背景:
有一个类似的问题:Here,但它没有提供我的问题的解决方案。
我已经部署了一个应用程序,它正在按照预期的方式运行到我的Istio Cluster。我想启用JWT身份验证,因此将Here指令调整到我的用例。
ingressgateway:
我首先将以下政策应用于istio-ingressgateway。这有效,并且在没有JWT令牌的情况下发送的任何流量都被阻止。
kubectl apply -n istio-system -f mypolicy.yaml
apiVersion: authentication.istio.io/v1alpha1
kind: Policy
metadata:
name: core-api-policy
namespace: istio-system
spec:
targets:
- name: istio-ingressgateway
ports:
- number: 80
origins:
- jwt:
issuer: "https://cognito-idp.ap-northeast-1.amazonaws.com/ap-northeast-1_pa9vj7sbL"
jwksUri: "https://cognito-idp.ap-northeast-1.amazonaws.com/ap-northeast-1_pa9vj7sbL/.well-known/jwks.json"
principalBinding: USE_ORIGIN
一旦有效,我删除了此策略并为我的服务安装了新策略。
kubectl delete -n istio-system -f mypolicy.yaml
服务/核心API服务:
编辑上述策略后,如下所示更改命名空间和目标,我将策略重新应用到正确的命名空间。
政策:
kubectl apply -n solarmori -f mypolicy.yaml
apiVersion: authentication.istio.io/v1alpha1
kind: Policy
metadata:
name: core-api-policy
namespace: solarmori
spec:
targets:
- name: core-api-service
ports:
- number: 80
origins:
- jwt:
issuer: "https://cognito-idp.ap-northeast-1.amazonaws.com/ap-northeast-1_pa9vj7sbL"
jwksUri: "https://cognito-idp.ap-northeast-1.amazonaws.com/ap-northeast-1_pa9vj7sbL/.well-known/jwks.json"
principalBinding: USE_ORIGIN
服务:
apiVersion: v1
kind: Service
metadata:
name: core-api-service
spec:
type: LoadBalancer
ports:
- port: 80
name: api-svc-port
targetPort: api-app-port
selector:
app: core-api-app
这一行动的结果似乎没有改变交通处理中的任何内容。即使我没有提供JWT,我仍然能够接受我的服务。
我检查了我的服务部署的istio-proxy,并且没有在日志中创建local_jwks,如Here所述。
[procyclinsur@P-428 istio]$ kubectl logs -n solarmori core-api-app-5dd9666777-qhf5v -c istio-proxy | grep local_jwks
[procyclinsur@P-428 istio]$
如果有人知道我哪里出错了,我将非常感谢任何帮助。
要使服务成为Istio服务网格的一部分,您需要满足官方docs中显示的一些要求。
在您的情况下,服务端口名称需要更新为:<protocol>[-<suffix>],其中包含http,http2,grpc,mongo或redis作为<protocol>。
此时转发到服务的请求将通过服务网格,目前,请求由Kubernetes网络解决。