验证双向 TLS 已启用

一旦您将应用添加到 Ambient 网格中,您就可以使用以下一种或多种方法轻松校验工作负载之间是否启用了 mTLS:

使用工作负载的 ztunnel 配置来校验 mTLS

通过方便的 istioctl ztunnel-config workloads 命令,您可以查看工作负载是否被配置为通过 PROTOCOL 列的值发送和接收 HBONE 流量。例如:

  1. $ istioctl ztunnel-config workloads
  2. NAMESPACE    POD NAME                                IP         NODE                     WAYPOINT PROTOCOL
  3. default      details-v1-857849f66-ft8wx              10.42.0.5  k3d-k3s-default-agent-0  None     HBONE
  4. default      kubernetes                              172.20.0.3                          None     TCP
  5. default      productpage-v1-c5b7f7dbc-hlhpd          10.42.0.8  k3d-k3s-default-agent-0  None     HBONE
  6. default      ratings-v1-68d5f5486b-b5sbj             10.42.0.6  k3d-k3s-default-agent-0  None     HBONE
  7. default      reviews-v1-7dc5fc4b46-ndrq9             10.42.1.5  k3d-k3s-default-agent-1  None     HBONE
  8. default      reviews-v2-6cf45d556b-4k4md             10.42.0.7  k3d-k3s-default-agent-0  None     HBONE
  9. default      reviews-v3-86cb7d97f8-zxzl4             10.42.1.6  k3d-k3s-default-agent-1  None     HBONE

在您的工作负载上配置了 HBONE 并不意味着您的工作负载会拒绝任何明文流量。 如果您希望工作负载拒绝明文流量,请为您的工作负载创建一个将 mTLS 模式设置为 STRICTPeerAuthentication 策略。

基于指标校验 mTLS

如果您已安装 Prometheus, 您可以设置端口转发并使用以下命令打开 Prometheus UI:

  1. $ istioctl dashboard prometheus

在 Prometheus 中,您可以查看 TCP 指标的值。首先,选择 Graph 并输入一个指标,例如 istio_tcp_connections_opened_totalistio_tcp_connections_closed_totalistio_tcp_received_bytes_totalistio_tcp_sent_bytes_total。 最后,点击 Execute。数据将包含如下条目:

  1. istio_tcp_connections_opened_total{
  2.   app="ztunnel",
  3.   connection_security_policy="mutual_tls",
  4.   destination_principal="spiffe://cluster.local/ns/default/sa/bookinfo-details",
  5.   destination_service="details.default.svc.cluster.local",
  6.   reporter="source",
  7.   request_protocol="tcp",
  8.   response_flags="-",
  9.   source_app="curl",
  10.   source_principal="spiffe://cluster.local/ns/default/sa/curl",source_workload_namespace="default",
  11.   ...}

校验 connection_security_policy 值是否设置为 mutual_tls,以及期望的源和目标身份信息。

基于日志校验 mTLS

您还可以结合对等身份来查看源或目标 ztunnel 日志以确认 mTLS 是否已启用。 以下是从 curl 服务到 details 服务请求的源 ztunnel 的日志示例:

  1. 2024-08-21T15:32:05.754291Z info access connection complete src.addr=10.42.0.9:33772 src.workload="curl-7656cf8794-6lsm4" src.namespace="default"
  2. src.identity="spiffe://cluster.local/ns/default/sa/curl" dst.addr=10.42.0.5:15008 dst.hbone_addr=10.42.0.5:9080 dst.service="details.default.svc.cluster.local"
  3. dst.workload="details-v1-857849f66-ft8wx" dst.namespace="default" dst.identity="spiffe://cluster.local/ns/default/sa/bookinfo-details"
  4. direction="outbound" bytes_sent=84 bytes_recv=358 duration="15ms"

校验 src.identitydst.identity 值是否正确。 它们是用于源工作负载和目标工作负载之间 mTLS 通信的身份。 有关细节请参阅通过日志验证 ztunnel 流量部分

使用 Kiali 仪表板校验

如果您已安装 Kiali 和 Prometheus,您可以使用 Kiali 的仪表板可视化您的工作负载通信。 您可以结合对等身份信息来查看任意工作负载之间的连接是否具有锁定图标,以验证 mTLS 是否已启用:

Kiali 仪表板
Kiali 仪表板

有关细节请参阅可视化应用和指标文档。

使用 tcpdump 验证

如果您可以访问 Kubernetes 工作节点,您可以运行 tcpdump 命令以捕获网络接口上的所有流量, 可以选择聚焦于应用端口和 HBONE 端口。在此示例中,端口 9080details 服务端口,15008 是 HBONE 端口:

  1. $ tcpdump -nAi eth0 port 9080 or port 15008

您应该在 tcpdump 命令的输出中看到加密的流量。

如果您无法访问工作节点,您可以使用 netshoot 容器镜像来轻松运行以下命令:

  1. $ POD=$(kubectl get pods -l app=details -o jsonpath="{.items[0].metadata.name}")
  2. $ kubectl debug $POD -i --image=nicolaka/netshoot -- tcpdump -nAi eth0 port 9080 or port 15008