基于 JWT 授权

    在开始这个任务之前,请先完成以下操作:

    • 阅读授权和的相关内容。

    • 参照 Istio 安装向导 安装 Istio。

    • 部署两个工作负载(workload): 和 sleep。将它们部署在同一个命名空间中,例如 foo。每个工作负载都在前面运行一个 Envoy 代理。 你可以使用以下命令来部署它们:

      Zip

    • 使用下面的命令验证 sleep 能够正常访问 httpbin 服务:

      1. $ kubectl exec $(kubectl get pod -l app=sleep -n foo -o jsonpath={.items..metadata.name}) -c sleep -n foo -- curl http://httpbin.foo:8000/ip -s -o /dev/null -w "%{http_code}\n"
      2. 200

    如果你没有看到预期的输出,过几秒再试。缓存和策略传播可能造成延迟。

    1. 以下命令为 foo 命名空间下的 httpbin 工作负载创建一个名为 jwt-example 的身份验证策略。这个策略使得 httpbin 工作负载接收 Issuer 为 testing@secure.istio.io 的 JWT 令牌:

      1. $ kubectl apply -f - <<EOF
      2. apiVersion: "security.istio.io/v1beta1"
      3. kind: "RequestAuthentication"
      4. metadata:
      5.   name: "jwt-example"
      6.   namespace: foo
      7. spec:
      8.   selector:
      9.     matchLabels:
      10.       app: httpbin
      11.   jwtRules:
      12.   - issuer: "testing@secure.istio.io"
      13.     jwksUri: "https://raw.githubusercontent.com/istio/istio/release-1.8/security/tools/jwt/samples/jwks.json"
      14. EOF

    2. 验证使用无效 JWT 的请求被拒绝:

      1. 401

    4. 以下命令为 foo 命名空间下的 httpbin 工作负载创建一个名为 require-jwt 的授权策略。 这个策略要求所有发往 httpbin 服务的请求都要包含一个将 设置为 testing@secure.istio.io/testing@secure.istio.io 的有效 JWT。Istio 使用 / 连接 JWT 令牌的 isssub 以组成 requestPrincipal 字段。

      1. $ kubectl apply -f - <<EOF
      2. apiVersion: security.istio.io/v1beta1
      3. kind: AuthorizationPolicy
      4. metadata:
      5.   name: require-jwt
      6.   namespace: foo
      7. spec:
      8.   selector:
      9.     matchLabels:
      10.       app: httpbin
      11.   action: ALLOW
      12.   rules:
      13.   - from:
      14.     - source:
      15.        requestPrincipals: ["testing@secure.istio.io/testing@secure.istio.io"]
      16. EOF

    5. 获取 isssub 都为 testing@secure.istio.io 的 JWT。这会让 Istio 生成的 requestPrincipal 属性值为 testing@secure.istio.io/testing@secure.istio.io

      1. $ TOKEN=$(curl https://raw.githubusercontent.com/istio/istio/release-1.8/security/tools/jwt/samples/demo.jwt -s) && echo $TOKEN | cut -d '.' -f2 - | base64 --decode -
      2. {"exp":4685989700,"foo":"bar","iat":1532389700,"iss":"testing@secure.istio.io","sub":"testing@secure.istio.io"}

    6. 验证使用有效 JWT 的请求被允许:

      1. $ kubectl exec $(kubectl get pod -l app=sleep -n foo -o jsonpath={.items..metadata.name}) -c sleep -n foo -- curl "http://httpbin.foo:8000/headers" -s -o /dev/null -H "Authorization: Bearer $TOKEN" -w "%{http_code}\n"
      2. 200

    7. 验证没有 JWT 的请求被拒绝:

    8. 获取 groups 声明列表为 group1group2 的 JWT:

      1. $ TOKEN_GROUP=$(curl https://raw.githubusercontent.com/istio/istio/release-1.8/security/tools/jwt/samples/groups-scope.jwt -s) && echo $TOKEN_GROUP | cut -d '.' -f2 - | base64 --decode -
      2. {"exp":3537391104,"groups":["group1","group2"],"iat":1537391104,"iss":"testing@secure.istio.io","scope":["scope1","scope2"],"sub":"testing@secure.istio.io"}

    9. 验证包含 JWT 且 JWT 中包含名为 groups 值为 group1 声明的请求被允许:

      1. $ kubectl exec $(kubectl get pod -l app=sleep -n foo -o jsonpath={.items..metadata.name}) -c sleep -n foo -- curl "http://httpbin.foo:8000/headers" -s -o /dev/null -H "Authorization: Bearer $TOKEN_GROUP" -w "%{http_code}\n"
      2. 200

    10. 验证包含 JWT,但 JWT 不包含 groups 声明的请求被拒绝:

    Istio v1beta1 授权策略的设计原则、基本概述及迁移操作。

    使用 Istio 实现零代码改动保护多云 Kubernetes 应用。

    基于 Istio 授权的 Micro-Segmentation

    描述 Istio 的授权功能以及如何在各种用例中使用它。

    展示如何设置基于角色的 HTTP 流量访问控制。

    TCP 流量的授权

    展示如何设置 TCP 流量的访问控制。

    描述 Istio 的授权与认证功能。