为 Azure Kubernetes 服务的 Istio 服务网格加载项部署安全入口网关

部署外部或内部 Istio 入口一文介绍了如何配置入口网关以向外部/内部流量公开 HTTP 服务。 本文介绍如何使用简单或双向 TLS 公开安全 HTTPS 服务。

先决条件

• 按照文档在群集上启用 Istio 加载项

  • 设置环境变量
  • 安装 Istio 加载项
  • 启用挎斗注入
  • 部署示例应用程序

• 根据文档部署外部 Istio 入口网关

  • 启用外部入口网关

所需的客户端/服务器证书和密钥

本文需要多个证书和密钥。 你可以使用偏好的工具来创建它们，或者可以使用以下 openssl 命令。

1. 创建根证书和私钥用于为示例服务的证书签名：

   mkdir bookinfo_certs
   openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -subj '/O=bookinfo Inc./CN=bookinfo.com' -keyout bookinfo_certs/bookinfo.com.key -out bookinfo_certs/bookinfo.com.crt
   

2. 为 productpage.bookinfo.com 生成证书和私钥：

   openssl req -out bookinfo_certs/productpage.bookinfo.com.csr -newkey rsa:2048 -nodes -keyout bookinfo_certs/productpage.bookinfo.com.key -subj "/CN=productpage.bookinfo.com/O=product organization"
   openssl x509 -req -sha256 -days 365 -CA bookinfo_certs/bookinfo.com.crt -CAkey bookinfo_certs/bookinfo.com.key -set_serial 0 -in bookinfo_certs/productpage.bookinfo.com.csr -out bookinfo_certs/productpage.bookinfo.com.crt
   

3. 生成客户端证书和私钥：

   openssl req -out bookinfo_certs/client.bookinfo.com.csr -newkey rsa:2048 -nodes -keyout bookinfo_certs/client.bookinfo.com.key -subj "/CN=client.bookinfo.com/O=client organization"
   openssl x509 -req -sha256 -days 365 -CA bookinfo_certs/bookinfo.com.crt -CAkey bookinfo_certs/bookinfo.com.key -set_serial 1 -in bookinfo_certs/client.bookinfo.com.csr -out bookinfo_certs/client.bookinfo.com.crt
   

配置 TLS 入口网关

为入口网关创建 Kubernetes TLS 机密；使用 Azure 密钥保管库托管证书/密钥，并使用 Azure 密钥保管库机密提供程序加载项将机密同步到群集。

设置 Azure 密钥保管库并将机密同步到群集

1. 创建 Azure Key Vault

   需要 Azure Key Vault 资源才能向 Istio 附加产品提供证书和密钥输入。

   export AKV_NAME=<azure-key-vault-resource-name>  
   az keyvault create --name $AKV_NAME --resource-group $RESOURCE_GROUP --location $LOCATION
   

2. 在群集上启用机密存储 CSI 驱动程序的 Azure 密钥保管库提供程序加载项。

   az aks enable-addons --addons azure-keyvault-secrets-provider --resource-group $RESOURCE_GROUP --name $CLUSTER
   

3. 使用访问策略授权加载项的用户分配托管标识访问 Azure 密钥保管库资源。 或者，如果密钥保管库使用 Azure RBAC 作为权限模型，请按照此处的说明为加载项的用户分配托管标识分配密钥保管库的 Azure 角色。

   OBJECT_ID=$(az aks show --resource-group $RESOURCE_GROUP --name $CLUSTER --query 'addonProfiles.azureKeyvaultSecretsProvider.identity.objectId' -o tsv | tr -d '\r')
   CLIENT_ID=$(az aks show --resource-group $RESOURCE_GROUP --name $CLUSTER --query 'addonProfiles.azureKeyvaultSecretsProvider.identity.clientId')
   TENANT_ID=$(az keyvault show --resource-group $RESOURCE_GROUP --name $AKV_NAME --query 'properties.tenantId')
   
   az keyvault set-policy --name $AKV_NAME --object-id $OBJECT_ID --secret-permissions get list
   

