Megosztás a következőn keresztül:


Biztonságos bejövő átjáró az Azure Kubernetes Service Istio service mesh bővítményéhez

A külső vagy belső Istio Bejövő forgalom üzembe helyezése című cikk bemutatja, hogyan konfigurálhat bejövő átjárót a HTTP-szolgáltatás külső/belső forgalom számára való elérhetővé tételéhez. Ez a cikk bemutatja, hogyan teheti elérhetővé a biztonságos HTTPS-szolgáltatást egyszerű vagy kölcsönös TLS használatával.

Előfeltételek

Feljegyzés

Ez a cikk a külső bejövő átjáróra hivatkozik a bemutatóhoz. Ugyanezek a lépések vonatkoznak a kölcsönös TLS konfigurálására a belső bejövő átjáróhoz.

Szükséges ügyfél-/kiszolgálótanúsítványok és kulcsok

Ez a cikk több tanúsítványt és kulcsot igényel. A kedvenc eszközével létrehozhatja őket, vagy használhatja az alábbi openssl parancsokat.

  1. Hozzon létre egy főtanúsítványt és titkos kulcsot a mintaszolgáltatások tanúsítványainak aláírásához:

    mkdir bookinfo_certs
    openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -subj '/O=bookinfo Inc./CN=bookinfo.com' -keyout bookinfo_certs/bookinfo.com.key -out bookinfo_certs/bookinfo.com.crt
    
  2. Tanúsítvány és titkos kulcs létrehozása a következőhöz productpage.bookinfo.com:

    openssl req -out bookinfo_certs/productpage.bookinfo.com.csr -newkey rsa:2048 -nodes -keyout bookinfo_certs/productpage.bookinfo.com.key -subj "/CN=productpage.bookinfo.com/O=product organization"
    openssl x509 -req -sha256 -days 365 -CA bookinfo_certs/bookinfo.com.crt -CAkey bookinfo_certs/bookinfo.com.key -set_serial 0 -in bookinfo_certs/productpage.bookinfo.com.csr -out bookinfo_certs/productpage.bookinfo.com.crt
    
  3. Ügyféltanúsítvány és titkos kulcs létrehozása:

    openssl req -out bookinfo_certs/client.bookinfo.com.csr -newkey rsa:2048 -nodes -keyout bookinfo_certs/client.bookinfo.com.key -subj "/CN=client.bookinfo.com/O=client organization"
    openssl x509 -req -sha256 -days 365 -CA bookinfo_certs/bookinfo.com.crt -CAkey bookinfo_certs/bookinfo.com.key -set_serial 1 -in bookinfo_certs/client.bookinfo.com.csr -out bookinfo_certs/client.bookinfo.com.crt
    

TLS bejövő átjáró konfigurálása

Kubernetes TLS-titkos kód létrehozása a bejövő átjáróhoz; Az Azure Key Vault használatával tanúsítványokat/kulcsokat és Azure Key Vault titkos kulcsok szolgáltatói bővítményt üzemeltethet a titkos kulcsok fürtbe való szinkronizálásához.

Az Azure Key Vault beállítása és titkos kulcsok szinkronizálása a fürtre

  1. Azure Key Vault létrehozása

    Egy Azure Key Vault-erőforrásra van szüksége az Istio bővítmény tanúsítványának és kulcsbemeneteinek megadásához.

    export AKV_NAME=<azure-key-vault-resource-name>  
    az keyvault create --name $AKV_NAME --resource-group $RESOURCE_GROUP --location $LOCATION
    
  2. Engedélyezze az Azure Key Vault-szolgáltatót a Titkos tár CSI-illesztőprogram bővítményéhez a fürtön.

    az aks enable-addons --addons azure-keyvault-secrets-provider --resource-group $RESOURCE_GROUP --name $CLUSTER
    
  3. Engedélyezze a bővítmény felhasználó által hozzárendelt felügyelt identitását az Azure Key Vault-erőforrás hozzáférési szabályzattal való eléréséhez. Másik lehetőségként, ha a Key Vault az Azure RBAC-t használja az engedélymodellhez, kövesse az itt található utasításokat a Key Vault Azure-szerepkörének hozzárendeléséhez a bővítmény felhasználó által hozzárendelt felügyelt identitásához.

