Gateway de entrada seguro para o complemento de malha de serviço Istio para o Serviço Kubernetes do Azure

O artigo Deploy external or internal Istio Ingress descreve como configurar um gateway de entrada para expor um serviço HTTP ao tráfego externo/interno. Este artigo mostra como expor um serviço HTTPS seguro usando TLS simples ou mútuo.

Pré-requisitos

• Habilite o complemento Istio no cluster de acordo com a documentação

  • Definir variáveis de ambiente
  • Instale o complemento Istio
  • Ativar injeção no carro lateral
  • Implantar aplicativo de exemplo

• Implantar um gateway de ingresso Istio externo de acordo com a documentação

  • Habilitar gateway de entrada externo

Nota

Este artigo refere-se ao gateway de entrada externo para demonstração, as mesmas etapas seriam aplicadas para configurar TLS mútuo para gateway de entrada interno.

Certificados e chaves cliente/servidor necessários

Este artigo requer vários certificados e chaves. Você pode usar sua ferramenta favorita para criá-los ou você pode usar os seguintes comandos opensl .

1. Crie um certificado raiz e uma chave privada para assinar os certificados para serviços de exemplo:

   mkdir bookinfo_certs
   openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -subj '/O=bookinfo Inc./CN=bookinfo.com' -keyout bookinfo_certs/bookinfo.com.key -out bookinfo_certs/bookinfo.com.crt
   

2. Gere um certificado e uma chave privada para productpage.bookinfo.com:

   openssl req -out bookinfo_certs/productpage.bookinfo.com.csr -newkey rsa:2048 -nodes -keyout bookinfo_certs/productpage.bookinfo.com.key -subj "/CN=productpage.bookinfo.com/O=product organization"
   openssl x509 -req -sha256 -days 365 -CA bookinfo_certs/bookinfo.com.crt -CAkey bookinfo_certs/bookinfo.com.key -set_serial 0 -in bookinfo_certs/productpage.bookinfo.com.csr -out bookinfo_certs/productpage.bookinfo.com.crt
   

3. Gere um certificado de cliente e uma chave privada:

   openssl req -out bookinfo_certs/client.bookinfo.com.csr -newkey rsa:2048 -nodes -keyout bookinfo_certs/client.bookinfo.com.key -subj "/CN=client.bookinfo.com/O=client organization"
   openssl x509 -req -sha256 -days 365 -CA bookinfo_certs/bookinfo.com.crt -CAkey bookinfo_certs/bookinfo.com.key -set_serial 1 -in bookinfo_certs/client.bookinfo.com.csr -out bookinfo_certs/client.bookinfo.com.crt
   

Configurar um gateway de entrada TLS

Criar um segredo TLS do Kubernetes para o gateway de entrada; use o Azure Key Vault para hospedar certificados/chaves e o complemento Azure Key Vault Secrets Provider para sincronizar segredos com o cluster.

Configurar o Azure Key Vault e sincronizar segredos com o cluster

1. Criar Azure Key Vault

   Você precisa de um recurso do Azure Key Vault para fornecer o certificado e as entradas de chave para o complemento Istio.

   export AKV_NAME=<azure-key-vault-resource-name>  
   az keyvault create --name $AKV_NAME --resource-group $RESOURCE_GROUP --location $LOCATION
   

2. Habilite o provedor do Azure Key Vault para o complemento Driver CSI do Repositório Secreto em seu cluster.

   az aks enable-addons --addons azure-keyvault-secrets-provider --resource-group $RESOURCE_GROUP --name $CLUSTER
   

3. Autorize a identidade gerenciada atribuída pelo usuário do complemento para acessar o recurso do Cofre de Chaves do Azure usando a política de acesso. Como alternativa, se o Cofre da Chave estiver usando o RBAC do Azure para o modelo de permissões, siga as instruções aqui para atribuir uma função do Azure do Cofre da Chave para a identidade gerenciada atribuída pelo usuário do complemento.

