歡迎光臨
每天分享高質量文章

Linkerd 2.3正式公佈:為Kubernetes提供零接觸、零信任網絡

 

今天,我們很高興能夠正式推出Linkerd 2.3。這套畢業版本的發佈,標志著mTLS已經由實驗環境正式成長為一項全面支持功能,同時帶來一系列重要的安全基元。最重要的是,Linkerd 2.3在預設設置下即可在網格服務之間提供經過身份驗證的保密通信能力。
這也意味著在一年多之前剛剛著手解決這項挑戰時,我們所面臨的問題獲得了理想的答案:我們能否為Kubernetes提供易用性甚至高於非安全通信機制的安全通信能力?
這不僅僅是一個理論層面的問題。在目前這個大多數網絡瀏覽器與網絡站點都自帶加密與身份驗證,而用戶則完全無需為安全憂心的世界當中,Kubernetes服務一直以無身份驗證以及明文方式進行通信才是最奇怪、或者說無法接受的情況。為什麼相較於在Reddit上隨意亂逛,在安全性方面反而高於我們探索自己的應用程式內部架構?這不合常理,也無法接受。
保護各Kubernetes服務之間的通信內容,是實現零信任網絡體系的重要一步。在零信任方法當中,我們不再對資料中心安全邊界做出種種不切實際的假設,而是將與身份驗證、授權以及機密性相關的要求“落地”至各個單元。在Kubernetes術語當中,這意味著上述要求將運行在各集群內以驗證、授權並加密對應通信內容。
然而,會給用戶帶來負擔的安全保障機制(特別是複雜的設置與配置要求)絕不可能是良好的安全方案。如果零信任真的會成為Kubernetes未來網絡安全的基礎,那麼零信任原則的採用成本也必須盡可能接近於零。在Linkerd 2.3當中,我們決定直面這一挑戰:
  • 控制平面中附帶證書頒發機制(簡稱為「身份」)。

  • 資料平面各代理從身份服務處接收TLS證書,該證書與代理所歸屬的Kubernetes服務賬戶系結,且每24小時進行一次輪換。

  • 資料平面各代理會自動對網格服務間的通信進行升級,從而利用證書實現TLS連接的驗證與加密。

  • 由於控制平面同樣運行在資料平面之上,因此控制平面各組件之間的通信也將以同樣的方式得到保護。

以上提到的一切都將預設啟用,不需要額外配置。換言之,從2.3版本開始,Linkerd將為您的全部網格服務之間提供經過加密以及身份驗證的通信通道,而用戶則可直接享受一切“勝利果實”。雖然單憑這一次升級還無法實現Kubernetes中建立零信任網絡的全部要求,但這仍然是一次重要的開端與嘗試。
此版本代表著Linkerd安全路線圖的重大進步。在即將發佈的博文當中,Linkerd締造者Oliver Gould將詳盡介紹這種方法在設計過程中的權衡,同時講解Linkerd即將逐步實施的證書鏈、TLS實現、服務賬戶外身份與授權等發展路線圖。再有,我們還計劃於2019年4月24日星期三上午10點(太平洋時間)召開Linkerd在線社區會議[1],這些主題(以及2.3版本帶來的其它有趣功能)當然也將成為會上的討論熱點。
準備好進行體驗了嗎?如果您一直在通過我們的每周邊緣發行版[2]關註2.x分支發佈,那麼可能已經對這些功能的實際應用體驗非常熟悉。即使沒有,您也可以通過運行以下命令下載我們的2.3穩定版本:
  1. curl https://run.linkerd.io/install | sh
最後,還要向大家再做個彙報:2.3版本中採用的安全方法已經得到Smallstep、Cloudflare、Let’s Encrypt以及Mozilla等社區合作伙伴的應用,並幫助他們更好地實現互聯網整體安全提升這一宏大願景。
Linkerd是一個社區專案,由雲原生計算基金會負責托管。如果您有任何功能要求、問題或者評論,我們誠摯邀請您加入我們蓬勃發展的年輕社區!Linkerd在GitHub[3]擁有托管庫,並通過Slack[4]、Twitter[5]以及郵件串列[6]與世界各地的社區參與者積極溝通。快來加入吧!
相關鏈接:
  1. https://www.meetup.com/Linkerd-Online-Community-Meetup/events/260356731/

  2. https://linkerd.io/2/edge

  3. https://github.com/linkerd/

  4. https://slack.linkerd.io/#_ga=2.124954634.1421619741.1555474241-444554766.1553843109

  5. https://twitter.com/linkerd

  6. https://linkerd.io/2/get-involved/

     

原文鏈接:https://linkerd.io/2019/04/16/announcing-linkerd-2.3/

已同步到看一看
赞(0)

分享創造快樂