[istio源碼分析][citadel] citadel之istio_ca(grpc server)

1. 前言

轉(zhuǎn)載請(qǐng)說(shuō)明原文出處, 尊重他人勞動(dòng)成果!

源碼位置: https://github.com/nicktming/istio
分支: tming-v1.3.6 (基于1.3.6版本)

上一篇文章 [istio源碼分析][citadel] citadel之istio_ca 分析了istio_caserviceaccount controller 和 自定義簽名, 本文將在此基礎(chǔ)上繼續(xù)分析istio_ca提供的一個(gè)grpc server 服務(wù).

2. 認(rèn)證(authenticate)

認(rèn)證的實(shí)現(xiàn)體需要實(shí)現(xiàn)以下幾個(gè)方法:

// security/pkg/server/ca/server.go
type authenticator interface {
    // 認(rèn)證此client端用戶并且返回client端的用戶信息
    Authenticate(ctx context.Context) (*authenticate.Caller, error)
    // 返回認(rèn)證類型
    AuthenticatorType() string
}
// security/pkg/server/ca/authenticate/authenticator.go
type Caller struct {
    // 認(rèn)證的類型
    AuthSource AuthSource
    // client端的用戶信息
    Identities []string
}

authenticator 有三個(gè)實(shí)現(xiàn)體:
1. KubeJWTAuthenticator (security/pkg/server/ca/authenticate/kube_jwt.go) .
2. IDTokenAuthenticator (security/pkg/server/ca/authenticate/authenticator.go)
3. ClientCertAuthenticator (security/pkg/server/ca/authenticate/authenticator.go)

這里主要分析一下KubeJWTAuthenticator的實(shí)現(xiàn).

2.1 KubeJWTAuthenticator

關(guān)于jwt的知識(shí)可以參考 https://www.cnblogs.com/cjsblog/p/9277677.htmlhttp://www.imooc.com/article/264737?block_id=tuijian_wz .

// security/pkg/server/ca/authenticate/kube_jwt.go
type tokenReviewClient interface {
    // 輸入一個(gè)Bearer token, 返回{namespace, serviceaccount name}
    ValidateK8sJwt(targetJWT string) ([]string, error)
}
func NewKubeJWTAuthenticator(k8sAPIServerURL, caCertPath, jwtPath, trustDomain string) (*KubeJWTAuthenticator, error) {
    // 訪問(wèn)k8sAPIServerURL的證書(shū)
    caCert, err := ioutil.ReadFile(caCertPath)
    ...
    // 客戶端用戶的信息(jwt token)
    reviewerJWT, err := ioutil.ReadFile(jwtPath)
    ...
    return &KubeJWTAuthenticator{
        client:      tokenreview.NewK8sSvcAcctAuthn(k8sAPIServerURL, caCert, string(reviewerJWT)),
        trustDomain: trustDomain,
    }, nil
}

1. tokenReviewClient是輸入一個(gè)token, 返回一個(gè)字符串?dāng)?shù)組, 里面信息有namespaceserviceaccount name. 它的實(shí)現(xiàn)體在security/pkg/k8s/tokenreview/k8sauthn.go.
2. 生成一個(gè)KubeJWTAuthenticator對(duì)象.

Authenticate 和 AuthenticatorType
// security/pkg/server/ca/authenticate/kube_jwt.go
func (a *KubeJWTAuthenticator) AuthenticatorType() string {
    // KubeJWTAuthenticatorType = "KubeJWTAuthenticator"
    return KubeJWTAuthenticatorType
}
func (a *KubeJWTAuthenticator) Authenticate(ctx context.Context) (*Caller, error) {
    // 從header Bearer里面獲得token
    targetJWT, err := extractBearerToken(ctx)
    ...
    // 認(rèn)證客戶端并且得到客戶端的信息
    id, err := a.client.ValidateK8sJwt(targetJWT)
    ...
    if len(id) != 2 {
        return nil, fmt.Errorf("failed to parse the JWT. Validation result length is not 2, but %d", len(id))
    }
    callerNamespace := id[0]
    callerServiceAccount := id[1]
    // 返回一個(gè)Caller
    return &Caller{
        AuthSource: AuthSourceIDToken,
        // identityTemplate         = "spiffe://%s/ns/%s/sa/%s"
        Identities: []string{fmt.Sprintf(identityTemplate, a.trustDomain, callerNamespace, callerServiceAccount)},
    }, nil
}

1.header Bearer里面獲得token.
2. 認(rèn)證客戶端并且得到客戶端的信息.
3. 利用客戶端信息組裝成一個(gè)Caller返回. 因?yàn)樵谑跈?quán)(authorize)的時(shí)候需要用到客戶端的信息.

