Proteger o gateway de entrada para o complemento de malha de serviço Istio do Serviço de Kubernetes do Azure
O artigo Implantar a Entrada do Istio externa ou interna descreve como configurar um gateway de entrada para expor um serviço HTTP ao tráfego externo/interno. Este artigo mostra como expor um serviço HTTPS seguro usando o TLS simples ou mútuo.
Pré-requisitos
Habilitar o complemento do Istio no cluster de acordo com a documentação
Implantar um gateway de entrada do Istio externo de acordo com a documentação
Observação
Este artigo refere-se ao gateway de entrada externo para demonstração, as mesmas etapas se aplicam à configuração do TLS mútuo do gateway de entrada interno.
Os certificados e as chaves de cliente/servidor são necessários
Este artigo requer vários certificados e chaves. Você pode usar sua ferramenta favorita para criá-las ou usar os seguintes comandos do openssl.
Crie um certificado raiz e uma chave privada para assinar os certificados dos serviços de exemplo:
mkdir bookinfo_certs openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -subj '/O=bookinfo Inc./CN=bookinfo.com' -keyout bookinfo_certs/bookinfo.com.key -out bookinfo_certs/bookinfo.com.crtGerar um certificado e uma chave privada para
productpage.bookinfo.com:openssl req -out bookinfo_certs/productpage.bookinfo.com.csr -newkey rsa:2048 -nodes -keyout bookinfo_certs/productpage.bookinfo.com.key -subj "/CN=productpage.bookinfo.com/O=product organization" openssl x509 -req -sha256 -days 365 -CA bookinfo_certs/bookinfo.com.crt -CAkey bookinfo_certs/bookinfo.com.key -set_serial 0 -in bookinfo_certs/productpage.bookinfo.com.csr -out bookinfo_certs/productpage.bookinfo.com.crtGerar um certificado do cliente e uma chave privada:
openssl req -out bookinfo_certs/client.bookinfo.com.csr -newkey rsa:2048 -nodes -keyout bookinfo_certs/client.bookinfo.com.key -subj "/CN=client.bookinfo.com/O=client organization" openssl x509 -req -sha256 -days 365 -CA bookinfo_certs/bookinfo.com.crt -CAkey bookinfo_certs/bookinfo.com.key -set_serial 1 -in bookinfo_certs/client.bookinfo.com.csr -out bookinfo_certs/client.bookinfo.com.crt
Configurar um gateway de entrada do TLS
Criar um segredo do TLS do Kubernetes para o gateway de entrada; usar Azure Key Vault para hospedar certificados/chaves e Complemento do Provedor de Segredos do Azure Key Vault para sincronizar os segredos com o cluster.
Configurar o Azure Key Vault e sincronizar segredos para o cluster
Criar Azure Key Vault
Você precisa de um recurso do Azure Key Vault para fornecer o certificado e as principais entradas para o complemento do Istio.
export AKV_NAME=<azure-key-vault-resource-name> az keyvault create --name $AKV_NAME --resource-group $RESOURCE_GROUP --location $LOCATIONHabilite o Provedor do Azure Key Vault no complemento do Driver CSI da Loja Secreta no seu cluster.
az aks enable-addons --addons azure-keyvault-secrets-provider --resource-group $RESOURCE_GROUP --name $CLUSTERAutorize a identidade gerenciada atribuída pelo usuário do complemento para acessar o recurso do Azure Key Vault usando a política de acesso. Como alternativa, se o Key Vault estiver usando o RBAC do Azure no modelo de permissões, siga as instruções aqui para atribuir uma função do Azure do Key Vault na identidade gerenciada atribuída pelo usuário do complemento.
