Versi 1.20

Versi yang tersedia

1.20 (terbaru)
1.19
1.18
1.17
1.16
1.15
1.14
1.13
1.12
1.12

219}

Halaman ini diterjemahkan oleh Cloud Translation API.

Cloud Service Mesh melalui contoh: mTLS

Di Cloud Service Mesh 1.5 dan yang lebih baru, TLS bersama otomatis (mTLS otomatis) diaktifkan secara default. Dengan mTLS otomatis, proxy file bantuan klien akan otomatis mendeteksi apakah server memiliki file bantuan. File bantuan klien mengirimkan mTLS ke workload dengan file bantuan dan mengirim teks biasa ke workload tanpa file bantuan. Namun, perlu diketahui bahwa layanan menerima traffic teks biasa dan mTLS. Saat Anda memasukkan proxy file bantuan ke Pod, sebaiknya konfigurasi juga layanan Anda agar hanya menerima traffic mTLS.

Dengan Cloud Service Mesh, Anda dapat menerapkan mTLS di luar kode aplikasi dengan menerapkan satu file YAML. Cloud Service Mesh memberi Anda fleksibilitas untuk menerapkan kebijakan autentikasi ke seluruh mesh layanan, ke namespace, atau ke setiap workload.

mTLS bersama

Biaya

Dalam dokumen ini, Anda menggunakan komponen Google Cloud yang dapat ditagih berikut:

Untuk membuat perkiraan biaya berdasarkan proyeksi penggunaan Anda, gunakan kalkulator harga. Pengguna baru Google Cloud mungkin memenuhi syarat untuk mendapatkan uji coba gratis.

Setelah menyelesaikan tutorial ini, Anda dapat menghindari biaya berkelanjutan dengan menghapus resource yang dibuat. Untuk informasi selengkapnya, lihat Pembersihan.

Sebelum memulai

Pastikan penagihan diaktifkan untuk project Cloud Anda. Pelajari cara mengonfirmasi bahwa penagihan diaktifkan untuk project Anda.
Instal Cloud Service Mesh di cluster GKE dan deploy gateway masuk. Jika perlu menyiapkan cluster untuk tutorial ini, baca panduan memulai Cloud Service Mesh, yang akan memandu Anda:
- Membuat cluster GKE.
- Menyediakan Cloud Service Mesh yang terkelola.
- Men-deploy gateway masuk.
- Men-deploy aplikasi contoh Butik Online dari repositori anthos-service-mesh-packages yang dimodifikasi dari kumpulan manifes asli di repo microservices-demo. Dengan mengikuti praktik terbaik, setiap layanan di-deploy di namespace terpisah dengan akun layanan unik.

Akses Butik Online

Tetapkan konteks saat ini untuk kubectl ke cluster tempat Anda men-deploy Online Boutique:

gcloud container clusters get-credentials CLUSTER_NAME  \
    --project=PROJECT_ID \
    --zone=CLUSTER_LOCATION

Tampilkan daftar layanan di namespace frontend:
```
kubectl get services -n frontend
```
Perhatikan bahwa frontend-external adalah LoadBalancer, dan memiliki alamat IP eksternal. Aplikasi contoh ini menyertakan layanan yang merupakan load balancer, sehingga dapat di-deploy di GKE tanpa Cloud Service Mesh.
Buka aplikasi di browser Anda menggunakan alamat IP eksternal layanan frontend-external:
```
http://FRONTEND_EXTERNAL_IP/
```
Cloud Service Mesh memberi Anda kemampuan untuk men-deploy gateway masuk. Anda juga dapat mengakses Online Boutique menggunakan alamat IP eksternal dari gateway masuk. Dapatkan IP eksternal gateway. Ganti placeholder dengan informasi berikut:
- GATEWAY_SERVICE_NAME : Nama layanan gateway masuk. Jika Anda men-deploy gateway contoh tanpa modifikasi, atau jika Anda men-deploy gateway masuk default, namanya adalah istio-ingressgateway.
- GATEWAY_NAMESPACE: Namespace tempat Anda men-deploy gateway masuk. Jika Anda men-deploy gateway masuk default, namespace-nya adalah istio-system.
```
kubectl get service GATEWAY_NAME -n GATEWAY_NAMESPACE
```
Buka tab lain di browser Anda dan buka aplikasi tersebut menggunakan alamat IP eksternal gateway masuk:
```
http://INGRESS_GATEWAY_EXTERNAL_IP/
```
Jalankan perintah berikut ke curl layanan frontend dengan HTTP biasa dari Pod lain. Karena layanan berada di namespace yang berbeda, Anda harus melakukan curl pada nama DNS layanan frontend.
```
kubectl exec \
  $(kubectl get pod -l app=productcatalogservice -n product-catalog -o jsonpath={.items..metadata.name}) \
  -c istio-proxy -n product-catalog -- \
  curl http://frontend.frontend.svc.cluster.local:80/ -o /dev/null -s -w '%{http_code}\n'
```
Permintaan Anda berhasil dengan status 200, karena secara default, traffic TLS dan teks biasa diterima.

