当前位置: 首页 > news >正文

备考ICA----Istio实验17---TCP流量授权

news 2025/7/23 11:14:57

备考ICA----Istio实验17—TCP流量授权

1. 环境准备

1.1 环境部署

kubectl apply -f <(istioctl kube-inject -f istio/samples/tcp-echo/tcp-echo.yaml) -n kim
kubectl apply -f <(istioctl kube-inject -f istio/samples/sleep/sleep.yaml) -n kim

1.2 测试环境

检测环境的9000和9001端口

kubectl exec deploy/sleep -n kim \-- sh -c 'echo "port 9000" \| nc tcp-echo 9000' | grep "hello" && echo 'connection succeeded' || echo 'connection rejected'
kubectl exec deploy/sleep -n kim \-- sh -c 'echo "port 9001" \| nc tcp-echo 9001' | grep "hello" && echo 'connection succeeded' || echo 'connection rejected'

在这里插入图片描述

2. 允许策略

放行kim命名空间下,tcp-echo的9000和90001访问
auth/tcp-policy-allow-all.yaml

apiVersion: security.istio.io/v1
kind: AuthorizationPolicy
metadata:name: tcp-policynamespace: kim
spec:selector:matchLabels:app: tcp-echoaction: ALLOWrules:- to:- operation:ports: ["9000", "9001"]

访问测试

kubectl exec deploy/sleep -n kim \-- sh -c 'echo "port 9000" \| nc tcp-echo 9000' | grep "hello" && echo 'connection succeeded' || echo 'connection rejected'
kubectl exec deploy/sleep -n kim \-- sh -c 'echo "port 9001" \| nc tcp-echo 9001' | grep "hello" && echo 'connection succeeded' || echo 'connection rejected'

在这里插入图片描述

3. 仅允许9000端口被访问

auth/tcp-policy-allow-9000-get.yaml

apiVersion: security.istio.io/v1
kind: AuthorizationPolicy
metadata:name: tcp-policynamespace: foo
spec:selector:matchLabels:app: tcp-echoaction: ALLOWrules:- to:- operation:ports: ["9000"]

访问测试

kubectl exec deploy/sleep -n kim \-- sh -c 'echo "port 9000" \| nc tcp-echo 9000' | grep "hello" && echo 'connection succeeded' || echo 'connection rejected'
kubectl exec deploy/sleep -n kim \-- sh -c 'echo "port 9001" \| nc tcp-echo 9001' | grep "hello" && echo 'connection succeeded' || echo 'connection rejected'

在这里插入图片描述
可以看到之前9000可以被正常访问,9001访问被拒绝

4. 仅禁止9000端口访问

auth/tcp-policy-deny-9000-get.yaml

apiVersion: security.istio.io/v1
kind: AuthorizationPolicy
metadata:name: tcp-policynamespace: kim
spec:selector:matchLabels:app: tcp-echoaction: DENYrules:- to:- operation:ports: ["9000"]

访问测试

kubectl exec deploy/sleep -n kim \-- sh -c 'echo "port 9000" \| nc tcp-echo 9000' | grep "hello" && echo 'connection succeeded' || echo 'connection rejected'
kubectl exec deploy/sleep -n kim \-- sh -c 'echo "port 9001" \| nc tcp-echo 9001' | grep "hello" && echo 'connection succeeded' || echo 'connection rejected'

可以看到我们仅限制了9000端口,当访问9000端口时访问被拒绝,当访问9001端口,请求被响应
在这里插入图片描述
至此备考ICA----Istio实验17—TCP流量授权实验完成

http://www.lryc.cn/news/336855.html

相关文章:

  • [C++][算法基础]树的重心(树图DFS)
  • 探秘ChatGPT:如何利用AI提升论文写作效率
  • 多无人机集群协同避障
  • 基于velero和minio实现k8s数据的备份
  • 【Java核心技术】第4章 对象与类
  • 【LeetCode】回溯算法类题目详解
  • java实现请求缓冲合并
  • 分布式锁的原子性问题
  • 从零自制docker-8-【构建实现run命令的容器】
  • 2024.03.31 校招 实习 内推 面经
  • 邦芒职场:塑造职场人气王的秘诀
  • 滤波器网络变压器的作用
  • Python —— 简述
  • 使用Rust加速Python程序,让代码飞起来
  • 【RISC-V 指令集】RISC-V 向量V扩展指令集介绍(八)- 向量整数算术指令
  • Qt Designer在布局中调整控件垂直伸展或者水平伸展之后控件没有变化
  • 微信公众号粉丝迁移费用是多少?
  • 基于Vue3 中后台管理系统框架
  • Agent调研--19类Agent框架对比
  • 蓝桥杯-求阶乘
  • 计算两个日期之间相差的天数的四种方法
  • 【leetcode面试经典150题】42. 有效的字母异位词(C++)
  • Windows 2003 R2与Windows 2022建立域信任报错:本地安全机构无法跟域控制器获得RPC连接。请检查名称是否可以解析,服务器是否可用。
  • UE5、CesiumForUnreal实现加载建筑轮廓GeoJson数据生成白模功能
  • JavaGUI编程
  • Nginx 基础应用实战 03 基于反向代理的负载均衡、https配置
  • [图解]DDD领域驱动设计伪创新-聚合根02
  • 《QT实用小工具·二十》存款/贷款计算器
  • hbase基础shell用法
  • ElasticSearch 的 BoolQueryBuilder 使用