前提條件

已開啟sidecar自動注入。具體操作，請參見配置Sidecar注入策略。

步驟一：部署測試應用sleep

部署sleep應用，具體操作，請參見部署sleep應用。

使用ACK集群的kubeconfig，執(zhí)行以下命令測試訪問部署在另一套環(huán)境中的httpbin服務。

kubectl exec deploy/sleep -- curl --header "host:test.com" ${ASM網(wǎng)關ip}/status/418

預期輸出：

    -=[ teapot ]=-

       _...._
     .'  _ _ `.
    | ."` ^ `". _,
    \_;`"---"`|//
      |       ;/
      \_     _/
        `"""`

步驟二：開啟REGISTRY_ONLY并創(chuàng)建ServiceEntry

Sidecar支持配置外部訪問策略為REGISTRY_ONLY，開啟之后pod只能訪問通過ServiceEntry注冊的服務。您可以根據(jù)需要選擇是否開啟此項功能。具體開啟步驟，請參見步驟二：開啟REGISTRY_ONLY。開啟之后，訪問未經注冊的服務將會返回502 Bad Gateway。

使用以下內容，為test.com配置ServiceEntry。具體操作，請參見創(chuàng)建集群外服務。

apiVersion: networking.istio.io/v1beta1
kind: ServiceEntry
metadata:
  name: test-com
  namespace: default
spec:
  endpoints:
    - address: ${ASM網(wǎng)關IP}  
  hosts:
    - test.com
  location: MESH_EXTERNAL
  ports:
    - name: http
      number: 80
      protocol: HTTP
    - name: https
      number: 443
      protocol: HTTPS
  resolution: STATIC

完成配置后，即可正常從sleep Pod中訪問httpbin服務。

步驟三：創(chuàng)建ASM出口網(wǎng)關，并讓HTTP協(xié)議請求經過出口網(wǎng)關

1. 創(chuàng)建出口網(wǎng)關，配置HTTP協(xié)議和80端口，并打開雙向TLS認證開關。此開關打開之后，網(wǎng)格中其他工作負載向網(wǎng)關發(fā)送流量時會自動使用mTLS，該mTLS的證書由網(wǎng)格統(tǒng)一管理。具體操作，請參見創(chuàng)建出口網(wǎng)關。

2. 使用以下內容，創(chuàng)建網(wǎng)關規(guī)則。具體操作，請參見創(chuàng)建網(wǎng)關規(guī)則。

   apiVersion: networking.istio.io/v1alpha3
   kind: Gateway
   metadata:
     name: egress-gateway
     namespace: default
   spec:
     selector:
       istio: egressgateway
     servers:
     - hosts:
       - '*'
       port:
         name: http
         number: 80
         protocol: HTTPS
       tls:
         mode: ISTIO_MUTUAL

   網(wǎng)關規(guī)則中聲明了出口網(wǎng)關在80端口上開啟mTLS監(jiān)聽，并且使用網(wǎng)格統(tǒng)一提供的證書。

3. 使用以下內容，創(chuàng)建虛擬服務。

   apiVersion: networking.istio.io/v1alpha3
   kind: VirtualService
   metadata:
     name: egressgateway-vs
   spec:
     hosts:
     - test.com
     gateways:
     - egress-gateway  # 上一步創(chuàng)建的網(wǎng)關規(guī)則名稱。
     - mesh
     http:
     - match:
       - gateways:
         - mesh
         port: 80
       route:
       - destination:
           host: istio-egressgateway.istio-system.svc.cluster.local
           port:
             number: 80
         weight: 100
     - match:
       - gateways:
         - egress-gateway
         port: 80
       route:
       - destination:
           host: test.com
           port:
             number: 80
         weight: 100

   創(chuàng)建虛擬服務后，Sidecar中的test.com的流量將會發(fā)送給出口網(wǎng)關，出口網(wǎng)關收到的test.com流量將發(fā)送給真正的test.com ServiceEntry。

4. 執(zhí)行以下命令，在sleep應用的Pod中訪問test.com。

   kubectl exec deploy/sleep -- curl --header "host:test.com" ${ASM網(wǎng)關ip}/status/418

   預期輸出：

       -=[ teapot ]=-
   
          _...._
        .'  _ _ `.
       | ."` ^ `". _,
       \_;`"---"`|//
         |       ;/
         \_     _/
           `"""`

5. 使用ASM實例的kubeconfig，執(zhí)行以下命令。

   kubectl -n istio-system logs ${出口網(wǎng)關pod名稱}| tail -1

   預期輸出：

   {"authority_for":"test.com","bytes_received":"0","bytes_sent":"135","downstream_local_address":"192.168.36.32:80","downstream_remote_address":"192.168.36.29:58146","duration":"8","istio_policy_status":"-","method":"GET","path":"/status/418","protocol":"HTTP/1.1","request_id":"9f7b5475-6e45-4700-a85a-e00835b6b6c0","requested_server_name":"outbound_.80_._.istio-egressgateway.istio-system.svc.cluster.local","response_code":"418","response_flags":"-","route_name":"-","start_time":"2024-07-29T03:05:58.421Z","trace_id":"-","upstream_cluster":"outbound|80||test.com","upstream_host":"${ASM網(wǎng)關IP}:80","upstream_local_address":"192.168.36.32:52838","upstream_response_time":"7","upstream_service_time":"7","upstream_transport_failure_reason":"-","user_agent":"curl/8.1.2","x_forwarded_for":"192.168.36.29"}

   可以看到，上述日志可以確認該服務經過了ASM出口網(wǎng)關。

當前的請求鏈路是：sleep pod --> istio-egressgateway --> istio-ingressgateway --> httpbin。其中：