Mengaktifkan TLS bersama per namespace

Anda menerapkan mTLS dengan menerapkan kebijakan PeerAuthentication dengan kubectl.

Simpan kebijakan autentikasi berikut sebagai mtls-namespace.yaml.
```
cat <<EOF > mtls-namespace.yaml
apiVersion: "security.istio.io/v1beta1"
kind: "PeerAuthentication"
metadata:
  name: "namespace-policy"
spec:
  mtls:
    mode: STRICT
EOF
```
Baris mode: STRICT di YAML mengonfigurasi layanan agar hanya menerima mTLS. Secara default, mode adalah PERMISSIVE, yang mengonfigurasi layanan untuk menerima teks biasa dan mTLS.

Terapkan kebijakan autentikasi untuk mengonfigurasi semua layanan Online Boutique agar hanya menerima mTLS:

for ns in ad cart checkout currency email frontend loadgenerator \
     payment product-catalog recommendation shipping; do
kubectl apply -n $ns -f mtls-namespace.yaml
done

Output yang diharapkan:

peerauthentication.security.istio.io/namespace-policy created
peerauthentication.security.istio.io/namespace-policy created
peerauthentication.security.istio.io/namespace-policy created
peerauthentication.security.istio.io/namespace-policy created
peerauthentication.security.istio.io/namespace-policy created
peerauthentication.security.istio.io/namespace-policy created
peerauthentication.security.istio.io/namespace-policy created
peerauthentication.security.istio.io/namespace-policy created
peerauthentication.security.istio.io/namespace-policy created
peerauthentication.security.istio.io/namespace-policy created
peerauthentication.security.istio.io/namespace-policy created

Buka tab di browser Anda yang mengakses Online Boutique menggunakan alamat IP eksternal dari layanan frontend-external:
```
http://FRONTEND_EXTERNAL_IP/
```
Muat ulang halaman. Browser menampilkan error berikut:

Memuat ulang halaman akan menyebabkan teks biasa dikirim ke layanan frontend. Karena kebijakan autentikasi STRICT, proxy file bantuan memblokir permintaan ke layanan.
Buka tab di browser Anda yang mengakses Online Boutique menggunakan alamat IP eksternal istio-ingressgateway, lalu muat ulang halaman, yang berhasil ditampilkan. Saat Anda mengakses Butik Online menggunakan gateway masuk, permintaan tersebut akan melalui jalur berikut:

Alur autentikasi mTLS:
1. Browser mengirimkan permintaan HTTP teks biasa ke server.
2. Penampung proxy gateway masuk mencegat permintaan.
3. Proxy gateway masuk melakukan handshake TLS dengan proxy sisi server (layanan frontend dalam contoh ini). Handshake ini termasuk pertukaran sertifikat. Sertifikat ini dimuat sebelumnya ke container proxy oleh Cloud Service Mesh.
4. Proxy gateway masuk melakukan pemeriksaan penamaan yang aman pada sertifikat server, yang memverifikasi bahwa identitas yang diotorisasi sedang menjalankan server.
5. Gateway masuk dan proxy server membuat koneksi TLS bersama, dan proxy server meneruskan permintaan ke penampung aplikasi server (layanan frontend).

Jalankan perintah berikut ke curl layanan frontend dengan HTTP biasa dari Pod lain.

kubectl exec \
  $(kubectl get pod -l app=productcatalogservice -n product-catalog -o jsonpath={.items..metadata.name}) \
  -c istio-proxy -n product-catalog -- \
  curl http://frontend.frontend.svc.cluster.local:80/ -o /dev/null -s -w '%{http_code}\n'

Permintaan Anda gagal karena semua layanan Online Boutique ditetapkan ke STRICT mTLS, dan proxy file bantuan memblokir permintaan ke layanan tersebut.

Output yang diharapkan:

000
command terminated with exit code 56

Lihat status mTLS

Anda dapat melihat status fitur keamanan GKE Enterprise, termasuk kebijakan autentikasi, di Konsol Google Cloud.

Di Konsol Google Cloud, buka halaman Overview GKE Enterprise.