4. 使用证书和密钥在 Azure 密钥保管库中创建机密。

   az keyvault secret set --vault-name $AKV_NAME --name test-productpage-bookinfo-key --file bookinfo_certs/productpage.bookinfo.com.key
   az keyvault secret set --vault-name $AKV_NAME --name test-productpage-bookinfo-crt --file bookinfo_certs/productpage.bookinfo.com.crt
   az keyvault secret set --vault-name $AKV_NAME --name test-bookinfo-crt --file bookinfo_certs/bookinfo.com.crt
   

5. 使用以下清单部署 SecretProviderClass，以向 CSI 驱动程序提供 Azure 密钥保管库特定的参数。

   cat <<EOF | kubectl apply -f -
   apiVersion: secrets-store.csi.x-k8s.io/v1
   kind: SecretProviderClass
   metadata:
     name: productpage-credential-spc
     namespace: aks-istio-ingress
   spec:
     provider: azure
     secretObjects:
     - secretName: productpage-credential
       type: kubernetes.io/tls
       data:
       - objectName: test-productpage-bookinfo-key
         key: tls.key
       - objectName: test-productpage-bookinfo-crt
         key: tls.crt
     parameters:
       useVMManagedIdentity: "true"
       userAssignedIdentityID: $CLIENT_ID 
       keyvaultName: $AKV_NAME
       cloudName: ""
       objects:  |
         array:
           - |
             objectName: test-productpage-bookinfo-key
             objectType: secret
             objectAlias: "test-productpage-bookinfo-key"
           - |
             objectName: test-productpage-bookinfo-crt
             objectType: secret
             objectAlias: "test-productpage-bookinfo-crt"
       tenantId: $TENANT_ID
   EOF
   

   或者，若要直接从 Azure Key Vault 引用证书对象类型，请使用以下清单部署 SecretProviderClass。 在此示例中， test-productpage-bookinfo-cert-pxf 是 Azure Key Vault 中证书对象的名称。 有关详细信息，请参阅 获取证书和密钥 部分。

   cat <<EOF | kubectl apply -f -
   apiVersion: secrets-store.csi.x-k8s.io/v1
   kind: SecretProviderClass
   metadata:
     name: productpage-credential-spc
     namespace: aks-istio-ingress
   spec:
     provider: azure
     secretObjects:
     - secretName: productpage-credential
       type: kubernetes.io/tls
       data:
       - objectName: test-productpage-bookinfo-key
         key: tls.key
       - objectName: test-productpage-bookinfo-crt
         key: tls.crt
     parameters:
       useVMManagedIdentity: "true"
       userAssignedIdentityID: $CLIENT_ID 
       keyvaultName: $AKV_NAME
       cloudName: ""
       objects:  |
         array:
           - |
             objectName: test-productpage-bookinfo-cert-pfx  #certificate object name from keyvault
             objectType: secret
             objectAlias: "test-productpage-bookinfo-key"
           - |
             objectName: test-productpage-bookinfo-cert-pfx #certificate object name from keyvault
             objectType: cert
             objectAlias: "test-productpage-bookinfo-crt"
       tenantId: $TENANT_ID
   EOF
   

6. 使用以下清单部署示例 Pod。 机密存储 CSI 驱动程序需要一个 Pod 来引用 SecretProviderClass 资源，以确保机密从 Azure 密钥保管库同步到群集。

   cat <<EOF | kubectl apply -f -
   apiVersion: v1
   kind: Pod
   metadata:
     name: secrets-store-sync-productpage
     namespace: aks-istio-ingress
   spec:
     containers:
       - name: busybox
         image: mcr.azk8s.cn/oss/busybox/busybox:1.33.1
         command:
           - "/bin/sleep"
           - "10"
         volumeMounts:
         - name: secrets-store01-inline
           mountPath: "/mnt/secrets-store"
           readOnly: true
     volumes:
       - name: secrets-store01-inline
         csi:
           driver: secrets-store.csi.k8s.io
           readOnly: true
           volumeAttributes:
             secretProviderClass: "productpage-credential-spc"
   EOF
   

   • 验证在 SecretProviderClass 资源中定义的群集命名空间 productpage-credential 上创建的 aks-istio-ingress 机密。

     kubectl describe secret/productpage-credential -n aks-istio-ingress
     

     示例输出：

     Name:         productpage-credential
     Namespace:    aks-istio-ingress
     Labels:       secrets-store.csi.k8s.io/managed=true
     Annotations:  <none>
     