    OBJECT_ID=$(az aks show --resource-group $RESOURCE_GROUP --name $CLUSTER --query 'addonProfiles.azureKeyvaultSecretsProvider.identity.objectId' -o tsv | tr -d '\r')
    CLIENT_ID=$(az aks show --resource-group $RESOURCE_GROUP --name $CLUSTER --query 'addonProfiles.azureKeyvaultSecretsProvider.identity.clientId')
    TENANT_ID=$(az keyvault show --resource-group $RESOURCE_GROUP --name $AKV_NAME --query 'properties.tenantId')
    
    az keyvault set-policy --name $AKV_NAME --object-id $OBJECT_ID --secret-permissions get list
    
  4. Titkos kulcsok létrehozása az Azure Key Vaultban a tanúsítványok és kulcsok használatával.

    az keyvault secret set --vault-name $AKV_NAME --name test-productpage-bookinfo-key --file bookinfo_certs/productpage.bookinfo.com.key
    az keyvault secret set --vault-name $AKV_NAME --name test-productpage-bookinfo-crt --file bookinfo_certs/productpage.bookinfo.com.crt
    az keyvault secret set --vault-name $AKV_NAME --name test-bookinfo-crt --file bookinfo_certs/bookinfo.com.crt
    
  5. A secretProviderClass üzembe helyezéséhez használja az alábbi jegyzékfájlt az Azure Key Vault adott paramétereinek a CSI-illesztőprogramhoz való biztosításához.

    cat <<EOF | kubectl apply -f -
    apiVersion: secrets-store.csi.x-k8s.io/v1
    kind: SecretProviderClass
    metadata:
      name: productpage-credential-spc
      namespace: aks-istio-ingress
    spec:
      provider: azure
      secretObjects:
      - secretName: productpage-credential
        type: tls
        data:
        - objectName: test-productpage-bookinfo-key
          key: key
        - objectName: test-productpage-bookinfo-crt
          key: cert
      parameters:
        useVMManagedIdentity: "true"
        userAssignedIdentityID: $CLIENT_ID 
        keyvaultName: $AKV_NAME
        cloudName: ""
        objects:  |
          array:
            - |
              objectName: test-productpage-bookinfo-key
              objectType: secret
              objectAlias: "test-productpage-bookinfo-key"
            - |
              objectName: test-productpage-bookinfo-crt
              objectType: secret
              objectAlias: "test-productpage-bookinfo-crt"
        tenantId: $TENANT_ID
    EOF
    
  6. Minta pod üzembe helyezéséhez használja az alábbi jegyzékfájlt. A titkos tár CSI-illesztőprogramjának podra van szüksége a SecretProviderClass erőforrásra való hivatkozáshoz, hogy biztosítsa a titkos kulcsok szinkronizálását az Azure Key Vaultból a fürtbe.

    cat <<EOF | kubectl apply -f -
    apiVersion: v1
    kind: Pod
    metadata:
      name: secrets-store-sync-productpage
      namespace: aks-istio-ingress
    spec:
      containers:
        - name: busybox
          image: mcr.microsoft.com/oss/busybox/busybox:1.33.1
          command:
            - "/bin/sleep"
            - "10"
          volumeMounts:
          - name: secrets-store01-inline
            mountPath: "/mnt/secrets-store"
            readOnly: true
      volumes:
        - name: secrets-store01-inline
          csi:
            driver: secrets-store.csi.k8s.io
            readOnly: true
            volumeAttributes:
              secretProviderClass: "productpage-credential-spc"
    EOF
    
    • Ellenőrizze a SecretProviderClass erőforrásban definiált fürtnévtéren aks-istio-ingress létrehozott titkos kódokatproductpage-credential.

      kubectl describe secret/productpage-credential -n aks-istio-ingress
      

      Példa a kimenetre:

      Name:         productpage-credential
      Namespace:    aks-istio-ingress
      Labels:       secrets-store.csi.k8s.io/managed=true
      Annotations:  <none>
      
      Type:  tls
      
      Data
      ====
      cert:  1066 bytes
      key:   1704 bytes
      

Bejövő átjáró és virtuális szolgáltatás konfigurálása

A HTTPS-forgalom átirányítása az Istio bejövő átjárón keresztül a mintaalkalmazásokhoz. Az átjáró- és virtuálisszolgáltatás-erőforrások üzembe helyezéséhez használja az alábbi jegyzékfájlt.

cat <<EOF | kubectl apply -f -
apiVersion: networking.istio.io/v1beta1
kind: Gateway
metadata:
  name: bookinfo-gateway
spec:
  selector:
    istio: aks-istio-ingressgateway-external
  servers:
  - port:
      number: 443
      name: https
      protocol: HTTPS
    tls:
      mode: SIMPLE
      credentialName: productpage-credential
    hosts:
    - productpage.bookinfo.com
---
apiVersion: networking.istio.io/v1beta1
kind: VirtualService
metadata:
  name: productpage-vs
spec:
  hosts:
  - productpage.bookinfo.com
  gateways:
  - bookinfo-gateway
  http:
  - match:
    - uri:
        exact: /productpage
    - uri:
        prefix: /static
    - uri:
        exact: /login
    - uri:
        exact: /logout
    - uri:
        prefix: /api/v1/products
    route:
    - destination:
        port:
          number: 9080
        host: productpage
EOF