Buka Ringkasan
Pilih project Google Cloud dari daftar project di panel menu.
Dari kartu Status kebijakan, bergantung pada konfigurasi Anda, klik Lihat Kebijakan atau Aktifkan Kebijakan. Dasbor Pengontrol Kebijakan akan terbuka.
Klik tab Pelanggaran.
Di bagian Resource Kind, centang kotak Pod. Tindakan ini akan menampilkan daftar Pod yang melanggar kebijakan.

Menemukan dan menghapus kebijakan autentikasi

Untuk mengetahui daftar semua kebijakan PeerAuthentication dalam mesh layanan:

kubectl get peerauthentication --all-namespaces

Outputnya mirip dengan hal berikut ini:

NAMESPACE         NAME               MODE     AGE
ad                namespace-policy   STRICT   17m
cart              namespace-policy   STRICT   17m
checkout          namespace-policy   STRICT   17m
currency          namespace-policy   STRICT   17m
email             namespace-policy   STRICT   17m
frontend          namespace-policy   STRICT   17m
loadgenerator     namespace-policy   STRICT   17m
payment           namespace-policy   STRICT   17m
product-catalog   namespace-policy   STRICT   17m
recommendation    namespace-policy   STRICT   17m
shipping          namespace-policy   STRICT   17m

Hapus kebijakan autentikasi dari semua namespace Online Boutique:

for ns in ad cart checkout currency email frontend loadgenerator payment \
  product-catalog recommendation shipping; do
    kubectl delete peerauthentication -n $ns namespace-policy
done;

Output yang diharapkan:

peerauthentication.security.istio.io "namespace-policy" deleted
peerauthentication.security.istio.io "namespace-policy" deleted
peerauthentication.security.istio.io "namespace-policy" deleted
peerauthentication.security.istio.io "namespace-policy" deleted
peerauthentication.security.istio.io "namespace-policy" deleted
peerauthentication.security.istio.io "namespace-policy" deleted
peerauthentication.security.istio.io "namespace-policy" deleted
peerauthentication.security.istio.io "namespace-policy" deleted
peerauthentication.security.istio.io "namespace-policy" deleted
peerauthentication.security.istio.io "namespace-policy" deleted
peerauthentication.security.istio.io "namespace-policy" deleted

Akses Online Boutique menggunakan alamat IP eksternal layanan frontend-external, lalu muat ulang halaman. Halaman ditampilkan seperti yang diharapkan.

Jalankan perintah berikut ke curl layanan frontend dengan HTTP biasa dari Pod lain.

kubectl exec \
  $(kubectl get pod -l app=productcatalogservice -n product-catalog -o jsonpath={.items..metadata.name}) \
  -c istio-proxy -n product-catalog -- \
  curl http://frontend.frontend.svc.cluster.local:80/ -o /dev/null -s -w '%{http_code}\n'

Permintaan Anda berhasil dengan status 200, karena secara default, traffic TLS dan teks biasa diterima.

Jika Anda me-refresh halaman di Konsol Google Cloud yang menampilkan daftar Workloads, sekarang status mTLS adalah Permissive.

Mengaktifkan TLS bersama per workload

Guna menetapkan kebijakan PeerAuthentication untuk workload tertentu, Anda harus mengonfigurasi bagian selector dan menentukan label yang cocok dengan workload yang diinginkan. Namun, Cloud Service Mesh tidak dapat menggabungkan kebijakan tingkat workload untuk traffic mTLS keluar ke layanan. Anda perlu mengonfigurasi aturan tujuan untuk mengelola perilaku tersebut.

Terapkan kebijakan autentikasi ke beban kerja tertentu. Perhatikan cara kebijakan berikut menggunakan label dan pemilih untuk menargetkan deployment frontend tertentu.

cat <<EOF | kubectl apply -n frontend -f -
apiVersion: "security.istio.io/v1beta1"
kind: "PeerAuthentication"
metadata:
  name: "frontend"
  namespace: "frontend"
spec:
  selector:
    matchLabels:
      app: frontend
  mtls:
    mode: STRICT
EOF

Output yang diharapkan:

peerauthentication.security.istio.io/frontend created

Mengonfigurasi aturan tujuan yang cocok.

cat <<EOF | kubectl apply -n frontend -f -
apiVersion: "networking.istio.io/v1alpha3"
kind: "DestinationRule"
metadata:
  name: "frontend"
spec:
  host: "frontend.demo.svc.cluster.local"
  trafficPolicy:
    tls:
      mode: ISTIO_MUTUAL
EOF

Output yang diharapkan:

destinationrule.networking.istio.io/frontend created

Akses Online Boutique menggunakan alamat IP eksternal layanan frontend-external, lalu muat ulang halaman. Halaman tidak ditampilkan karena frontend service disetel ke STRICT mTLS, dan proxy file bantuan memblokir permintaan.
Jalankan perintah berikut ke curl layanan frontend dengan HTTP biasa dari Pod lain.
```
kubectl exec \
  $(kubectl get pod -l app=productcatalogservice -n product-catalog -o jsonpath={.items..metadata.name}) \
  -c istio-proxy -n product-catalog -- \
  curl http://frontend.frontend.svc.cluster.local:80/ -o /dev/null -s -w '%{http_code}\n'
```
Permintaan Anda gagal dengan kode status 56.