     Type:  tls
     
     Data
     ====
     cert:  1066 bytes
     key:   1704 bytes
     

配置入口网关和虚拟服务

通过 Istio 入口网关将 HTTPS 流量路由到示例应用程序。 使用以下清单部署网关和虚拟服务资源。

cat <<EOF | kubectl apply -f -
apiVersion: networking.istio.io/v1beta1
kind: Gateway
metadata:
  name: bookinfo-gateway
spec:
  selector:
    istio: aks-istio-ingressgateway-external
  servers:
  - port:
      number: 443
      name: https
      protocol: HTTPS
    tls:
      mode: SIMPLE
      credentialName: productpage-credential
    hosts:
    - productpage.bookinfo.com
---
apiVersion: networking.istio.io/v1beta1
kind: VirtualService
metadata:
  name: productpage-vs
spec:
  hosts:
  - productpage.bookinfo.com
  gateways:
  - bookinfo-gateway
  http:
  - match:
    - uri:
        exact: /productpage
    - uri:
        prefix: /static
    - uri:
        exact: /login
    - uri:
        exact: /logout
    - uri:
        prefix: /api/v1/products
    route:
    - destination:
        port:
          number: 9080
        host: productpage
EOF

为外部入口主机和端口设置环境变量：

export INGRESS_HOST_EXTERNAL=$(kubectl -n aks-istio-ingress get service aks-istio-ingressgateway-external -o jsonpath='{.status.loadBalancer.ingress[0].ip}')
export SECURE_INGRESS_PORT_EXTERNAL=$(kubectl -n aks-istio-ingress get service aks-istio-ingressgateway-external -o jsonpath='{.spec.ports[?(@.name=="https")].port}')
export SECURE_GATEWAY_URL_EXTERNAL=$INGRESS_HOST_EXTERNAL:$SECURE_INGRESS_PORT_EXTERNAL

echo "https://$SECURE_GATEWAY_URL_EXTERNAL/productpage"

验证

发送 HTTPS 请求以通过 HTTPS 访问 productpage 服务：

curl -s -HHost:productpage.bookinfo.com --resolve "productpage.bookinfo.com:$SECURE_INGRESS_PORT_EXTERNAL:$INGRESS_HOST_EXTERNAL" --cacert bookinfo_certs/bookinfo.com.crt "https://productpage.bookinfo.com:$SECURE_INGRESS_PORT_EXTERNAL/productpage" | grep -o "<title>.*</title>"

确认示例应用程序的产品页可供访问。 预期的输出为：

<title>Simple Bookstore App</title>

配置相互 TLS 入口网关

扩展网关定义以支持相互 TLS。

1. 通过删除当前机密并创建新机密来更新入口网关凭据。 服务器使用 CA 证书来验证其客户端，我们必须使用密钥 ca.crt 来保存 CA 证书。

   kubectl delete secretproviderclass productpage-credential-spc -n aks-istio-ingress
   kubectl delete secret/productpage-credential -n aks-istio-ingress
   kubectl delete pod/secrets-store-sync-productpage -n aks-istio-ingress
   

   使用以下清单通过 CA 证书重新创建 SecretProviderClass。

   cat <<EOF | kubectl apply -f -
   apiVersion: secrets-store.csi.x-k8s.io/v1
   kind: SecretProviderClass
   metadata:
     name: productpage-credential-spc
     namespace: aks-istio-ingress
   spec:
     provider: azure
     secretObjects:
     - secretName: productpage-credential
       type: opaque
       data:
       - objectName: test-productpage-bookinfo-key
         key: tls.key
       - objectName: test-productpage-bookinfo-crt
         key: tls.crt
       - objectName: test-bookinfo-crt
         key: ca.crt
     parameters:
       useVMManagedIdentity: "true"
       userAssignedIdentityID: $CLIENT_ID 
       keyvaultName: $AKV_NAME
       cloudName: ""
       objects:  |
         array:
           - |
             objectName: test-productpage-bookinfo-key
             objectType: secret
             objectAlias: "test-productpage-bookinfo-key"
           - |
             objectName: test-productpage-bookinfo-crt
             objectType: secret
             objectAlias: "test-productpage-bookinfo-crt"
           - |
             objectName: test-bookinfo-crt
             objectType: secret
             objectAlias: "test-bookinfo-crt"
       tenantId: $TENANT_ID
   EOF
   

