检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
制如图1所示。 图1 Istio JWT认证流程 ① 客户端连接认证服务,提供用户名和密码; ② 认证服务验证用户名和密码,生成JWT令牌,包括用户标识和过期时间等信息,并使用认证服务的私钥签名; ③ 认证服务向客户端返回生成的JWT令牌; ④ 客户端将收到的JWT令牌存储在本端,供后续请求时使用;
} 创建JWT认证。 登录应用服务网格控制台,单击网格名称,进入网格详情页面。 在左侧导航栏选择“服务管理”,在列表右上方选择服务所在命名空间。 选择httpbin服务,单击操作列的“安全”,在右侧页面选择“JWT认证”页签,单击“立即配置”,在弹出的“JWT认证”页面填写如下信息:
服务管理 配置诊断 手动修复项 自动修复项 父主题: 用户指南(新版)
Istio-ingressgateway高可用性配置指导 网关工作负载 网关Service
续费 续费概述 手动续费 自动续费
未认证的控制面DoS攻击(CVE-2022-23635) 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 披露/发现时间 DoS CVE-2022-23635 2022-02-22 影响评分 7.5 高危 触发场景 简单安装时,Istiod是从集群内获取的,受攻击的可能性小一点。
为集群开通Istio(ASM 2.0) 入门概述 准备工作 购买网格
故障注入:支持配置延时故障和中断故障。 安全 对端认证:对端认证定义了流量如何通过隧道(或者不通过隧道)传输到当前服务的实例,当前支持配置默认模式(UNSET)、宽容模式(PERMISSIVE)和严格模式(STRICT)三种认证策略。 访问授权:访问授权用来实现对网格中服务的访问
虚拟机治理 方案介绍 约束与限制 部署ASM-PROXY 验证服务访问 流量治理 卸载ASM-PROXY
图解应用服务网格
网关管理 添加网关 添加路由 父主题: 用户指南(新版)
1.0企业版网格迁移到基础版 前言 本教程介绍了如何将企业版网格迁移到基础版本网格。您可以根据企业版网格的场景选择不同的迁移方案。版本差异详见基础版、企业版及社区开源版本对比。 费用 企业版网格迁移到基础版网格后,网格将会免费。当前基础版网格不收费。 迁移方案选择 表1 迁移方案
流量治理 虚拟机服务添加网关和路由 虚拟机服务灰度发布 虚拟机服务配置故障注入 父主题: 虚拟机治理
漏洞公告 未认证的控制面DoS攻击(CVE-2022-23635) Istiod TLS证书密钥滥用(CVE-2021-34824)
要撤销密钥证书。在服务间访问时,网格的数据面代理就会代理本地服务和对端进行双向认证、通道加密。这里的双向认证的服务双方可以来自两个不同的集群,从而做到跨集群的透明的端到端双向认证。 细粒度授权:在认证的基础上,就可以进行服务间的访问授权管理,可以控制某个服务,或者服务的一个特定接
安全 配置安全策略 JWT认证原理 在ASM中对入口网关进行JWT请求认证 父主题: 用户指南(新版)
支持对服务间内部通信流量进行治理、支持对服务外网访问流量(即Ingress流量)进行治理 √ √ √ 运行环境支持 支持容器应用治理 √ √ √ 认证 非侵入的双向TLS认证和通道加密 √ √ √ 授权 服务访问授权管理 √ √ √ 灰度发布 支持基于浏览器、操作系统、自定义HTTP Header、
支持对服务间内部通信流量进行治理、支持对服务外网访问流量(即Ingress流量)进行治理 √ √ √ 运行环境支持 支持容器应用治理 √ √ √ 认证 非侵入的双向TLS认证和通道加密 √ √ √ 授权 服务访问授权管理 √ √ √ 灰度发布 支持基于浏览器、操作系统、自定义HTTP Header、
SIVE)的对端认证策略。 严格模式(STRICT) 流量只能通过隧道进行传输,因为请求必须是TLS加密的密文,且必须带有客户端证书。 JWT认证 在服务网格中配置JWT(JSON Web Token)请求授权,可以实现来源认证。在接收用户请求时,该配置用于认证请求头信息中的Access
网关工作负载 滚动升级策略 Pod优雅删除 调度策略 容器资源申请和限制 父主题: Istio-ingressgateway高可用性配置指导
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
