检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Istiod TLS证书密钥滥用(CVE-2021-34824) 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 披露/发现时间 TLS证书密钥滥用 CVE-2021-34824 2021-06-24 影响评分 9.1 高危 触发场景 同时满足下列三个条件: Istio版本为1
配置安全策略 ASM提供的安全功能主要分为访问授权、对端认证和JWT认证,以确保服务间通信的可靠性。 操作步骤 登录应用服务网格控制台,单击服务网格的名称,进入网格详情页面。 在左侧导航栏选择“服务管理”,在列表右上方选择服务所在命名空间。 选择一个服务,单击操作列的“安全”,在右侧页面进行访问授权和对端认证配置。
非侵入安全:应用服务网格是以一种安全基础设施的方式向用户提供透明的安全能力,让不涉及安全问题的代码安全运行,让不太懂安全的人可以开发和运维安全的服务,不用修改业务代码就能提供服务访问安全。应用服务网格提供了一个透明的分布式安全层,并提供了底层安全的通信通道,管理服务通信的认证、授权和加密,提供Pod到Po
安全 配置安全策略 JWT认证原理 在ASM中对入口网关进行JWT请求认证 父主题: 用户指南(新版)
认证服务验证用户名和密码,生成JWT令牌,包括用户标识和过期时间等信息,并使用认证服务的私钥签名; ③ 认证服务向客户端返回生成的JWT令牌; ④ 客户端将收到的JWT令牌存储在本端,供后续请求时使用; ⑤ 客户端在向其他服务发起请求时携带JWT令牌,无需再提供用户名、密码等信息; ⑥ 网格数据面代理拦截到流量,使用配置的公钥验证JWT令牌;
1.3版本特性 基于Mixer的Metric、访问日志和调用链 支持SDS,证书轮换无需重启Pod 支持Sidecar API 控制面性能优化 华为私有版本Virtual Service Delegation上线,提前为大客户提供解耦Gateway流量配置 支持v1.13、v1.15、v1
在左侧导航栏选择“服务管理”,在列表右上方选择服务所在命名空间。 选择httpbin服务,单击操作列的“安全”,在右侧页面选择“JWT认证”页签,单击“立即配置”,在弹出的“JWT认证”页面填写如下信息: 发行者:JWT的颁发者,本文设置为“test”。 令牌受众:JWT受众列表,设置哪些服务可以使用JWT
管理、服务运行监控、服务访问安全以及服务发布能力。 ASM控制面和数据面均和开源Istio完全兼容,无缝对接华为云的企业级Kubernetes集群服务云容器引擎CCE,可为客户提供开箱即用的上手体验。 什么是Istio Istio是一个提供连接、保护、控制以及观测功能的开放平台,
通,可能是因为未放通安全组规则导致的,需要按照本文指导配置安全组规则,有如下两种场景: CCE集群服务访问CCE集群服务,需要为集群的Node安全组入方向放通对方集群的容器网段。 CCE集群服务访问CCE Turbo集群服务,需要为Turbo集群的ENI安全组入方向放通CCE集群的容器网段。
应用流量治理提供可视化云原生应用的网络状态监控,并实现在线的网络连接和安全策略的管理和配置,当前支持连接池、熔断、负载均衡、HTTP头域、故障注入等能力。 连接池管理 配置TCP和HTTP的连接和请求池相关阈值,保护目标服务,避免对服务的过载访问。 熔断 配置快速响应和隔离服务访问故
使用说明 对灰度版本的相关基本操作,其原理是修改Istio的destinationrule和virtualservice两个资源的配置信息,修改完成后,需要等待10秒左右,新的策略规则才会生效。 为灰度版本添加灰度策略 如果您在添加灰度版本时,未配置灰度策略,可以基于以下步骤创建策略。
已经创建和原网格网关同规格的ELB实例。 创建Ingress资源 证书secret从istio-system空间迁移到业务命令空间,可使用如下命令: kubectl -nistio-system get secret {证书名} -oyaml > /tmp/{证书名}.yaml 进行如下修改: kubectl
漏洞公告 未认证的控制面DoS攻击(CVE-2022-23635) Istiod TLS证书密钥滥用(CVE-2021-34824)
常。 集群启用Istio时,需要开通node节点(计算节点/工作节点)所在安全组的入方向7443端口规则,用于Sidecar自动注入回调。如果您使用CCE创建的默认安全组,此端口会自动开通。如果您自建安全组规则,请手动开通7443端口,以确保Istio自动注入功能正常。 1.13和1
productpage:会调用details和reviews两个服务,用来生成页面。 details:包含了书籍的信息。 reviews:包含了书籍相关的评论,同时会调用ratings服务。 ratings:包含了由书籍评价组成的评级信息。 其中,reviews服务有3个版本: v1(1.17.0)版本不会调用ratings服务。
对外协议为TLS时,可选择开启/关闭TLS终止。开启TLS终止时需要绑定证书,以支持TLS数据传输加密认证;关闭TLS终止时,网关将直接转发加密的TLS数据。 密钥证书 配置TLS协议并开启TLS时,需要绑定证书,以支持TLS数据传输加密认证。 配置HTTPS协议时,需要绑定密钥证书。 TLS最低版本/TLS最高版本
、大型活动策划等,包年/包月计费模式可以确保在整个项目周期内资源的稳定使用。 数据安全要求高:对于对数据安全性要求较高的业务,包年/包月计费模式可确保资源的持续使用,降低因资源欠费而导致的数据安全风险。 适用计费项 网格管理规模,指服务网格可管理的最大实例数(Pod个数)。 计费周期
集群中不能存在名称相同的不同服务。 加入网格后,会修改集群安全组规则,以保证服务能被其他集群访问。 配置完成后,勾选“我已阅读以下内容”,单击“确定”。 配置服务网关 服务网关在微服务实践中可以做到统一接入、流量管控、安全防护、业务隔离等功能。 创建服务网关前,请提前创建好弹性负
超时时间(s) HTTP请求超时时间 0.001-2592000 连接池 目的是断开超过阈值的连接和请求,保护目标服务。连接池设置应用于上游服务的每个实例,可以应用在TCP级别和HTTP级别。更多信息请参照Circuit breaker。 选择“连接池”页签,单击“立即配置”,在弹出对话框中,根据实际需求配置如下参数:
虚拟机需放通安全组,入方向需添加到<cluster-name>-cce-control安全组的规则,否则ping不通Pod IP。 获取根证书 通过kubectl访问CCE集群。 登录云容器引擎控制台,在“集群管理”页面单击集群名称,进入集群详情页。 在“连接信息”区域找到ku
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