   使用以下清单重新部署示例 Pod，以将 Azure 密钥保管库中的机密同步到群集。

   cat <<EOF | kubectl apply -f -
   apiVersion: v1
   kind: Pod
   metadata:
     name: secrets-store-sync-productpage
     namespace: aks-istio-ingress
   spec:
     containers:
       - name: busybox
         image: registry.k8s.io/e2e-test-images/busybox:1.29-4
         command:
           - "/bin/sleep"
           - "10"
         volumeMounts:
         - name: secrets-store01-inline
           mountPath: "/mnt/secrets-store"
           readOnly: true
     volumes:
       - name: secrets-store01-inline
         csi:
           driver: secrets-store.csi.k8s.io
           readOnly: true
           volumeAttributes:
             secretProviderClass: "productpage-credential-spc"
   EOF
   

   • 验证在群集命名空间 productpage-credential 上创建的 aks-istio-ingress 机密。

     kubectl describe secret/productpage-credential -n aks-istio-ingress
     

     示例输出：

     Name:         productpage-credential
     Namespace:    aks-istio-ingress
     Labels:       secrets-store.csi.k8s.io/managed=true
     Annotations:  <none>
     
     Type:  opaque
     
     Data
     ====
     ca.crt:   1188 bytes
     tls.crt:  1066 bytes
     tls.key:  1704 bytes
     

2. 使用以下清单更新网关定义，以将 TLS 模式设置为 MUTUAL。

   cat <<EOF | kubectl apply -f -
   apiVersion: networking.istio.io/v1beta1
   kind: Gateway
   metadata:
     name: bookinfo-gateway
   spec:
     selector:
       istio: aks-istio-ingressgateway-external # use istio default ingress gateway
     servers:
     - port:
         number: 443
         name: https
         protocol: HTTPS
       tls:
         mode: MUTUAL
         credentialName: productpage-credential # must be the same as secret
       hosts:
       - productpage.bookinfo.com
   EOF
   

验证

尝试使用前面所述的方法发送 HTTPS 请求 - 不要传递客户端证书 - 你会看到此请求失败。

curl -v -HHost:productpage.bookinfo.com --resolve "productpage.bookinfo.com:$SECURE_INGRESS_PORT_EXTERNAL:$INGRESS_HOST_EXTERNAL" --cacert bookinfo_certs/bookinfo.com.crt "https://productpage.bookinfo.com:$SECURE_INGRESS_PORT_EXTERNAL/productpage" 

示例输出：

...
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* TLSv1.3 (IN), TLS alert, unknown (628):
* OpenSSL SSL_read: error:0A00045C:SSL routines::tlsv13 alert certificate required, errno 0
* Failed receiving HTTP2 data
* OpenSSL SSL_write: SSL_ERROR_ZERO_RETURN, errno 0
* Failed sending HTTP2 data
* Connection #0 to host productpage.bookinfo.com left intact
curl: (56) OpenSSL SSL_read: error:0A00045C:SSL routines::tlsv13 alert certificate required, errno 0

将带有 --cert 标志的客户端证书和带有 --key 标志的私钥传递给 curl。

curl -s -HHost:productpage.bookinfo.com --resolve "productpage.bookinfo.com:$SECURE_INGRESS_PORT_EXTERNAL:$INGRESS_HOST_EXTERNAL" --cacert bookinfo_certs/bookinfo.com.crt --cert bookinfo_certs/client.bookinfo.com.crt --key bookinfo_certs/client.bookinfo.com.key "https://productpage.bookinfo.com:$SECURE_INGRESS_PORT_EXTERNAL/productpage" | grep -o "<title>.*</title>"

确认示例应用程序的产品页可供访问。 预期的输出为：

<title>Simple Bookstore App</title>

删除资源

如果要清理 Istio 服务网格和入口（留下群集），请运行以下命令：

az aks mesh disable --resource-group ${RESOURCE_GROUP} --name ${CLUSTER}

如果要清理根据 Istio 操作指南文档创建的所有资源，请运行以下命令：

az group delete --name ${RESOURCE_GROUP} --yes --no-wait

后续步骤

• 使用 Kubernetes Gateway API 为 Istio 服务网格插件配置 Ingress