OBJECT_ID=$(az aks show --resource-group $RESOURCE_GROUP --name $CLUSTER --query 'addonProfiles.azureKeyvaultSecretsProvider.identity.objectId' -o tsv | tr -d '\r') CLIENT_ID=$(az aks show --resource-group $RESOURCE_GROUP --name $CLUSTER --query 'addonProfiles.azureKeyvaultSecretsProvider.identity.clientId') TENANT_ID=$(az keyvault show --resource-group $RESOURCE_GROUP --name $AKV_NAME --query 'properties.tenantId') az keyvault set-policy --name $AKV_NAME --object-id $OBJECT_ID --secret-permissions get listCrie segredos no Azure Key Vault usando os certificados e as chaves.
az keyvault secret set --vault-name $AKV_NAME --name test-productpage-bookinfo-key --file bookinfo_certs/productpage.bookinfo.com.key az keyvault secret set --vault-name $AKV_NAME --name test-productpage-bookinfo-crt --file bookinfo_certs/productpage.bookinfo.com.crt az keyvault secret set --vault-name $AKV_NAME --name test-bookinfo-crt --file bookinfo_certs/bookinfo.com.crtUse o manifesto a seguir para implantar o SecretProviderClass para fornecer parâmetros específicos do Azure Key Vault para o driver CSI.
cat <<EOF | kubectl apply -f - apiVersion: secrets-store.csi.x-k8s.io/v1 kind: SecretProviderClass metadata: name: productpage-credential-spc namespace: aks-istio-ingress spec: provider: azure secretObjects: - secretName: productpage-credential type: tls data: - objectName: test-productpage-bookinfo-key key: key - objectName: test-productpage-bookinfo-crt key: cert parameters: useVMManagedIdentity: "true" userAssignedIdentityID: $CLIENT_ID keyvaultName: $AKV_NAME cloudName: "" objects: | array: - | objectName: test-productpage-bookinfo-key objectType: secret objectAlias: "test-productpage-bookinfo-key" - | objectName: test-productpage-bookinfo-crt objectType: secret objectAlias: "test-productpage-bookinfo-crt" tenantId: $TENANT_ID EOFUse o manifesto a seguir para implantar um pod de exemplo. O driver CSI do repositório secreto requer um pod para referenciar o recurso SecretProviderClass para garantir a sincronização de segredos do Azure Key Vault no cluster.
cat <<EOF | kubectl apply -f - apiVersion: v1 kind: Pod metadata: name: secrets-store-sync-productpage namespace: aks-istio-ingress spec: containers: - name: busybox image: mcr.microsoft.com/oss/busybox/busybox:1.33.1 command: - "/bin/sleep" - "10" volumeMounts: - name: secrets-store01-inline mountPath: "/mnt/secrets-store" readOnly: true volumes: - name: secrets-store01-inline csi: driver: secrets-store.csi.k8s.io readOnly: true volumeAttributes: secretProviderClass: "productpage-credential-spc" EOFVerifique o segredo
productpage-credentialcriado no namespace do clusteraks-istio-ingressconforme definido no recurso SecretProviderClass.kubectl describe secret/productpage-credential -n aks-istio-ingressExemplo de saída:
Name: productpage-credential Namespace: aks-istio-ingress Labels: secrets-store.csi.k8s.io/managed=true Annotations: <none> Type: tls Data ==== cert: 1066 bytes key: 1704 bytes
Configurar o gateway de entrada e o serviço virtual
Rotear o tráfego HTTPS pelo gateway de entrada do Istio para os aplicativos de exemplo. Usar o manifesto a seguir para implantar o gateway e os recursos de serviço virtual.
cat <<EOF | kubectl apply -f -
apiVersion: networking.istio.io/v1beta1
kind: Gateway
metadata:
name: bookinfo-gateway
spec:
selector:
istio: aks-istio-ingressgateway-external
servers:
- port:
number: 443
name: https
protocol: HTTPS
tls:
mode: SIMPLE
credentialName: productpage-credential
hosts:
- productpage.bookinfo.com
---
apiVersion: networking.istio.io/v1beta1
kind: VirtualService
metadata:
name: productpage-vs
spec:
hosts:
- productpage.bookinfo.com
gateways:
- bookinfo-gateway
http:
- match:
- uri:
exact: /productpage
- uri:
prefix: /static
- uri:
exact: /login
- uri:
exact: /logout
- uri:
prefix: /api/v1/products
route:
- destination:
port:
number: 9080
host: productpage
EOF
Observação
Na definição do gateway, credentialName deve corresponder à secretName no recurso SecretProviderClass e selector deve se referir ao gateway de entrada externo por seu rótulo, no qual a chave do rótulo é istio e o valor é aks-istio-ingressgateway-external. Quanto ao gateway de entrada interno, o rótulo é istio e o valor é aks-istio-ingressgateway-internal.
