account

idou老师教你学istio 21:基于角色的访问控制

此时,用浏览器打开bookinfo的productpage页面,会看到完整的页面。

总结:通过上述步骤,我们可以快捷的启用授权功能,并灵活定制访问控制策略来满足不同的安全访问需求。

相关服务请访问https://support.huaweicloud.com/cce/index.html?cce_helpcenter_2019

标签:服务,21,idou,viewer,istio,bookinfo,reviews,访问控制,productpage
来源: http://blog.51cto.com/14051317/2351491

本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享;
2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关;
3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关;
4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除;
5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

关于我们 | 联系我们 | 留言反馈

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有