检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
JWT认证原理 JWT认证原理 JWT(Json Web Token)是一种服务端向客户端发放令牌的认证方式。
在ASM中对入口网关进行JWT请求认证 本文介绍如何在ASM中对入口网关进行JWT请求认证,确保用户在通过入口网关访问服务时,必须带有可信赖的Access Token。 准备工作 已创建一个1.13或1.15或1.18版本网格。
在服务间访问时,网格的数据面代理就会代理本地服务和对端进行双向认证、通道加密。这里的双向认证的服务双方可以来自两个不同的集群,从而做到跨集群的透明的端到端双向认证。 细粒度授权:在认证的基础上,就可以进行服务间的访问授权管理,可以控制某个服务,或者服务的一个特定接口进行授权管理。
JWT认证的原理及应用示例请参见JWT认证原理和在ASM中对入口网关进行JWT请求认证。 父主题: 安全
根本原因 15012端口接收的请求不需要认证信息即可被Istiod处理,在大量向Istiod该端口发送请求时会导致Istiod服务不可用。
如何搭建IPv4/IPv6双栈网格 当前CCE支持创建IPv4/IPv6双栈集群,在双栈集群基础上支持开启IPv4/IPv6网格。启用双栈网格后,服务拥有 IPv4地址和IPv6地址,通过这两个地址都可以进行服务间的访问。
服务安全认证、鉴权、审计等,提供服务安全保障基石。 图形化应用全景拓扑,流量治理可视化 应用服务网格提供了可视化的流量监控,链路健康状态、异常响应、超长响应时延、流量状态信息拓扑等一目了然。
安全 配置安全策略 JWT认证原理 在ASM中对入口网关进行JWT请求认证 父主题: 用户指南(新版)
ASM用户委托权限收缩指南 背景介绍 应用服务网格权限管理是通过IAM统一身份认证里的委托实现的,而2024年7月前已进行授权的用户可能存在委托权限过大的问题,鉴于安全考虑,建议通过下文指导进行委托的权限收缩。 操作步骤 登录IAM控制台。
开启TLS终止时需要绑定证书,以支持TLS数据传输加密认证;关闭TLS终止时,网关将直接转发加密的TLS数据。 密钥证书 配置TLS协议并开启TLS时,需要绑定证书,以支持TLS数据传输加密认证。 配置HTTPS协议时,需要绑定密钥证书。
安全 对端认证:对端认证定义了流量如何通过隧道(或者不通过隧道)传输到当前服务的实例,当前支持配置默认模式(UNSET)、宽容模式(PERMISSIVE)和严格模式(STRICT)三种认证策略。
如果您开启了TLS认证,则必须填写证书内认证域名,以完成SNI域名校验。 URL匹配规则 前缀匹配:例如映射URL为/healthz,只要符合此前缀的URL均可访问。例如/healthz/v1,/healthz/v2。 完全匹配:只有完全匹配上才能生效。
PeerAuthentication Istio的认证策略包含PeerAuthentication和RequestAuthentication,PeerAuthentication策略用于配置服务通信的mTLS模式。
表1 常用的网格功能和其执行位置 网格功能 治理位置 服务发起方 服务提供方 路由管理 Y N 负载均衡 Y N 调用链分析 Y Y 服务认证 Y Y 可观测性数据 Y Y 重试 Y N 重写 Y N 重定向 Y N 授权 N Y 故障注入 Y N 超时 Y N 连接池 Y N 熔断
如需使用企业项目,账号必须为企业实名认证,且已开通企业项目。更多信息请参见如何开通企业项目。 Istio版本 基础版网格支持的Istio版本。
非侵入的双向TLS认证和通道加密 √ √ √ 授权 服务访问授权管理 √ √ √ 灰度发布 支持基于浏览器、操作系统、自定义HTTP Header、Cookie内容等配置灰度分流策略,支持基于URL配置灰度分流策略,支持基于请求参数、流量权重的灰度发布 √ √ √ 支持金丝雀灰度发布模板
非侵入的双向TLS认证和通道加密 √ √ √ 授权 服务访问授权管理 √ √ √ 灰度发布 支持基于浏览器、操作系统、自定义HTTP Header、Cookie内容等配置灰度分流策略,支持基于URL配置灰度分流策略,支持基于请求参数、流量权重的灰度发布 √ √ √ 支持金丝雀灰度发布模板
创建密钥对 新建一个密钥对,用于远程登录节点时的身份认证。 登录数据加密服务DEW控制台。 选择左侧导航中的“密钥对管理”,单击“创建密钥对”。 输入密钥对名称,单击“确定”。
创建密钥对 新建一个密钥对,用于远程登录节点时的身份认证。 登录数据加密服务DEW控制台。 选择左侧导航中的“密钥对管理”,单击“创建密钥对”。 输入密钥对名称,单击“确定”。
漏洞公告 未认证的控制面DoS攻击(CVE-2022-23635) Istiod TLS证书密钥滥用(CVE-2021-34824)
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