• sleep pod --> istio-egressgateway這段是mTLS流量。

• istio-egressgateway --> istio-ingressgateway這段是明文流量。

• istio-ingressgateway --> httpbin這段是mTLS流量。

顯然，兩個網(wǎng)關之間交互通過明文是不安全的。由于服務端網(wǎng)關已經支持了mTLS，因此只需要客戶端出口網(wǎng)關支持發(fā)起mTLS請求即可。

步驟四：在出口網(wǎng)關中將HTTP請求升級為mTLS流量

1. 使用以下內容，更新虛擬服務。

   apiVersion: networking.istio.io/v1alpha3
   kind: VirtualService
   metadata:
     name: egressgateway-vs
   spec:
     hosts:
     - test.com
     gateways:
     - egress-gateway
     - mesh
     http:
     - match:
       - gateways:
         - mesh
         port: 80
       route:
       - destination:
           host: istio-egressgateway.istio-system.svc.cluster.local
           port:
             number: 80
         weight: 100
     - match:
       - gateways:
         - egress-gateway
         port: 80
       route:
       - destination:
           host: test.com
           port:
             number: 443  # 只修改了這一行
         weight: 100

   這里的更新只是將發(fā)送給test.comServiceEntry80端口的流量改為了443端口。

2. 導入mTLS證書，即在ASM入口網(wǎng)關上配置mTLS服務并限制特定客戶端訪問中使用的證書。請確保此處導入的證書名稱為test.client。具體操作，請參見使用ASM證書管理。您也可以使用kubectl直接創(chuàng)建secret完成證書導入。使用ACK集群的kubeconfig，執(zhí)行以下命令。

   kubectl create -n istio-system secret generic test.client \
     --from-file=tls.key=client.key.pem \
     --from-file=tls.crt=clientcert.pem \
     --from-file=ca.crt=cacert.pem

3. 使用以下內容，創(chuàng)建目標規(guī)則。

   apiVersion: networking.istio.io/v1alpha3
   kind: DestinationRule
   metadata:
     name: originate-mtls-for-test-com
   spec:
     host: test.com
     trafficPolicy:
       loadBalancer:
         simple: ROUND_ROBIN
       portLevelSettings:
       - port:
           number: 443
         tls:
           mode: MUTUAL
           credentialName: test.client
           sni: test.com

4. 執(zhí)行以下命令，再次測試訪問。

   kubectl exec deployment/sleep -it -- curl --header "host:test.com" ${ASM網(wǎng)關IP}/status/418

   預期輸出：

   RBAC: access denied%

   可以看到請求被拒絕。這是由于這里復用了在ASM入口網(wǎng)關上配置mTLS服務并限制特定客戶端訪問中的客戶端證書，其中配置了禁止test.client訪問status/418路徑。

5. 執(zhí)行以下命令，訪問status/200路徑。

   kubectl exec deploy/sleep -it -- curl --header "host:test.com" ${ASM網(wǎng)關IP}/status/200 -I

   預期輸出：

   HTTP/1.1 200 OK
   server: envoy
   date: Mon, 29 Jul 2024 03:33:50 GMT
   content-type: text/html; charset=utf-8
   access-control-allow-origin: *
   access-control-allow-credentials: true
   content-length: 0
   x-envoy-upstream-service-time: 5

   可以看到訪問正常。

6. 執(zhí)行以下命令，查看出口網(wǎng)關訪問日志。

   kubectl -n istio-system logs ${出口網(wǎng)關pod名稱}| tail -1

   預期輸出：

   {"authority_for":"test.com","bytes_received":"0","bytes_sent":"19","downstream_local_address":"192.168.36.32:80","downstream_remote_address":"192.168.36.29:58146","duration":"3","istio_policy_status":"-","method":"GET","path":"/status/418","protocol":"HTTP/1.1","request_id":"82394ec4-cf13-45cb-ae4c-cb1873fbccda","requested_server_name":"outbound_.80_._.istio-egressgateway.istio-system.svc.cluster.local","response_code":"403","response_flags":"-","route_name":"-","start_time":"2024-07-29T03:34:36.647Z","trace_id":"-","upstream_cluster":"outbound|443||test.com","upstream_host":"${ASM網(wǎng)關IP}:443","upstream_local_address":"192.168.36.32:42214","upstream_response_time":"2","upstream_service_time":"2","upstream_transport_failure_reason":"-","user_agent":"curl/8.1.2","x_forwarded_for":"192.168.36.29"}

   可以看到這條請求訪問了入口網(wǎng)關的443端口，這個端口上只提供mTLS服務。

步驟五：后續(xù)配置

sleep Pod發(fā)起的是HTTP請求，在經過Sidecar和出口網(wǎng)關之后，全鏈路均使用了mTLS加密。mTLS加密是執(zhí)行客戶端身份認證的基礎，在請求鏈路中，您可以在兩個地方配置授權策略，限制客戶端行為。

1. 使用以下內容，在出口網(wǎng)關上配置授權策略，這可以限制集群內哪些服務可以訪問test.com服務。

   apiVersion: security.istio.io/v1beta1
   kind: AuthorizationPolicy
   metadata:
     labels:
       gateway: egressgateway
     name: test
     namespace: istio-system
   spec:
     action: DENY
     rules:
       - from:
           - source:
               principals:
                 - cluster.local/ns/default/sa/sleep
         to:
           - operation:
               hosts:
                 - test.com
               paths:
                 - /headers
     selector:
       matchLabels:
         istio: egressgateway

   此配置限制了sleep Pod通過出口網(wǎng)關訪問test.com的/headers路徑。

2. 在入口網(wǎng)關上配置授權策略，可以限制直接訪問入口網(wǎng)關的客戶端身份。在步驟四中，由于之前在入口網(wǎng)關上配置的授權策略，使得當前出口網(wǎng)關無法訪問/status/418路徑。