Atgriezties uz mikropakalpojumiem ar Istio. 3. daļa

Piezīme. tulk.: Pirmā daļa šī sērija bija veltīta Istio iespēju iepazīšanai un demonstrēšanai darbībā, otrais — precīzi noregulēta maršrutēšana un tīkla trafika pārvaldība. Tagad parunāsim par drošību: lai demonstrētu ar to saistītās pamatfunkcijas, autors izmanto Auth0 identitātes servisu, taču līdzīgi var konfigurēt citus pakalpojumu sniedzējus.

Mēs izveidojām Kubernetes klasteru, kurā izvietojām Istio un mikropakalpojuma lietojumprogrammas piemēru Sentiment Analysis, lai parādītu Istio iespējas.

Izmantojot Istio, mēs varējām saglabāt savus pakalpojumus mazos, jo tiem nav jāievieš tādi slāņi kā Atkārtoti mēģinājumi, Taimauts, Strāvas slēdži, Izsekošana, Uzraudzība. Turklāt mēs izmantojām uzlabotas testēšanas un izvietošanas metodes: A/B testēšanu, spoguļošanu un kanāriju izlaišanu.

Jaunajā materiālā mēs apskatīsim pēdējos slāņus ceļā uz biznesa vērtību: autentifikāciju un autorizāciju – un Istio tas ir patiess prieks!

Autentifikācija un autorizācija Istio

Es nekad nebūtu ticējis, ka mani iedvesmos autentifikācija un autorizācija. Ko Istio var piedāvāt no tehnoloģiju perspektīvas, lai padarītu šīs tēmas jautras un, vēl jo vairāk, iedvesmojošas?

Atbilde ir vienkārša: Istio nodod atbildību par šīm iespējām no jūsu pakalpojumiem uz sūtņa starpniekserveri. Kamēr pieprasījumi sasniedz pakalpojumus, tie jau ir autentificēti un autorizēti, tāpēc atliek tikai uzrakstīt biznesam noderīgu kodu.

Izklausās labi? Ielūkosimies iekšā!

Autentifikācija ar Auth0

Kā serveri identitātes un piekļuves pārvaldībai mēs izmantosim Auth0, kam ir izmēģinājuma versija, kas ir intuitīvi lietojams, un man tas vienkārši patīk. Tomēr tos pašus principus var attiecināt uz jebkuru citu OpenID Connect ieviešanas: KeyCloak, IdentityServer un daudzi citi.

Lai sāktu, dodieties uz Auth0 portāls ar savu kontu izveidojiet nomnieku (īrnieks - “īrnieks”, izolācijas loģiskā vienība, sīkāk sk dokumentācija — apm. tulk.) un dodieties uz Programmas > Noklusējuma programmaizvēloties Domēns, kā parādīts zemāk esošajā ekrānuzņēmumā:

Norādiet šo domēnu failā resource-manifests/istio/security/auth-policy.yaml (avots):

apiVersion: authentication.istio.io/v1alpha1
kind: Policy
metadata:
  name: auth-policy
spec:
  targets:
  - name: sa-web-app
  - name: sa-feedback
  origins:
  - jwt:
      issuer: "https://{YOUR_DOMAIN}/"
      jwksUri: "https://{YOUR_DOMAIN}/.well-known/jwks.json"
  principalBinding: USE_ORIGIN

Izmantojot šādu resursu, Pilot (viena no trim galvenajām vadības plaknes sastāvdaļām Istio — aptuveni tulk.) konfigurē Envoy, lai autentificētu pieprasījumus pirms to pārsūtīšanas pakalpojumiem: sa-web-app и sa-feedback. Tajā pašā laikā konfigurācija netiek piemērota pakalpojumu sūtņiem sa-frontend, ļaujot mums atstāt priekšgalu neautentificētu. Lai piemērotu politiku, palaidiet komandu:

$ kubectl apply -f resource-manifests/istio/security/auth-policy.yaml
policy.authentication.istio.io “auth-policy” created

Atgriezieties lapā un veiciet pieprasījumu - jūs redzēsiet, ka tas beidzas ar statusu 401 nesankcionēta. Tagad novirzīsim priekšgala lietotājus, lai tie autentificētos, izmantojot Auth0.

Pieprasījumu autentifikācija, izmantojot Auth0

Lai autentificētu galalietotāju pieprasījumus, pakalpojumā Auth0 ir jāizveido API, kas pārstāvēs autentificētos pakalpojumus (atsauksmes, informāciju un vērtējumus). Lai izveidotu API, dodieties uz Auth0 portāls > API > Izveidot API un aizpildiet veidlapu:

Šeit ir svarīga informācija identifikators, ko izmantosim vēlāk skriptā. Pierakstīsim to šādi:

• audience: {YOUR_AUDIENCE}

Pārējā informācija, kas mums nepieciešama, atrodas Auth0 portāla sadaļā Aplikācijas - atlasiet Testa lietojumprogramma (tiek izveidots automātiski kopā ar API).