   OBJECT_ID=$(az aks show --resource-group $RESOURCE_GROUP --name $CLUSTER --query 'addonProfiles.azureKeyvaultSecretsProvider.identity.objectId' -o tsv | tr -d '\r')
   CLIENT_ID=$(az aks show --resource-group $RESOURCE_GROUP --name $CLUSTER --query 'addonProfiles.azureKeyvaultSecretsProvider.identity.clientId')
   TENANT_ID=$(az keyvault show --resource-group $RESOURCE_GROUP --name $AKV_NAME --query 'properties.tenantId')
   
   az keyvault set-policy --name $AKV_NAME --object-id $OBJECT_ID --secret-permissions get list
   

4. Crie segredos no Cofre de Chaves do Azure usando os certificados e chaves.

   az keyvault secret set --vault-name $AKV_NAME --name test-productpage-bookinfo-key --file bookinfo_certs/productpage.bookinfo.com.key
   az keyvault secret set --vault-name $AKV_NAME --name test-productpage-bookinfo-crt --file bookinfo_certs/productpage.bookinfo.com.crt
   az keyvault secret set --vault-name $AKV_NAME --name test-bookinfo-crt --file bookinfo_certs/bookinfo.com.crt
   

5. Use o manifesto a seguir para implantar SecretProviderClass para fornecer parâmetros específicos do Azure Key Vault para o driver CSI.

   cat <<EOF | kubectl apply -f -
   apiVersion: secrets-store.csi.x-k8s.io/v1
   kind: SecretProviderClass
   metadata:
     name: productpage-credential-spc
     namespace: aks-istio-ingress
   spec:
     provider: azure
     secretObjects:
     - secretName: productpage-credential
       type: tls
       data:
       - objectName: test-productpage-bookinfo-key
         key: key
       - objectName: test-productpage-bookinfo-crt
         key: cert
     parameters:
       useVMManagedIdentity: "true"
       userAssignedIdentityID: $CLIENT_ID 
       keyvaultName: $AKV_NAME
       cloudName: ""
       objects:  |
         array:
           - |
             objectName: test-productpage-bookinfo-key
             objectType: secret
             objectAlias: "test-productpage-bookinfo-key"
           - |
             objectName: test-productpage-bookinfo-crt
             objectType: secret
             objectAlias: "test-productpage-bookinfo-crt"
       tenantId: $TENANT_ID
   EOF
   

6. Use o manifesto a seguir para implantar um pod de exemplo. O driver CSI do repositório secreto requer um pod para fazer referência ao recurso SecretProviderClass para garantir a sincronização de segredos do Cofre da Chave do Azure para o cluster.

   cat <<EOF | kubectl apply -f -
   apiVersion: v1
   kind: Pod
   metadata:
     name: secrets-store-sync-productpage
     namespace: aks-istio-ingress
   spec:
     containers:
       - name: busybox
         image: mcr.microsoft.com/oss/busybox/busybox:1.33.1
         command:
           - "/bin/sleep"
           - "10"
         volumeMounts:
         - name: secrets-store01-inline
           mountPath: "/mnt/secrets-store"
           readOnly: true
     volumes:
       - name: secrets-store01-inline
         csi:
           driver: secrets-store.csi.k8s.io
           readOnly: true
           volumeAttributes:
             secretProviderClass: "productpage-credential-spc"
   EOF
   

   • Verifique productpage-credential o segredo criado no namespace aks-istio-ingress do cluster conforme definido no recurso SecretProviderClass.

     kubectl describe secret/productpage-credential -n aks-istio-ingress
     

     Saída de exemplo:

     Name:         productpage-credential
     Namespace:    aks-istio-ingress
     Labels:       secrets-store.csi.k8s.io/managed=true
     Annotations:  <none>
     
     Type:  tls
     
     Data
     ====
     cert:  1066 bytes
     key:   1704 bytes
     

Configurar gateway de entrada e serviço virtual

Encaminhe o tráfego HTTPS através do gateway de entrada do Istio para os aplicativos de exemplo. Use o manifesto a seguir para implantar recursos de gateway e serviço virtual.

cat <<EOF | kubectl apply -f -
apiVersion: networking.istio.io/v1beta1
kind: Gateway
metadata:
  name: bookinfo-gateway
spec:
  selector:
    istio: aks-istio-ingressgateway-external
  servers:
  - port:
      number: 443
      name: https
      protocol: HTTPS
    tls:
      mode: SIMPLE
      credentialName: productpage-credential
    hosts:
    - productpage.bookinfo.com
---
apiVersion: networking.istio.io/v1beta1
kind: VirtualService
metadata:
  name: productpage-vs
spec:
  hosts:
  - productpage.bookinfo.com
  gateways:
  - bookinfo-gateway
  http:
  - match:
    - uri:
        exact: /productpage
    - uri:
        prefix: /static
    - uri:
        exact: /login
    - uri:
        exact: /logout
    - uri:
        prefix: /api/v1/products
    route:
    - destination:
        port:
          number: 9080
        host: productpage
EOF