Feljegyzés

Az átjáró definíciójában meg kell egyeznie a secretName SecretProviderClass erőforrással, credentialName és selector a címkéje alapján kell hivatkoznia a külső bejövő átjáróra, amelyben a címke kulcsa és istio az érték.aks-istio-ingressgateway-external A belső bejövő átjáró címkéje és istio értéke .aks-istio-ingressgateway-internal

Környezeti változók beállítása külső bejövő gazdagéphez és portokhoz:

export INGRESS_HOST_EXTERNAL=$(kubectl -n aks-istio-ingress get service aks-istio-ingressgateway-external -o jsonpath='{.status.loadBalancer.ingress[0].ip}')
export SECURE_INGRESS_PORT_EXTERNAL=$(kubectl -n aks-istio-ingress get service aks-istio-ingressgateway-external -o jsonpath='{.spec.ports[?(@.name=="https")].port}')
export SECURE_GATEWAY_URL_EXTERNAL=$INGRESS_HOST_EXTERNAL:$SECURE_INGRESS_PORT_EXTERNAL

echo "https://$SECURE_GATEWAY_URL_EXTERNAL/productpage"

Ellenőrzés

HTTPS-kérés küldése a productpage szolgáltatás HTTPS-kapcsolaton keresztüli eléréséhez:

curl -s -HHost:productpage.bookinfo.com --resolve "productpage.bookinfo.com:$SECURE_INGRESS_PORT_EXTERNAL:$INGRESS_HOST_EXTERNAL" --cacert bookinfo_certs/bookinfo.com.crt "https://productpage.bookinfo.com:$SECURE_INGRESS_PORT_EXTERNAL/productpage" | grep -o "<title>.*</title>"

Ellenőrizze, hogy a mintaalkalmazás termékoldala elérhető-e. A várt kimenet a következő:

<title>Simple Bookstore App</title>

Feljegyzés

A HTTPS-szolgáltatások https-bejövő hozzáférésének konfigurálásához, azaz egy bejövő átjáró konfigurálásához a bejövő kérések TLS-leállítása helyett SNI-átengedést hajt végre, frissítse a tls módot az átjáródefinícióban PASSTHROUGH. Ez arra utasítja az átjárót, hogy a TLS megszüntetése nélkül adja át a bejövő forgalmat a "ahogy van".

Kölcsönös TLS bejövő átjáró konfigurálása

Bővítse ki az átjáródefiníciót a kölcsönös TLS támogatásához.

  1. Frissítse a bejövő átjáró hitelesítő adatait az aktuális titkos kód törlésével és egy új létrehozásával. A kiszolgáló a hitelesítésszolgáltatói tanúsítványt használja az ügyfelek ellenőrzéséhez, és a ca.crt kulcs használatával kell tárolni a hitelesítésszolgáltatói tanúsítványt.

    kubectl delete secretproviderclass productpage-credential-spc -n aks-istio-ingress
    kubectl delete secret/productpage-credential -n aks-istio-ingress
    kubectl delete pod/secrets-store-sync-productpage -n aks-istio-ingress
    

    A következő jegyzék használatával hozza létre újra a SecretProviderClass tanúsítványt ca-tanúsítvánnyal.

    cat <<EOF | kubectl apply -f -
    apiVersion: secrets-store.csi.x-k8s.io/v1
    kind: SecretProviderClass
    metadata:
      name: productpage-credential-spc
      namespace: aks-istio-ingress
    spec:
      provider: azure
      secretObjects:
      - secretName: productpage-credential
        type: opaque
        data:
        - objectName: test-productpage-bookinfo-key
          key: tls.key
        - objectName: test-productpage-bookinfo-crt
          key: tls.crt
        - objectName: test-bookinfo-crt
          key: ca.crt
      parameters:
        useVMManagedIdentity: "true"
        userAssignedIdentityID: $CLIENT_ID 
        keyvaultName: $AKV_NAME
        cloudName: ""
        objects:  |
          array:
            - |
              objectName: test-productpage-bookinfo-key
              objectType: secret
              objectAlias: "test-productpage-bookinfo-key"
            - |
              objectName: test-productpage-bookinfo-crt
              objectType: secret
              objectAlias: "test-productpage-bookinfo-crt"
            - |
              objectName: test-bookinfo-crt
              objectType: secret
              objectAlias: "test-bookinfo-crt"
        tenantId: $TENANT_ID
    EOF
    