Šeit mēs rakstīsim:

• Domēns: {YOUR_DOMAIN}
• Klienta ID: {YOUR_CLIENT_ID}

Ritiniet līdz Testa lietojumprogramma uz teksta lauku Atļautie atzvanīšanas URL (atrisinātie URL atzvanīšanai), kurā mēs norādām URL, uz kuru jānosūta zvans pēc autentifikācijas pabeigšanas. Mūsu gadījumā tas ir:

http://{EXTERNAL_IP}/callback

Un par Atļautie atteikšanās URL (atļauti URL, lai izietu) pievienojiet:

http://{EXTERNAL_IP}/logout

Pārejam uz priekšpusi.

Frontend atjauninājums

Pārslēgties uz filiāli auth0 krātuve [istio-mastery]. Šajā nozarē priekšgala kods tiek mainīts, lai novirzītu lietotājus uz Auth0 autentifikācijai un izmantotu JWT marķieri citu pakalpojumu pieprasījumos. Pēdējais tiek īstenots šādi (App.js):

analyzeSentence() {
    fetch('/sentiment', {
        method: 'POST',
        headers: {
            'Content-Type': 'application/json',
            'Authorization': `Bearer ${auth.getAccessToken()}` // Access Token
        },
        body: JSON.stringify({ sentence: this.textField.getValue() })
    })
        .then(response => response.json())
        .then(data => this.setState(data));
}

Lai mainītu priekšgalu, lai Auth0 izmantotu nomnieka datus, atveriet sa-frontend/src/services/Auth.js un aizstājiet tajā vērtības, kuras mēs rakstījām iepriekš (Auth.js):

const Config = {
    clientID: '{YOUR_CLIENT_ID}',
    domain:'{YOUR_DOMAIN}',
    audience: '{YOUR_AUDIENCE}',
    ingressIP: '{EXTERNAL_IP}' // Используется для редиректа после аутентификации
}

Pieteikums ir gatavs. Veidojot un izvietojot veiktās izmaiņas, tālāk norādītajās komandās norādiet savu Docker ID:

$ docker build -f sa-frontend/Dockerfile 
 -t $DOCKER_USER_ID/sentiment-analysis-frontend:istio-auth0 
 sa-frontend

$ docker push $DOCKER_USER_ID/sentiment-analysis-frontend:istio-auth0

$ kubectl set image deployment/sa-frontend 
 sa-frontend=$DOCKER_USER_ID/sentiment-analysis-frontend:istio-auth0

Izmēģiniet lietotni! Jūs tiksiet novirzīts uz Auth0, kur jums ir jāpiesakās (vai jāreģistrējas), pēc tam tiksiet nosūtīts atpakaļ uz lapu, no kuras tiks veikti jau autentificēti pieprasījumi. Ja izmēģināsiet raksta pirmajās daļās minētās komandas ar curl, jūs iegūsit kodu 401 Statusa kods, norādot, ka pieprasījums nav autorizēts.

Spersim nākamo soli – autorizējam pieprasījumus.

Autorizācija ar Auth0

Autentifikācija ļauj mums saprast, kas ir lietotājs, taču ir nepieciešama autorizācija, lai zinātu, kam viņam ir piekļuve. Istio piedāvā rīkus arī šim nolūkam.

Piemēram, izveidosim divas lietotāju grupas (skatiet diagrammu zemāk):

• Biedri (lietotāji) — ar piekļuvi tikai SA-WebApp un SA-Frontend pakalpojumiem;
• Moderatori (moderatori) — ar piekļuvi visiem trim pakalpojumiem.

Autorizācijas koncepcija

Lai izveidotu šīs grupas, mēs izmantosim paplašinājumu Auth0 Authorization un izmantosim Istio, lai nodrošinātu tām dažādus piekļuves līmeņus.

Auth0 autorizācijas instalēšana un konfigurēšana

Portālā Auth0 dodieties uz paplašinājumiem (Paplašinājumi) un instalējiet Auth0 autorizācija. Pēc instalēšanas dodieties uz Autorizācijas paplašinājums, un tur - uz nomnieka konfigurāciju, noklikšķinot augšējā labajā stūrī un atlasot atbilstošo izvēlnes opciju (Konfigurācija). Aktivizēt grupas (Grupas) un noklikšķiniet uz kārtulas publicēšanas pogas (Publicēt kārtulu).