Nota

Na definição de gateway, credentialName deve corresponder ao secretName recurso in SecretProviderClass e selector deve referir-se ao gateway de entrada externo por seu rótulo, no qual a chave do rótulo é istio e o valor é aks-istio-ingressgateway-external. Para o gateway de entrada interno, o rótulo é istio e o valor é aks-istio-ingressgateway-internal.

Definir variáveis de ambiente para portas e host de entrada externo:

export INGRESS_HOST_EXTERNAL=$(kubectl -n aks-istio-ingress get service aks-istio-ingressgateway-external -o jsonpath='{.status.loadBalancer.ingress[0].ip}')
export SECURE_INGRESS_PORT_EXTERNAL=$(kubectl -n aks-istio-ingress get service aks-istio-ingressgateway-external -o jsonpath='{.spec.ports[?(@.name=="https")].port}')
export SECURE_GATEWAY_URL_EXTERNAL=$INGRESS_HOST_EXTERNAL:$SECURE_INGRESS_PORT_EXTERNAL

echo "https://$SECURE_GATEWAY_URL_EXTERNAL/productpage"

Verificação

Envie uma solicitação HTTPS para acessar o serviço productpage através de HTTPS:

curl -s -HHost:productpage.bookinfo.com --resolve "productpage.bookinfo.com:$SECURE_INGRESS_PORT_EXTERNAL:$INGRESS_HOST_EXTERNAL" --cacert bookinfo_certs/bookinfo.com.crt "https://productpage.bookinfo.com:$SECURE_INGRESS_PORT_EXTERNAL/productpage" | grep -o "<title>.*</title>"

Confirme se a página do produto do aplicativo de exemplo está acessível. O resultado esperado é:

<title>Simple Bookstore App</title>

Nota

Para configurar o acesso de entrada HTTPS a um serviço HTTPS, ou seja, configurar um gateway de entrada para executar passagem SNI em vez de terminação TLS em solicitações de entrada, atualize o modo tls na definição de gateway para PASSTHROUGH. Isso instrui o gateway a passar o tráfego de entrada "como está", sem encerrar o TLS.

Configurar um gateway de entrada TLS mútuo

Estenda sua definição de gateway para oferecer suporte a TLS mútuo.

1. Atualize a credencial do gateway de entrada excluindo o segredo atual e criando um novo. O servidor usa o certificado da autoridade de certificação para verificar seus clientes, e devemos usar a chave ca.crt para armazenar o certificado da autoridade de certificação.

   kubectl delete secretproviderclass productpage-credential-spc -n aks-istio-ingress
   kubectl delete secret/productpage-credential -n aks-istio-ingress
   kubectl delete pod/secrets-store-sync-productpage -n aks-istio-ingress
   

   Use o manifesto a seguir para recriar SecretProviderClass com certificado de autoridade de certificação.

   cat <<EOF | kubectl apply -f -
   apiVersion: secrets-store.csi.x-k8s.io/v1
   kind: SecretProviderClass
   metadata:
     name: productpage-credential-spc
     namespace: aks-istio-ingress
   spec:
     provider: azure
     secretObjects:
     - secretName: productpage-credential
       type: opaque
       data:
       - objectName: test-productpage-bookinfo-key
         key: tls.key
       - objectName: test-productpage-bookinfo-crt
         key: tls.crt
       - objectName: test-bookinfo-crt
         key: ca.crt
     parameters:
       useVMManagedIdentity: "true"
       userAssignedIdentityID: $CLIENT_ID 
       keyvaultName: $AKV_NAME
       cloudName: ""
       objects:  |
         array:
           - |
             objectName: test-productpage-bookinfo-key
             objectType: secret
             objectAlias: "test-productpage-bookinfo-key"
           - |
             objectName: test-productpage-bookinfo-crt
             objectType: secret
             objectAlias: "test-productpage-bookinfo-crt"
           - |
             objectName: test-bookinfo-crt
             objectType: secret
             objectAlias: "test-bookinfo-crt"
       tenantId: $TENANT_ID
   EOF
   

