Cloud Service Mesh 範例:授權

在本教學課程中,您將瞭解授權的定義,以及如何在範例應用程式中透過 Cloud Service Mesh 啟用授權,瞭解如何為微服務啟用授權政策。您將建立 AuthorizationPolicyDENY 微服務存取權,然後建立 AuthorizationPolicyALLOW 微服務特定存取權。

什麼是授權?

驗證程序會驗證身分,確認這項服務是否屬實。授權會驗證權限 - 這項服務是否有權執行這項操作?身分是這個概念的基礎。透過 Cloud Service Mesh,AuthorizationPolicies 可控管網格中的工作負載對工作負載通訊,進而提升安全性和存取權。

在微服務架構中,由於呼叫會跨網路界線,因此傳統的 IP 防火牆規則通常無法確保工作負載之間的存取權。您可以透過 Cloud Service Mesh 設定授權規則,以便:

  • 控管工作負載在網格中的存取權,包括工作負載對工作負載或使用者對工作負載
  • 您可以根據需求定義廣泛或精細的政策。如要進一步瞭解如何設定政策和最佳做法,請參閱「使用 Cloud Service Mesh 進行授權」。

費用

本教學課程使用 Google Cloud的下列計費元件:

完成本教學課程後,您可以刪除已建立的資源,以免持續產生費用。詳情請參閱「清除所用資源」。

事前準備

  • 複製存放區:

    git clone https://github.com/GoogleCloudPlatform/anthos-service-mesh-samples
cd anthos-service-mesh-samples

部署入口閘道

  1. kubectl 的目前背景資訊設為叢集:

    gcloud container clusters get-credentials CLUSTER_NAME  \
--project=PROJECT_ID \
--zone=CLUSTER_LOCATION

  2. 為 Ingress Gateway 建立命名空間:

    kubectl create namespace asm-ingress

  3. 啟用要用於插入的命名空間。步驟取決於 Cloud Service Mesh 類型 (受管理或叢集內):

    代管

    asm-managed 修訂版本標籤套用至命名空間:

    kubectl label namespace asm-ingress \
  istio-injection- istio.io/rev=asm-managed --overwrite

    這個標籤對應至 Cloud Service Mesh 版本目前的發布管道

    叢集內

    1. 使用下列指令,找出 istiod 上的修訂版本標籤:

      kubectl get deploy -n istio-system -l app=istiod -o \
  jsonpath={.items[*].metadata.labels.'istio\.io\/rev'}'{"\n"}'

    2. 將修訂版本標籤套用至命名空間。在下列指令中,REVISION 是您在上一個步驟中記下的 istiod 修訂版本標籤值。

      kubectl label namespace asm-ingress \
  istio-injection- istio.io/rev=REVISION --overwrite

  4. anthos-service-mesh-samples 存放區中部署示例閘道:

    kubectl apply -n asm-ingress \
-f docs/shared/asm-ingress-gateway

    預期輸出內容:

    serviceaccount/asm-ingressgateway configured
service/asm-ingressgateway configured
deployment.apps/asm-ingressgateway configured
gateway.networking.istio.io/asm-ingressgateway configured

部署 Online Boutique 範例應用程式

  1. 如果您尚未設定,請將 kubectl 的目前背景資訊設為叢集:

    gcloud container clusters get-credentials CLUSTER_NAME  \
--project=PROJECT_ID \
--zone=CLUSTER_LOCATION

  2. 為範例應用程式建立命名空間:

    kubectl create namespace onlineboutique

  3. onlineboutique 命名空間加上標籤,以便自動插入 Envoy Proxy。按照這篇文章中的步驟啟用自動 Sidecar Inject 功能。

  4. 部署範例應用程式、前端的 VirtualService,以及工作負載的服務帳戶。在本教學課程中,您將部署 Online Boutique,這是一個微服務示範應用程式。

    kubectl apply \
-n onlineboutique \
-f docs/shared/online-boutique/virtual-service.yaml
kubectl apply \
-n onlineboutique \
-f docs/shared/online-boutique/service-accounts

查看服務

  1. 查看 onlineboutique 命名空間中的 Pod:

    kubectl get pods -n onlineboutique

    預期輸出內容:

    NAME                                     READY   STATUS    RESTARTS   AGE
adservice-85598d856b-m84m6               2/2     Running   0          2m7s
cartservice-c77f6b866-m67vd              2/2     Running   0          2m8s
checkoutservice-654c47f4b6-hqtqr         2/2     Running   0          2m10s
currencyservice-59bc889674-jhk8z         2/2     Running   0          2m8s
emailservice-5b9fff7cb8-8nqwz            2/2     Running   0          2m10s
frontend-77b88cc7cb-mr4rp                2/2     Running   0          2m9s
loadgenerator-6958f5bc8b-55q7w           2/2     Running   0          2m8s
paymentservice-68dd9755bb-2jmb7          2/2     Running   0          2m9s
productcatalogservice-84f95c95ff-c5kl6   2/2     Running   0          114s
recommendationservice-64dc9dfbc8-xfs2t   2/2     Running   0          2m9s
redis-cart-5b569cd47-cc2qd               2/2     Running   0          2m7s
shippingservice-5488d5b6cb-lfhtt         2/2     Running   0          2m7s

    應用程式的所有 Pod 都應已啟動並執行,且 READY 欄中應有 2/2。這表示 Pod 已成功插入 Envoy 邊車 Proxy。如果幾分鐘後仍未顯示 2/2,請參閱疑難排解指南

  2. 取得外部 IP,並將其設為變數:

    kubectl get services -n asm-ingress
export FRONTEND_IP=$(kubectl --namespace asm-ingress \
get service --output jsonpath='{.items[0].status.loadBalancer.ingress[0].ip}' \
)