    Az alábbi jegyzék használatával újra üzembe helyezheti a minta podot az Azure Key Vault titkos kulcsainak fürtbe való szinkronizálásához.

    cat <<EOF | kubectl apply -f -
    apiVersion: v1
    kind: Pod
    metadata:
      name: secrets-store-sync-productpage
      namespace: aks-istio-ingress
    spec:
      containers:
        - name: busybox
          image: registry.k8s.io/e2e-test-images/busybox:1.29-4
          command:
            - "/bin/sleep"
            - "10"
          volumeMounts:
          - name: secrets-store01-inline
            mountPath: "/mnt/secrets-store"
            readOnly: true
      volumes:
        - name: secrets-store01-inline
          csi:
            driver: secrets-store.csi.k8s.io
            readOnly: true
            volumeAttributes:
              secretProviderClass: "productpage-credential-spc"
    EOF
    
    • Ellenőrizze a fürt névterében aks-istio-ingresslétrehozott titkos kódokatproductpage-credential.

      kubectl describe secret/productpage-credential -n aks-istio-ingress
      

      Példa a kimenetre:

      Name:         productpage-credential
      Namespace:    aks-istio-ingress
      Labels:       secrets-store.csi.k8s.io/managed=true
      Annotations:  <none>
      
      Type:  opaque
      
      Data
      ====
      ca.crt:   1188 bytes
      tls.crt:  1066 bytes
      tls.key:  1704 bytes
      
  2. Az alábbi jegyzék használatával frissítse az átjáródefiníciót, hogy a TLS módot AZ KÖLCSÖNÖS értékre állítsa.

    cat <<EOF | kubectl apply -f -
    apiVersion: networking.istio.io/v1beta1
    kind: Gateway
    metadata:
      name: bookinfo-gateway
    spec:
      selector:
        istio: aks-istio-ingressgateway-external # use istio default ingress gateway
      servers:
      - port:
          number: 443
          name: https
          protocol: HTTPS
        tls:
          mode: MUTUAL
          credentialName: productpage-credential # must be the same as secret
        hosts:
        - productpage.bookinfo.com
    EOF
    

Ellenőrzés

Próbáljon meg HTTPS-kérést küldeni a korábbi megközelítéssel – az ügyféltanúsítvány átadása nélkül –, és tekintse meg, hogy nem sikerül.

curl -v -HHost:productpage.bookinfo.com --resolve "productpage.bookinfo.com:$SECURE_INGRESS_PORT_EXTERNAL:$INGRESS_HOST_EXTERNAL" --cacert bookinfo_certs/bookinfo.com.crt "https://productpage.bookinfo.com:$SECURE_INGRESS_PORT_EXTERNAL/productpage" 

Példa a kimenetre:


...
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* TLSv1.3 (IN), TLS alert, unknown (628):
* OpenSSL SSL_read: error:0A00045C:SSL routines::tlsv13 alert certificate required, errno 0
* Failed receiving HTTP2 data
* OpenSSL SSL_write: SSL_ERROR_ZERO_RETURN, errno 0
* Failed sending HTTP2 data
* Connection #0 to host productpage.bookinfo.com left intact
curl: (56) OpenSSL SSL_read: error:0A00045C:SSL routines::tlsv13 alert certificate required, errno 0

Adja át az ügyfél tanúsítványát a jelölővel és a --cert titkos kulccsal a jelölővel a --key curlhez.

curl -s -HHost:productpage.bookinfo.com --resolve "productpage.bookinfo.com:$SECURE_INGRESS_PORT_EXTERNAL:$INGRESS_HOST_EXTERNAL" --cacert bookinfo_certs/bookinfo.com.crt --cert bookinfo_certs/client.bookinfo.com.crt --key bookinfo_certs/client.bookinfo.com.key "https://productpage.bookinfo.com:$SECURE_INGRESS_PORT_EXTERNAL/productpage" | grep -o "<title>.*</title>"

Ellenőrizze, hogy a mintaalkalmazás termékoldala elérhető-e. A várt kimenet a következő:

<title>Simple Bookstore App</title>

Erőforrások törlése

Ha törölni szeretné az Istio szolgáltatáshálót és a bejövő forgalmat (a fürt mögött hagyva), futtassa a következő parancsot:

az aks mesh disable --resource-group ${RESOURCE_GROUP} --name ${CLUSTER}

Ha törölni szeretné az Istio útmutató dokumentumaiból létrehozott összes erőforrást, futtassa a következő parancsot:

az group delete --name ${RESOURCE_GROUP} --yes --no-wait