簡體 English 中英

我可以使用大使在Kubernetes集群中對服務到服務通信進行身份驗證嗎？

[英]Can I use the Ambassador to authenticate service-to-service communication inside a Kubernetes cluster?

原文 2018-07-09 14:28:18 3 2 kubernetes/ kubernetes-security

我有一個提供服務的Kubernetes集群，我使用Ambassador作為外界和我的服務之間的API網關。

通過大使，我知道我可以使用一項服務來檢查傳入請求的身份驗證和授權，但這僅適用於群集外的請求嗎？

我也想攔截服務到服務的呼叫。

2 個解決方案

如果您不能，我會感到驚訝。

這個答案需要一些術語，以避免迷失在單詞湯中。

App-A是集群內Service的使用者，並且將向大使進行身份驗證
App-Z是集群內Service的提供者（選擇器將針對其Pod ）
該K8S Service的應用-Z，我們會打電話給z-service在z命名空間，的FQDN z-service.z.svc.cluster.local

好像你可以使用它的V型主機支持，並教它兌現了在集群虛擬主機（上述FQDN），然后更新z-service選擇瞄准吊艙大使，而不是底層的應用-Z豆莢。

從app-A的角度來看，唯一要更改的地方是它現在必須提供用於聯系z-service.z.svc.cluster.local身份驗證。

如果不進一步研究Ambassador的設置，就很難知道此時Ambassador是否會正常工作，或者您是否隨后需要“實施” Service -例如z-for-real.z.svc.cluster.local使大使知道如何找到實際的app-Z Pods。

我現在有同樣的問題。 大使會將每個請求路由到身份驗證服務（如果提供），身份驗證服務可以是任何東西。 因此，您可以設置http基本身份驗證，oauth，jwt身份驗證等。 接下來要提到的重要一點是您的服務可能使用基於標頭的路由（ https://www.getambassador.io/reference/headers ）。 僅當存在承載者（或類似的東西）時，該請求才對您的服務有效，否則將失敗。 在您的服務中，您可以檢查權限等。 因此，所有大使都可以為您提供幫助，但是您仍然需要自己編寫一些程序。

如果您希望從一開始就准備好東西或更高級的東西，可以嘗試https://github.com/ory/oathkeeper或https://istio.io 。

如果您已經找到了解決方案，那將很有趣。

Kubernetes 中的服務到服務通信

[英]Service-to-Service Communication in Kubernetes

如果我有公共負載平衡器，直接的服務到服務通信如何實現負載平衡？

[英]If I have a public load balancer, how does direct service-to-service communication get load balanced?

使用Kubernetes和大使為靜態網站提供服務

[英]Service a static website using Kubernetes and Ambassador

Kubernetes：無法遠程登錄群集中的ClusterIP服務

[英]Kubernetes: Can not telnet to ClusterIP Service inside my Cluster

如何為 kubernetes 集群中的所有命名空間創建服務帳戶？

[英]how can I create a service account for all namespaces in a kubernetes cluster?

我可以為 Kubernetes 服務使用多個名稱嗎？

[英]Can I use multiple names for a Kubernetes service?

使用https和TLS保護Kubernetes集群中的內部服務通信

[英]Securing internal service communication in a Kubernetes cluster with https and TLS

Kubernetes 中 Pod 之間的通信。服務 object 還是集群網絡？

[英]Communication between Pods in Kubernetes. Service object or Cluster Networking?

如何使用 kubernetes 中的大使在子路徑下 map 包含 static 網頁的服務？

[英]How do I map a service containing a static webpage under a subpath using ambassador in kubernetes?

如何在Kubernetes的微服務中在運行時知道Ambassador服務前綴

[英]How to know the Ambassador service prefix at runtime in my microservice in Kubernetes

暫無

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 Kubernetes 中的服務到服務通信如果我有公共負載平衡器，直接的服務到服務通信如何實現負載平衡？使用Kubernetes和大使為靜態網站提供服務 Kubernetes：無法遠程登錄群集中的ClusterIP服務如何為 kubernetes 集群中的所有命名空間創建服務帳戶？我可以為 Kubernetes 服務使用多個名稱嗎？使用https和TLS保護Kubernetes集群中的內部服務通信 Kubernetes 中 Pod 之間的通信。服務 object 還是集群網絡？如何使用 kubernetes 中的大使在子路徑下 map 包含 static 網頁的服務？如何在Kubernetes的微服務中在運行時知道Ambassador服務前綴

相關標簽

粵ICP備18138465號 © 2020-2024 STACKOOM.COM