Jika Anda me-refresh halaman di Konsol Google Cloud yang menampilkan daftar Workloads, sekarang status mTLS untuk layanan frontend adalah Strict dan semua layanan lainnya ditetapkan ke Permissive.

Hapus kebijakan autentikasi:

kubectl delete peerauthentication -n frontend frontend

Output yang diharapkan:

peerauthentication.security.istio.io "frontend" deleted

Hapus aturan tujuan:

kubectl delete destinationrule -n frontend frontend

Output yang diharapkan:

destinationrule.networking.istio.io "frontend" deleted

Menerapkan mTLS seluruh mesh

Untuk mencegah semua layanan Anda di mesh menerima traffic teks biasa, tetapkan kebijakan PeerAuthentication seluruh mesh dengan mode mTLS yang disetel ke STRICT. Kebijakan PeerAuthentication seluruh mesh tidak boleh memiliki pemilih dan harus diterapkan di namespace root, istio-system. Saat Anda men-deploy kebijakan, bidang kontrol akan otomatis menyediakan sertifikat TLS sehingga workload dapat saling melakukan autentikasi.

Terapkan mTLS seluruh mesh:

kubectl apply -f - <<EOF
apiVersion: "security.istio.io/v1beta1"
kind: "PeerAuthentication"
metadata:
  name: "mesh-wide"
  namespace: "istio-system"
spec:
  mtls:
    mode: STRICT
EOF

Output yang diharapkan:

peerauthentication.security.istio.io/mesh-wide created

Akses Online Boutique menggunakan alamat IP eksternal layanan frontend-external, lalu muat ulang halaman. Halaman tidak ditampilkan.

Jalankan perintah berikut ke curl layanan frontend dengan HTTP biasa dari Pod lain.

kubectl exec \
  $(kubectl get pod -l app=productcatalogservice -n product-catalog -o jsonpath={.items..metadata.name}) \
  -c istio-proxy -n product-catalog -- \
  curl http://frontend.frontend.svc.cluster.local:80/ -o /dev/null -s -w '%{http_code}\n'

Permintaan Anda gagal dengan kode status 56.

Hapus kebijakan mesh-wide:
```
kubectl delete peerauthentication -n istio-system mesh-wide
```
Output yang diharapkan:
```
peerauthentication.security.istio.io "mesh-wide" deleted
```
Jika Anda me-refresh halaman di konsol Google Cloud, Anda akan melihat bahwa detail mTLS untuk semua layanan sekarang menampilkan Permissive.

Pembersihan

Agar tidak dikenakan biaya pada akun Google Cloud Anda untuk resource yang digunakan dalam tutorial ini, hapus project yang berisi resource tersebut, atau simpan project dan hapus setiap resource-nya.

Jika tidak ingin dikenai biaya tambahan, hapus cluster:

gcloud container clusters delete  CLUSTER_NAME  \
    --project=PROJECT_ID \
    --zone=CLUSTER_LOCATION

Jika Anda ingin mempertahankan cluster dan menghapus contoh Online Boutique:

Hapus namespace aplikasi:

kubectl delete -f online-boutique/kubernetes-manifests/namespaces

Output yang diharapkan:

namespace "ad" deleted
namespace "cart" deleted
namespace "checkout" deleted
namespace "currency" deleted
namespace "email" deleted
namespace "frontend" deleted
namespace "loadgenerator" deleted
namespace "payment" deleted
namespace "product-catalog" deleted
namespace "recommendation" deleted
namespace "shipping" deleted

Hapus entri layanan:

kubectl delete -f online-boutique/istio-manifests/allow-egress-googleapis.yaml

Output yang diharapkan:

serviceentry.networking.istio.io "allow-egress-googleapis" deleted
serviceentry.networking.istio.io "allow-egress-google-metadata" deleted

Langkah selanjutnya

Untuk panduan umum tentang cara mengonfigurasi kebijakan PeerAuthentication, lihat Mengonfigurasi keamanan transport.