   Use o manifesto a seguir para reimplantar o pod de exemplo para sincronizar segredos do Cofre de Chaves do Azure para o cluster.

   cat <<EOF | kubectl apply -f -
   apiVersion: v1
   kind: Pod
   metadata:
     name: secrets-store-sync-productpage
     namespace: aks-istio-ingress
   spec:
     containers:
       - name: busybox
         image: registry.k8s.io/e2e-test-images/busybox:1.29-4
         command:
           - "/bin/sleep"
           - "10"
         volumeMounts:
         - name: secrets-store01-inline
           mountPath: "/mnt/secrets-store"
           readOnly: true
     volumes:
       - name: secrets-store01-inline
         csi:
           driver: secrets-store.csi.k8s.io
           readOnly: true
           volumeAttributes:
             secretProviderClass: "productpage-credential-spc"
   EOF
   

   • Verifique productpage-credential o segredo criado no namespace aks-istio-ingressdo cluster .

     kubectl describe secret/productpage-credential -n aks-istio-ingress
     

     Saída de exemplo:

     Name:         productpage-credential
     Namespace:    aks-istio-ingress
     Labels:       secrets-store.csi.k8s.io/managed=true
     Annotations:  <none>
     
     Type:  opaque
     
     Data
     ====
     ca.crt:   1188 bytes
     tls.crt:  1066 bytes
     tls.key:  1704 bytes
     

2. Use o manifesto a seguir para atualizar a definição de gateway para definir o modo TLS como MUTUAL.

   cat <<EOF | kubectl apply -f -
   apiVersion: networking.istio.io/v1beta1
   kind: Gateway
   metadata:
     name: bookinfo-gateway
   spec:
     selector:
       istio: aks-istio-ingressgateway-external # use istio default ingress gateway
     servers:
     - port:
         number: 443
         name: https
         protocol: HTTPS
       tls:
         mode: MUTUAL
         credentialName: productpage-credential # must be the same as secret
       hosts:
       - productpage.bookinfo.com
   EOF
   

Verificação

Tente enviar a solicitação HTTPS usando a abordagem anterior - sem passar o certificado do cliente - e veja ela falhar.

curl -v -HHost:productpage.bookinfo.com --resolve "productpage.bookinfo.com:$SECURE_INGRESS_PORT_EXTERNAL:$INGRESS_HOST_EXTERNAL" --cacert bookinfo_certs/bookinfo.com.crt "https://productpage.bookinfo.com:$SECURE_INGRESS_PORT_EXTERNAL/productpage" 

Saída de exemplo:

...
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* TLSv1.3 (IN), TLS alert, unknown (628):
* OpenSSL SSL_read: error:0A00045C:SSL routines::tlsv13 alert certificate required, errno 0
* Failed receiving HTTP2 data
* OpenSSL SSL_write: SSL_ERROR_ZERO_RETURN, errno 0
* Failed sending HTTP2 data
* Connection #0 to host productpage.bookinfo.com left intact
curl: (56) OpenSSL SSL_read: error:0A00045C:SSL routines::tlsv13 alert certificate required, errno 0

Passe o certificado do seu cliente com a bandeira e a --cert chave privada com a --key bandeira para enrolar.

curl -s -HHost:productpage.bookinfo.com --resolve "productpage.bookinfo.com:$SECURE_INGRESS_PORT_EXTERNAL:$INGRESS_HOST_EXTERNAL" --cacert bookinfo_certs/bookinfo.com.crt --cert bookinfo_certs/client.bookinfo.com.crt --key bookinfo_certs/client.bookinfo.com.key "https://productpage.bookinfo.com:$SECURE_INGRESS_PORT_EXTERNAL/productpage" | grep -o "<title>.*</title>"

Confirme se a página do produto do aplicativo de exemplo está acessível. O resultado esperado é:

<title>Simple Bookstore App</title>

Eliminar recursos

Se você quiser limpar a malha de serviço do Istio e as entradas (deixando para trás o cluster), execute o seguinte comando:

az aks mesh disable --resource-group ${RESOURCE_GROUP} --name ${CLUSTER}

Se você quiser limpar todos os recursos criados a partir dos documentos de orientação de instruções do Istio, execute o seguinte comando:

az group delete --name ${RESOURCE_GROUP} --yes --no-wait