11.3. 在 Service Mesh 1.x 中使用 JSON Web 令牌身份验证

流程

1. 在您的服务中添加 sidecar.istio.io/inject="true" 注解：

   服务示例

   apiVersion: serving.knative.dev/v1
   kind: Service
   metadata:
     name: <service_name>
   spec:
     template:
       metadata:
         annotations:
           sidecar.istio.io/inject: "true" 1
           sidecar.istio.io/rewriteAppHTTPProbers: "true" 2
   ...

   1

   添加 sidecar.istio.io/inject="true" 注解。

   2

   您必须在 Knative 服务中将注解 sidecar.istio.io/rewriteAppHTTPProbers: "true" 设置为 OpenShift Serverless 版本 1.14.0 或更新的版本，然后使用 HTTP 探测作为 Knative 服务的就绪度探测。

2. 应用 Service 资源：

   $ oc apply -f <filename>

3. 在作为 ServiceMeshMemberRoll 对象的成员的无服务器应用程序命名空间中创建策略，该策略只允许具有有效 JSON Web Tokens（JWT）的请求：

   重要

   路径 /metrics 和 /healthz 必须包含在 excludePaths 中，因为它们是从 knative-serving 命名空间中的系统 pod 访问的。

   apiVersion: authentication.istio.io/v1alpha1
   kind: Policy
   metadata:
     name: default
     namespace: <namespace>
   spec:
     origins:
     - jwt:
         issuer: testing@secure.istio.io
         jwksUri: "https://raw.githubusercontent.com/istio/istio/release-1.6/security/tools/jwt/samples/jwks.json"
         triggerRules:
         - excludedPaths:
           - prefix: /metrics 1
           - prefix: /healthz 2
     principalBinding: USE_ORIGIN

   1

   由系统 pod 收集指标的应用程序上的路径。

   2

   系统 pod 探测到应用程序的路径。

4. 应用 Policy 资源：

   $ oc apply -f <filename>

验证

1. 如果您尝试使用 curl 请求来获取 Knative 服务 URL，则会被拒绝：

   $ curl http://hello-example-default.apps.mycluster.example.com/

   输出示例

   Origin authentication failed.

2. 使用有效 JWT 验证请求。

   1. 获取有效的 JWT 令牌：

      $ TOKEN=$(curl https://raw.githubusercontent.com/istio/istio/release-1.6/security/tools/jwt/samples/demo.jwt -s) && echo "$TOKEN" | cut -d '.' -f2 - | base64 --decode -

   2. 使用 curl 请求标头中的有效令牌访问该服务：

      $ curl http://hello-example-default.apps.mycluster.example.com/ -H "Authorization: Bearer $TOKEN"

      现在允许请求：

      输出示例

      Hello OpenShift!