Izveidojiet grupas

Sadaļā Autorizācijas paplašinājums dodieties uz grupas un izveidot grupu Moderatori. Tā kā mēs visus autentificētos lietotājus uzskatīsim par parastajiem lietotājiem, viņiem nav jāveido papildu grupa.

Izvēlieties grupu Moderatori, Nospiediet Pievienot dalībniekus, pievienojiet savu galveno kontu. Atstājiet dažus lietotājus bez grupas, lai pārliecinātos, ka viņiem tiek liegta piekļuve. (Jaunus lietotājus var izveidot manuāli, izmantojot Auth0 portāls > Lietotāji > Izveidot lietotāju.)

Pievienojiet piekļuves pilnvarai grupas pretenziju

Lietotāji ir pievienoti grupām, taču šai informācijai ir jāatspoguļojas arī piekļuves marķieros. Lai nodrošinātu atbilstību OpenID Connect un tajā pašā laikā atgrieztu mums vajadzīgās grupas, marķierim būs jāpievieno savs pielāgota prasība. Ieviests, izmantojot Auth0 noteikumus.

Lai izveidotu kārtulu, dodieties uz Auth0 portālu uz Noteikumi, Nospiediet Izveidot kārtulu un veidnēs atlasiet tukšu noteikumu.

Nokopējiet tālāk norādīto kodu un saglabājiet to kā jaunu noteikumu Pievienot grupas pretenziju (namespacedGroup.js):

function (user, context, callback) {
    context.accessToken['https://sa.io/group'] = user.groups[0];
    return callback(null, user, context);
}

Piezīme: šis kods aizņem pirmo autorizācijas paplašinājumā definēto lietotāju grupu un pievieno to piekļuves pilnvarai kā pielāgotu pretenziju (saskaņā ar tās nosaukumvietu, kā to pieprasa Auth0).

Atgriezties uz lapu Noteikumi un pārbaudiet, vai ir uzrakstīti divi noteikumi šādā secībā:

• auth0-authorization-extension
• Pievienot grupas pretenziju

Secība ir svarīga, jo grupas lauks kārtulu saņem asinhroni auth0-authorization-extension un pēc tam to pievieno kā pretenziju ar otro noteikumu. Rezultāts ir šāds piekļuves marķieris:

{
 "https://sa.io/group": "Moderators",
 "iss": "https://sentiment-analysis.eu.auth0.com/",
 "sub": "google-oauth2|196405271625531691872"
 // [сокращено для наглядности]
}

Tagad jums ir jākonfigurē sūtņa starpniekserveris, lai pārbaudītu lietotāja piekļuvi, kurai grupa tiks noņemta no prasības (https://sa.io/group) atgrieztajā piekļuves pilnvarā. Šī ir nākamā raksta sadaļas tēma.

Autorizācijas konfigurācija Istio

Lai autorizācija darbotos, jums ir jāiespējo RBAC Istio. Lai to izdarītu, mēs izmantosim šādu konfigurāciju:

apiVersion: "rbac.istio.io/v1alpha1"
kind: RbacConfig
metadata:
  name: default
spec:
  mode: 'ON_WITH_INCLUSION'                     # 1
  inclusion:
    services:                                   # 2
    - "sa-frontend.default.svc.cluster.local"
    - "sa-web-app.default.svc.cluster.local"
    - "sa-feedback.default.svc.cluster.local" 

Paskaidrojums:

• 1 — iespējojiet RBAC tikai laukā norādītajiem pakalpojumiem un nosaukumvietām Inclusion;
• 2 — mēs uzskaitām mūsu pakalpojumu sarakstu.

Piemērosim konfigurāciju ar šādu komandu:

$ kubectl apply -f resource-manifests/istio/security/enable-rbac.yaml
rbacconfig.rbac.istio.io/default created

Tagad visiem pakalpojumiem ir nepieciešama uz lomu balstīta piekļuves kontrole. Citiem vārdiem sakot, piekļuve visiem pakalpojumiem ir aizliegta, un tā rezultātā tiks sniegta atbilde RBAC: access denied. Tagad atļausim piekļuvi autorizētiem lietotājiem.

Piekļuves konfigurācija parastajiem lietotājiem

Visiem lietotājiem ir jābūt piekļuvei SA-Frontend un SA-WebApp pakalpojumiem. Ieviests, izmantojot šādus Istio resursus:

• Pakalpojuma loma — nosaka lietotāja tiesības;
• ServiceRoleBinding — nosaka, kam pieder šī pakalpojuma loma.