Defina variáveis de ambiente para o host e as portas de entrada externas:
export INGRESS_HOST_EXTERNAL=$(kubectl -n aks-istio-ingress get service aks-istio-ingressgateway-external -o jsonpath='{.status.loadBalancer.ingress[0].ip}')
export SECURE_INGRESS_PORT_EXTERNAL=$(kubectl -n aks-istio-ingress get service aks-istio-ingressgateway-external -o jsonpath='{.spec.ports[?(@.name=="https")].port}')
export SECURE_GATEWAY_URL_EXTERNAL=$INGRESS_HOST_EXTERNAL:$SECURE_INGRESS_PORT_EXTERNAL
echo "https://$SECURE_GATEWAY_URL_EXTERNAL/productpage"
Verificação
Enviar uma solicitação HTTPS para acessar o serviço de página do produto pelo HTTPS:
curl -s -HHost:productpage.bookinfo.com --resolve "productpage.bookinfo.com:$SECURE_INGRESS_PORT_EXTERNAL:$INGRESS_HOST_EXTERNAL" --cacert bookinfo_certs/bookinfo.com.crt "https://productpage.bookinfo.com:$SECURE_INGRESS_PORT_EXTERNAL/productpage" | grep -o "<title>.*</title>"
Confirme se a página do produto do aplicativo de exemplo está acessível. A saída esperada é:
<title>Simple Bookstore App</title>
Observação
Para configurar o acesso de entrada HTTPS em um serviço HTTPS, ou seja, configurar um gateway de entrada para executar a passagem de SNI em vez de a terminação TLS nas solicitações de entrada, deve-se atualizar o modo tls na definição do gateway para PASSTHROUGH. Isso instrui o gateway a transmitir o tráfego de entrada “como está”, sem encerrar o TLS.
Configurar um gateway de entrada TLS mútuo
Estenda sua definição de gateway para dar suporte ao TLS mútuo.
Atualizar a credencial do gateway de entrada excluindo o segredo atual e criando um novo. O servidor usa o certificado de AC para verificar seus clientes, e devemos usar a chave ca.crt para manter o certificado de AC.
kubectl delete secretproviderclass productpage-credential-spc -n aks-istio-ingress kubectl delete secret/productpage-credential -n aks-istio-ingress kubectl delete pod/secrets-store-sync-productpage -n aks-istio-ingressUse o manifesto a seguir para recriar o SecretProviderClass com o certificado de AC.
cat <<EOF | kubectl apply -f - apiVersion: secrets-store.csi.x-k8s.io/v1 kind: SecretProviderClass metadata: name: productpage-credential-spc namespace: aks-istio-ingress spec: provider: azure secretObjects: - secretName: productpage-credential type: opaque data: - objectName: test-productpage-bookinfo-key key: tls.key - objectName: test-productpage-bookinfo-crt key: tls.crt - objectName: test-bookinfo-crt key: ca.crt parameters: useVMManagedIdentity: "true" userAssignedIdentityID: $CLIENT_ID keyvaultName: $AKV_NAME cloudName: "" objects: | array: - | objectName: test-productpage-bookinfo-key objectType: secret objectAlias: "test-productpage-bookinfo-key" - | objectName: test-productpage-bookinfo-crt objectType: secret objectAlias: "test-productpage-bookinfo-crt" - | objectName: test-bookinfo-crt objectType: secret objectAlias: "test-bookinfo-crt" tenantId: $TENANT_ID EOFUse o manifesto a seguir para reimplantar o pod de exemplo para sincronizar os segredos do Azure Key Vault com o cluster.
