文档中心
search
Loading
close
开始
解决方案
云基础设施解决方案
云原生基础设施解决方案
云产品
计算
存储
网络
云原生
云安全
云资源管理
成本分析
监控与运维
数字原生引擎EOS
产品总览
快速入门
用户指南
最佳实践
更多
全部文档
服务网格 v1.0.1 最新 arrow-down
文档中心 bread 服务网格 bread v1.0.1 bread 用户指南 bread 认证

认证

time 更新时间:2024-02-05 14:41:14
share 分享
pdf 查看PDF

本章节主要介绍在服务网格,如何实现连接认证能力

操作场景

希望限制访问生产环境(base namespace)下所有服务间的访问必须开启双向认证 mTLS,以防御中间人攻击。

服务网格中服务间通信模式默认为 PERMISSIVE 宽容模式,即服务间的通信既可以使用 mTLS 加密,也可以使用 plaintext 明文连接。

此时在容器服务控制台登录 client 容器,使用明文连接对生产环境(base namespace)product 服务发起请求:curl http://product.base.svc.cluster.local/,此时明文连接也可正常访问 product 服务

部署

限制 base namespace 下的服务间通信必须采用 mTLS 模式可以通过 PeerAuthentication 策略设置 mTLS 模式为 STRICT 完成

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: base-strict
  namespace: base
spec:
  mtls:
    mode: STRICT
此篇文章对你是否有帮助?
没帮助
locked-file

您暂无权限访问该产品