Parastajiem lietotājiem mēs ļausim piekļūt noteiktiem pakalpojumiem (servicerole.yaml):

apiVersion: "rbac.istio.io/v1alpha1"
kind: ServiceRole
metadata:
  name: regular-user
  namespace: default
spec:
  rules:
  - services: 
    - "sa-frontend.default.svc.cluster.local" 
    - "sa-web-app.default.svc.cluster.local"
    paths: ["*"]
    methods: ["*"]

Un caur regular-user-binding lietot ServiceRole visiem lapas apmeklētājiem (regular-user-service-role-binding.yaml):

apiVersion: "rbac.istio.io/v1alpha1"
kind: ServiceRoleBinding
metadata:
  name: regular-user-binding
  namespace: default
spec:
  subjects:
  - user: "*"
  roleRef:
    kind: ServiceRole
    name: "regular-user"

Vai “visi lietotāji” nozīmē, ka neautentificētiem lietotājiem būs piekļuve SA WebApp? Nē, politika pārbaudīs JWT marķiera derīgumu.

Izmantosim konfigurācijas:

$ kubectl apply -f resource-manifests/istio/security/user-role.yaml
servicerole.rbac.istio.io/regular-user created
servicerolebinding.rbac.istio.io/regular-user-binding created

Piekļuves konfigurācija moderatoriem

Moderatoriem mēs vēlamies nodrošināt piekļuvi visiem pakalpojumiem (mod-service-role.yaml):

apiVersion: "rbac.istio.io/v1alpha1"
kind: ServiceRole
metadata:
  name: mod-user
  namespace: default
spec:
  rules:
  - services: ["*"]
    paths: ["*"]
    methods: ["*"]

Taču mēs vēlamies šādas tiesības tikai tiem lietotājiem, kuru piekļuves pilnvarā ir ietverta prasība https://sa.io/group ar nozīmi Moderators (mod-service-role-binding.yaml):

apiVersion: "rbac.istio.io/v1alpha1"
kind: ServiceRoleBinding
metadata:
  name: mod-user-binding
  namespace: default
spec:
  subjects:
  - properties:
      request.auth.claims[https://sa.io/group]: "Moderators"
  roleRef:
    kind: ServiceRole
name: "mod-user" 

Izmantosim konfigurācijas:

$ kubectl apply -f resource-manifests/istio/security/mod-role.yaml
servicerole.rbac.istio.io/mod-user created
servicerolebinding.rbac.istio.io/mod-user-binding created

Sūtņu kešatmiņas dēļ var paiet dažas minūtes, līdz pilnvarošanas noteikumi stāsies spēkā. Pēc tam varat nodrošināt, ka lietotājiem un moderatoriem ir dažādi piekļuves līmeņi.

Secinājums par šo daļu

Ja nopietni, vai esat kādreiz redzējis vienkāršāku, bez piepūles, mērogojamu un drošu pieeju autentifikācijai un autorizācijai?

Tikai trīs Istio resursi (RbacConfig, ServiceRole un ServiceRoleBinding) bija nepieciešami, lai iegūtu precīzu autentifikācijas kontroli un galalietotāja piekļuves pakalpojumiem autorizāciju.

Turklāt mēs esam parūpējušies par šiem jautājumiem no saviem sūtņu pakalpojumiem, panākot:

• samazināt vispārīgā koda daudzumu, kas var saturēt drošības problēmas un kļūdas;
• samazināt stulbu situāciju skaitu, kurās viens galapunkts izrādījās pieejams no ārpuses un aizmirsa par to ziņot;
• novēršot nepieciešamību atjaunināt visus pakalpojumus katru reizi, kad tiek pievienota jauna loma vai tiesības;
• ka jaunie pakalpojumi joprojām ir vienkārši, droši un ātri.

secinājums

Istio ļauj komandām koncentrēt savus resursus uz uzņēmējdarbībai kritiskiem uzdevumiem, nepalielinot pakalpojumiem papildu izmaksas, atjaunojot tiem mikro statusu.

Raksts (trīs daļās) sniedza pamatzināšanas un gatavus praktiskus norādījumus, lai sāktu darbu ar Istio reālos projektos.

PS no tulka

Lasi arī mūsu emuārā:

• "Atpakaļ uz mikropakalpojumiem ar Istio": 1. daļa (ievads galvenajās iezīmēs), 2. daļa (maršrutēšana, satiksmes kontrole);
• «Caurule - viegls Kubernetes servisa tīkls";
• «Kas ir pakalpojumu tīkls un kāpēc tas ir vajadzīgs [mākoņa lietojumprogrammai ar mikropakalpojumiem]?'.

Avots: www.habr.com