    畫面會顯示類似以下內容的輸出:

    NAME                   TYPE           CLUSTER-IP      EXTERNAL-IP   PORT(S)                                      AGE
asm-ingressgateway   LoadBalancer   10.19.247.233   35.239.7.64   80:31380/TCP,443:31390/TCP,31400:31400/TCP   27m

  3. 在網路瀏覽器中造訪 EXTERNAL-IP 位址。瀏覽器中應會顯示 Online Boutique 商店。

    線上精品店前端

工作負載的 DenyAll 授權

本節會新增 AuthorizationPolicy,拒絕所有輸入至貨幣服務的流量。AuthorizationPolicies 會將 AuthorizationPolicies 轉換為 Envoy 可讀取的設定,並將設定套用至附屬 Proxy。這可讓 Envoy Proxy 授權或拒絕服務的傳入要求。

  1. AuthorizationPolicy 套用至 currencyservice。請注意 YAML 檔案中標籤 currencyservice 的對應項目。

    kubectl apply -f docs/authorization/currency-deny-all.yaml -n onlineboutique

    apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: currency-policy
spec:
  selector:
    matchLabels:
      app: currencyservice

  2. 請嘗試存取網關的 EXTERNAL-IP,在網路瀏覽器中查看 Online Boutique。您應該會看到 currency service 的授權錯誤 (500 內部服務錯誤)。

    authz rbac 500 錯誤

觀察補充 Proxy 記錄

如要查看附加 Proxy 中發生的情況,您可以查看 Pod 中的記錄。

  1. 取得 currencyservice pod 的名稱:

    CURRENCY_POD=$(kubectl get pod -n onlineboutique |grep currency|awk '{print $1}')

  2. 設定 Envoy 代理程式,允許追蹤層級記錄。根據預設,系統不會記錄遭封鎖的授權呼叫:

    kubectl exec -it $CURRENCY_POD -n onlineboutique -c istio-proxy -- curl -X POST "http://localhost:15000/logging?level=trace"

    預期輸出內容: active loggers: admin: trace alternate_protocols_cache: trace ... tracing: trace upstream: trace udp: trace wasm: trace

  3. 使用 curl 將流量傳送至 EXTERNAL_IP,產生記錄:

    for i in {0..10}; do
curl -s -I $FRONTEND_IP ; done

  4. 在 istio-proxy 中查看角色式存取權控管 (RBAC) 相關記錄:

    kubectl logs -n onlineboutique $CURRENCY_POD -c istio-proxy | grep -m5 rbac

    預期輸出內容:

    2022-07-08T14:19:20.442920Z     debug   envoy rbac      checking request: requestedServerName: outbound_.7000_._.currencyservice.onlineboutique.svc.cluster.local, sourceIP: 10.8.8.5:34080, directRemoteIP: 10.8.8.5:34080, remoteIP: 10.8.8.5:34080,localAddress: 10.8.0.6:7000, ssl: uriSanPeerCertificate: spiffe://christineskim-tf-asm.svc.id.goog/ns/onlineboutique/sa/default, dnsSanPeerCertificate: , subjectPeerCertificate: OU=istio_v1_cloud_workload,O=Google LLC,L=Mountain View,ST=California,C=US, headers: ':method', 'POST'
2022-07-08T14:19:20.442944Z     debug   envoy rbac      enforced denied, matched policy none
2022-07-08T14:19:20.442965Z     debug   envoy http      [C73987][S13078781800499437460] Sending local reply with details rbac_access_denied_matched_policy[none]
  ```

您應該會在記錄中看到 enforced denied 訊息,指出 currencyservice 已設為封鎖傳入要求。

允許受限制存取

您可以設定特定工作負載的存取權,而非 DENYALL 政策。在您想確保只有授權服務可以彼此通訊的微服務架構中,這項功能就很實用。

在本節中,您將啟用 frontendcheckout 服務與 currency 服務通訊的功能。

  1. 在下列檔案中,您可以看到特定 source.principal(用戶端) 已獲准存取 currencyservice
apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: currency-policy
spec:
  selector:
    matchLabels:
      app: currencyservice
  rules:
  - from:
    - source:
        principals: ["cluster.local/ns/onlineboutique/sa/frontend"]
  - from:
    - source:
        principals: ["cluster.local/ns/onlineboutique/sa/checkoutservice"]

套用政策:

kubectl apply -f docs/authorization/currency-allow-frontend-checkout.yaml -n onlineboutique
  1. 在網路瀏覽器中前往 EXTERNAL-IP,現在應該可以存取線上精品店。

清除所用資源

如要避免系統向您的 Google Cloud 帳戶收取本教學課程中所用資源的相關費用,請刪除含有該項資源的專案,或者保留專案但刪除個別資源。

如要避免系統持續向您的 Google Cloud 帳戶收取本教學課程中所用資源的費用,您可以刪除專案,或刪除個別資源

刪除專案

在 Cloud Shell 中刪除專案:

gcloud projects delete PROJECT_ID

刪除資源

  • 如果您想保留叢集並移除 Online Boutique 範例,請按照下列步驟操作:

    1. 刪除應用程式命名空間:

      kubectl delete namespace onlineboutique

      預期輸出內容:

      namespace "onlineboutique" deleted

    2. 刪除 Ingress Gateway 命名空間:

      kubectl delete namespace asm-ingress

      預期輸出內容:

      amespace "asm-ingress" deleted

  • 如要避免產生額外費用,請刪除叢集:

    gcloud container clusters delete  CLUSTER_NAME  \
--project=PROJECT_ID \
--zone=CLUSTER_LOCATION

後續步驟