聊聊 Linkerd Service Mesh 授权策略 (Server & ServerAuthorization)
Server 和 ServerAuthorization 是聊聊 Linkerd 中的两种策略资源, 用于控制对 mesh 应用程序的授权入站访问。 在 linkerd 安装期间,策略policyController.defaultAllowPolicy 字段用于指定当没有 Server 选择 pod 时的聊聊默认策略。此字段可以是授权以下之一: 可以通过在 pod spec 或其命名空间上设置注释 config.linkerd.io/default-inbound-policy 来覆盖此默认值。策略 为 pod & port 配置 Server 后,聊聊其默认行为是授权 deny 流量, 并且必须创建 ServerAuthorization 资源以允许 Server 上的策略流量。 中文手册(https://hacker-linner.com) Server 在与 server 相同的命名空间中的一组 pod 上选择一个端口。它通常选择 pod 上的站群服务器单个端口,但在按名称引用端口时它可能会选择多个端口(例如 admin-http)。虽然 Server 资源类似于 Kubernetes 的 Service, 但它增加了多个 Server 实例不能重叠的限制:它们不能选择相同的 pod/port 对。 Linkerd 附带了一个 admission controller,试图防止创建重叠的 server。 当服务器选择一个端口时,默认情况下会拒绝流量, 并且必须使用 ServerAuthorization 来授权 Server 选择的端口上的流量。 Server spec 可能包含以下顶级字段: field value podSelector podSelector 选择相同命名空间中的 pod。 port 端口名称或编号。仅考虑 pod spec 的 ports 中的端口。 proxyProtocol 为入站连接配置协议发现。取代 config.linkerd.io/opaque-ports annotation。必须是 unknown、HTTP/1、HTTP/2、gRPC、opaque、TLS 之一。如果未设置,则默认为 unknown。 这与 Kubernetes 中的源码库 labelSelector 字段相同。属于此选择器的所有 pod 都将属于 Server 组。podSelector 对象必须恰好包含以下字段之一: field value matchExpressions matchExpressions 是 label selector 要求的列表。要求是 AND 组合。 matchLabels matchLabels 是 { key,value} 对的映射。 有关更多详细信息,请参阅 Kubernetes LabelSelector reference。 一个 Server 选择具有特定标签的 pod,使用 gRPC 作为 proxyProtocol。 一个 Server 选择带有 matchExpressions 的 pod,HTTP/2 作为 proxyProtocol,在端口 8080 上。 ServerAuthorization 提供了一种向一个或多个 Server 授权流量的方法。 ServerAuthorization spec 必须包含以下顶级字段: field value client client 描述授权访问 server 的客户端。 server server 在此授权适用的同一命名空间中标识 Servers。 Server 对象必须包含以下字段之一: field value name 按名称引用 Server 实例。 selector selector 选择在同一命名空间中应用此授权的 server。 这与 Kubernetes 中的 labelSelector 字段相同。属于此选择器的所有服务器都将应用此授权。网站模板 selector 对象必须恰好包含以下字段之一: field value matchExpressions matchExpressions 是标签选择器要求的列表。要求是 AND 组合。 matchLabels matchLabels 是 { key,value} 对的映射。 client 对象必须包含以下字段之一: field value meshTLS meshTLS 用于授权 mesh 客户端访问服务器 unauthenticated 授权未经身份验证的客户端访问服务器的布尔值。 或者,它还可以包含 networks 字段: field value networks 限制此授权适用的客户端 IP 地址。如果未设置,服务器将选择默认值(通常为所有 IP 或集群的 pod 网络)。 meshTLS 对象必须恰好包含以下字段之一: field value unauthenticatedTLS 一个布尔值,表示通信不需要客户端身份。这对于身份控制器非常重要,它必须终止来自尚未拥有证书的客户端的 TLS 连接。 identities 授权的代理身份字符串列表(通过 MTLS 提供)。* 前缀可用于匹配域中的所有身份。* 标识字符串表示所有身份验证客户端都已授权。 serviceAccounts 授权客户端 serviceAccount 的列表(通过 MTLS 提供)。 serviceAccount 字段包含以下顶级字段: field value name ServiceAccount 的名称。 namespace ServiceAccount 的命名空间。如果未设置,则使用授权的命名空间。 一个 ServerAuthorization 允许 mesh 客户端使用 *.emojivoto.serviceaccount.identity.linkerd.cluster.local 代理身份, 即 emojivoto 命名空间中的所有服务帐户。 一个允许任何未经身份验证的客户端的 ServerAuthorization。 一个允许具有特定服务帐户的 mesh 客户端的 ServerAuthorization。
简介
系列
Server
Spec
podSelector
Server 示例
ServerAuthorization
Spec
Server
selector
client
meshTLS
serviceAccount
ServerAuthorization 示例
- 最近发表
- 随机阅读
- 云上的创新为爱康搭建创新底座 让CT小车”开进了大山【2022戴尔科技峰会预告】
- 应用部署架构:如何降低云网络时延?
- Java的“泛型”特性,你以为自己会了?
- 鸿蒙HarmonyOS单模块编译与源码导读
- 数据中心的冷却效率
- Docker 的底层原理,了解它只需要 5分钟!
- 天啦噜!Python多线程居然是骗人的?
- JDK15类加载、验证、准备过程详解
- 数据中心“超级客户”——互联网企业的算力布局
- Python骚操作从列表推导和生成器表达式开始
- 比Pandas 更好的替代?PySpark,Julia等对比
- TensorFlow5岁,它成为最受欢迎ML框架的五个原因
- 苹果最强处理器M2 Ultra问世,两年过渡实现对英特尔的替代
- 中台之后,微服务是否也会被玩死?
- 曾经风光无限的Jsp技术,为什么现在很少有人用了呢?
- Google可视化编程工具Blockly入门
- 数据中心位置如何影响ESG成功
- Python字典不是不可以排序,是你方法没用对!
- Consul实战:术语和命令解释
- Laravel和Vue.js,是什么让他们成为如此强大的一对
- 搜索