检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
安全 配置安全策略 JWT认证原理 在ASM中对入口网关进行JWT请求认证 父主题: 用户指南(新版)
配置安全策略 ASM提供的安全功能主要分为访问授权、对端认证和JWT认证,以确保服务间通信的可靠性。 操作步骤 登录应用服务网格控制台,单击服务网格的名称,进入网格详情页面。 在左侧导航栏选择“服务管理”,在列表右上方选择服务所在命名空间。 选择一个服务,单击操作列的“安全”,在右侧页面进行访问授权和对端认证配置。
非侵入安全:应用服务网格是以一种安全基础设施的方式向用户提供透明的安全能力,让不涉及安全问题的代码安全运行,让不太懂安全的人可以开发和运维安全的服务,不用修改业务代码就能提供服务访问安全。应用服务网格提供了一个透明的分布式安全层,并提供了底层安全的通信通道,管理服务通信的认证、授权和加密,提供Pod到Po
认证服务验证用户名和密码,生成JWT令牌,包括用户标识和过期时间等信息,并使用认证服务的私钥签名; ③ 认证服务向客户端返回生成的JWT令牌; ④ 客户端将收到的JWT令牌存储在本端,供后续请求时使用; ⑤ 客户端在向其他服务发起请求时携带JWT令牌,无需再提供用户名、密码等信息; ⑥ 网格数据面代理拦截到流量,使用配置的公钥验证JWT令牌;
通,可能是因为未放通安全组规则导致的,需要按照本文指导配置安全组规则,有如下两种场景: CCE集群服务访问CCE集群服务,需要为集群的Node安全组入方向放通对方集群的容器网段。 CCE集群服务访问CCE Turbo集群服务,需要为Turbo集群的ENI安全组入方向放通CCE集群的容器网段。
在左侧导航栏选择“服务管理”,在列表右上方选择服务所在命名空间。 选择httpbin服务,单击操作列的“安全”,在右侧页面选择“JWT认证”页签,单击“立即配置”,在弹出的“JWT认证”页面填写如下信息: 发行者:JWT的颁发者,本文设置为“test”。 令牌受众:JWT受众列表,设置哪些服务可以使用JWT
管理、服务运行监控、服务访问安全以及服务发布能力。 ASM控制面和数据面均和开源Istio完全兼容,无缝对接华为云的企业级Kubernetes集群服务云容器引擎CCE,可为客户提供开箱即用的上手体验。 什么是Istio Istio是一个提供连接、保护、控制以及观测功能的开放平台,
超时时间(s) HTTP请求超时时间 0.001-2592000 连接池 目的是断开超过阈值的连接和请求,保护目标服务。连接池设置应用于上游服务的每个实例,可以应用在TCP级别和HTTP级别。更多信息请参照Circuit breaker。 选择“连接池”页签,单击“立即配置”,在弹出对话框中,根据实际需求配置如下参数:
应用流量治理提供可视化云原生应用的网络状态监控,并实现在线的网络连接和安全策略的管理和配置,当前支持连接池、熔断、负载均衡、HTTP头域、故障注入等能力。 连接池管理 配置TCP和HTTP的连接和请求池相关阈值,保护目标服务,避免对服务的过载访问。 熔断 配置快速响应和隔离服务访问故
添加网关 服务网关在微服务实践中可以做到统一接入、流量管控、安全防护、业务隔离等功能。 前提条件 服务网关使用弹性负载均衡服务(ELB)的负载均衡器提供网络访问,因此在添加网关前,请提前创建负载均衡。 创建负载均衡时,需要确保所属VPC与集群的VPC一致,详情请参见创建独享型负载
动态修改服务间访问的负载均衡策略,比如配置一致性哈希将流量转发到特定的服务实例上; 同一个服务有两个版本在线,将一部分流量切到某个版本上; 服务保护,如限制并发连接数、限制请求数、隔离有故障的服务实例等; 动态修改服务中的内容,或者模拟一个服务运行故障等。 应用服务网格ASM当前支持重
动态修改服务间访问的负载均衡策略,如配置一致性哈希将流量转发到特定的服务实例上。 同一个服务有两个版本在线,将一部分流量切到某个版本上。 对服务进行保护,例如限制并发连接数、限制请求数、隔离故障服务实例等。 动态修改服务中的内容,或者模拟一个服务运行故障等。 价值 在Istio中实现这些服务治理功能时无须修改任何应用的代码。
、大型活动策划等,包年/包月计费模式可以确保在整个项目周期内资源的稳定使用。 数据安全要求高:对于对数据安全性要求较高的业务,包年/包月计费模式可确保资源的持续使用,降低因资源欠费而导致的数据安全风险。 适用计费项 网格管理规模,指服务网格可管理的最大实例数(Pod个数)。 计费周期
您的浏览器会提示您下载或自动下载私钥文件。文件名是您为密钥对指定的名称,文件扩展名为“.pem”。请将私钥文件保存在安全位置。然后在系统弹出的提示框中单击“确定”。 为保证安全,私钥只能下载一次,请妥善保管,否则将无法登录节点。 创建负载均衡 弹性负载均衡将作为服务网格对外访问入口,被
常。 集群启用Istio时,需要开通node节点(计算节点/工作节点)所在安全组的入方向7443端口规则,用于Sidecar自动注入回调。如果您使用CCE创建的默认安全组,此端口会自动开通。如果您自建安全组规则,请手动开通7443端口,以确保Istio自动注入功能正常。 1.13和1
productpage:会调用details和reviews两个服务,用来生成页面。 details:包含了书籍的信息。 reviews:包含了书籍相关的评论,同时会调用ratings服务。 ratings:包含了由书籍评价组成的评级信息。 其中,reviews服务有3个版本: v1(1.17.0)版本不会调用ratings服务。
23、v1.25、v1.27 CCE集群版本 修复了 CVE-2023-44487、CVE-2023-39325、CVE-2023-27487 等安全漏洞 详细内容请参阅:https://istio.io/latest/news/releases/1.15.x/announcing-1.15
您的浏览器会提示您下载或自动下载私钥文件。文件名是您为密钥对指定的名称,文件扩展名为“.pem”。请将私钥文件保存在安全位置。然后在系统弹出的提示框中单击“确定”。 为保证安全,私钥只能下载一次,请妥善保管,否则将无法登录节点。 创建负载均衡 弹性负载均衡将作为服务网格对外访问入口,被
Turbo集群混合多集群场景,CCE集群服务访问Turbo集群服务时,需要为Turbo集群的ENI安全组入方向放通CCE集群的容器网段,否则会访问不通。具体操作请参见CCE集群服务访问CCE Turbo集群服务时,如何配置安全组规则?。 操作步骤 登录应用服务网格控制台,使用以下任意一种方式进入添加集群页面。
ASM用户委托权限收缩指南 背景介绍 应用服务网格权限管理是通过IAM统一身份认证里的委托实现的,而2024年7月前已进行授权的用户可能存在委托权限过大的问题,鉴于安全考虑,建议通过下文指导进行委托的权限收缩。 操作步骤 登录IAM控制台。 在左侧菜单栏单击委托,在搜索框中,搜索asm_admin_trust
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