cat <<EOF | kubectl apply -f - apiVersion: v1 kind: Pod metadata: name: secrets-store-sync-productpage namespace: aks-istio-ingress spec: containers: - name: busybox image: registry.k8s.io/e2e-test-images/busybox:1.29-4 command: - "/bin/sleep" - "10" volumeMounts: - name: secrets-store01-inline mountPath: "/mnt/secrets-store" readOnly: true volumes: - name: secrets-store01-inline csi: driver: secrets-store.csi.k8s.io readOnly: true volumeAttributes: secretProviderClass: "productpage-credential-spc" EOFVerifique o segredo
productpage-credentialcriado no namespace do clusteraks-istio-ingress.kubectl describe secret/productpage-credential -n aks-istio-ingressExemplo de saída:
Name: productpage-credential Namespace: aks-istio-ingress Labels: secrets-store.csi.k8s.io/managed=true Annotations: <none> Type: opaque Data ==== ca.crt: 1188 bytes tls.crt: 1066 bytes tls.key: 1704 bytes
Usar o manifesto a seguir para atualizar a definição do gateway para definir o modo TLS como MUTUAL.
cat <<EOF | kubectl apply -f - apiVersion: networking.istio.io/v1beta1 kind: Gateway metadata: name: bookinfo-gateway spec: selector: istio: aks-istio-ingressgateway-external # use istio default ingress gateway servers: - port: number: 443 name: https protocol: HTTPS tls: mode: MUTUAL credentialName: productpage-credential # must be the same as secret hosts: - productpage.bookinfo.com EOF
Verificação
Tentar enviar a solicitação HTTPS usando a abordagem anterior - sem passar o certificado do cliente - e vê-la falhar.
curl -v -HHost:productpage.bookinfo.com --resolve "productpage.bookinfo.com:$SECURE_INGRESS_PORT_EXTERNAL:$INGRESS_HOST_EXTERNAL" --cacert bookinfo_certs/bookinfo.com.crt "https://productpage.bookinfo.com:$SECURE_INGRESS_PORT_EXTERNAL/productpage"
Exemplo de saída:
...
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* TLSv1.3 (IN), TLS alert, unknown (628):
* OpenSSL SSL_read: error:0A00045C:SSL routines::tlsv13 alert certificate required, errno 0
* Failed receiving HTTP2 data
* OpenSSL SSL_write: SSL_ERROR_ZERO_RETURN, errno 0
* Failed sending HTTP2 data
* Connection #0 to host productpage.bookinfo.com left intact
curl: (56) OpenSSL SSL_read: error:0A00045C:SSL routines::tlsv13 alert certificate required, errno 0
Passe o certificado do cliente com o sinalizador --cert e a chave privada com o sinalizador --key para enrolar.
curl -s -HHost:productpage.bookinfo.com --resolve "productpage.bookinfo.com:$SECURE_INGRESS_PORT_EXTERNAL:$INGRESS_HOST_EXTERNAL" --cacert bookinfo_certs/bookinfo.com.crt --cert bookinfo_certs/client.bookinfo.com.crt --key bookinfo_certs/client.bookinfo.com.key "https://productpage.bookinfo.com:$SECURE_INGRESS_PORT_EXTERNAL/productpage" | grep -o "<title>.*</title>"
Confirme se a página do produto do aplicativo de exemplo está acessível. A saída esperada é:
<title>Simple Bookstore App</title>
Excluir recursos
Se você quiser limpar a malha de serviços do Istio e as entradas (deixando para trás o cluster), execute o comando a seguir:
az aks mesh disable --resource-group ${RESOURCE_GROUP} --name ${CLUSTER}
Se você quiser limpar todos os recursos criados a partir dos documentos de orientação prática do Istio, execute o comando a seguir:
az group delete --name ${RESOURCE_GROUP} --yes --no-wait
Azure Kubernetes Service