2.1.1 k8sauthn
func NewK8sSvcAcctAuthn(apiServerAddr string, apiServerCert []byte, callerToken string) *K8sSvcAcctAuthn {
    caCertPool := x509.NewCertPool()
    caCertPool.AppendCertsFromPEM(apiServerCert)
    // 訪問(wèn)k8s api-server的證書(shū)
    httpClient := &http.Client{
        Transport: &http.Transport{
            TLSClientConfig: &tls.Config{
                RootCAs: caCertPool,
            },
            MaxIdleConnsPerHost: 100,
        },
    }
    return &K8sSvcAcctAuthn{
        apiServerAddr: apiServerAddr,
        callerToken:   callerToken,
        httpClient:    httpClient,
    }
}

作用: K8sSvcAcctAuthn是負(fù)責(zé)認(rèn)證 k8s JWTs.
1. apiServerAddr: the URL of k8s API Server 從上游可知是(https://kubernetes.default.svc/apis/authentication.k8s.io/v1/tokenreviews)
2. apiServerCert: the CA certificate of k8s API Serversecurity運(yùn)行的這個(gè)pod中對(duì)應(yīng)路徑(/var/run/secrets/kubernetes.io/serviceaccount/ca.crt)的內(nèi)容.
3. callerToken: the JWT of the caller to authenticate to k8s API serversecurity運(yùn)行的這個(gè)pod中對(duì)應(yīng)路徑(/var/run/secrets/kubernetes.io/serviceaccount/token)的內(nèi)容.

reviewServiceAccountAtK8sAPIServer
defaultAudience = "istio-ca"
func (authn *K8sSvcAcctAuthn) reviewServiceAccountAtK8sAPIServer(targetToken string) (*http.Response, error) {
    saReq := saValidationRequest{
        APIVersion: "authentication.k8s.io/v1",
        Kind:       "TokenReview",
        Spec: specForSaValidationRequest{
            Token: targetToken,
            Audiences: []string{defaultAudience},
        },
    }
    saReqJSON, err := json.Marshal(saReq)
    ...
    // 構(gòu)造request
    req, err := http.NewRequest("POST", authn.apiServerAddr, bytes.NewBuffer(saReqJSON))
    ...
    req.Header.Set("Content-Type", "application/json")
    // authn.callerToken是security這個(gè)pod的token
    req.Header.Set("Authorization", "Bearer "+authn.callerToken)
    resp, err := authn.httpClient.Do(req)
    ...
    return resp, nil
}

1. targetToken是客戶端請(qǐng)求的token信息, 也就是客戶端向啟動(dòng)grpc server組件的pod來(lái)發(fā)請(qǐng)求, 所以saReq中的tokentargetToken.
2. authn.callerTokencitadel這個(gè)podtoken, 因?yàn)槭?code>citadel來(lái)向api-server發(fā)請(qǐng)求, 所以Bearer中需要寫citadel這個(gè)podtoken.

例子如下: 具體關(guān)于TokenReview去研究api-server源碼即可.

    // An example SA token:
    // {"alg":"RS256","typ":"JWT"}
    // {"iss":"kubernetes/serviceaccount",
    //  "kubernetes.io/serviceaccount/namespace":"default",
    //  "kubernetes.io/serviceaccount/secret.name":"example-pod-sa-token-h4jqx",
    //  "kubernetes.io/serviceaccount/service-account.name":"example-pod-sa",
    //  "kubernetes.io/serviceaccount/service-account.uid":"ff578a9e-65d3-11e8-aad2-42010a8a001d",
    //  "sub":"system:serviceaccount:default:example-pod-sa"
    //  }

    // An example token review status
    // "status":{
    //   "authenticated":true,
    //   "user":{
    //     "username":"system:serviceaccount:default:example-pod-sa",
    //     "uid":"ff578a9e-65d3-11e8-aad2-42010a8a001d",
    //     "groups":["system:serviceaccounts","system:serviceaccounts:default","system:authenticated"]
    //    }
    // }
ValidateK8sJwt
func (authn *K8sSvcAcctAuthn) ValidateK8sJwt(targetToken string) ([]string, error) {
    // 判斷是否TrustworthyJwt
    // SDS requires JWT to be trustworthy (has aud, exp, and mounted to the pod).
    isTrustworthyJwt, err := isTrustworthyJwt(targetToken)
    ...
    // 返回結(jié)果
    resp, err := authn.reviewServiceAccountAtK8sAPIServer(targetToken)
    ...
    bodyBytes, err := ioutil.ReadAll(resp.Body)
    ...
    tokenReview := &k8sauth.TokenReview{}
    err = json.Unmarshal(bodyBytes, tokenReview)
    ...
    // "username" is in the form of system:serviceaccount:{namespace}:{service account name}",
    // e.g., "username":"system:serviceaccount:default:example-pod-sa"
    subStrings := strings.Split(tokenReview.Status.User.Username, ":")
    ...
    namespace := subStrings[2]
    saName := subStrings[3]
    return []string{namespace, saName}, nil
}

1. 調(diào)用reviewServiceAccountAtK8sAPIServerapi-server返回客戶端的認(rèn)證信息, 也就是說(shuō)向citadel發(fā)請(qǐng)求的客戶端的token需要得到k8s的認(rèn)證.
2.tokenReview.Status.User.Username中得到namespace, serviceaccount name返回.

2.2 ClientCertAuthenticator

func (cca *ClientCertAuthenticator) Authenticate(ctx context.Context) (*Caller, error) {
    peer, ok := peer.FromContext(ctx)
    ...
    tlsInfo := peer.AuthInfo.(credentials.TLSInfo)
    chains := tlsInfo.State.VerifiedChains
    ...
    // 從extensions中獲得ids
    ids, err := util.ExtractIDs(chains[0][0].Extensions)
    ...
    return &Caller{
        AuthSource: AuthSourceClientCertificate,
        Identities: ids,
    }, nil
}

ClientCertAuthenticator針對(duì)的是用x509生成的用戶信息.

3. grpc server

// security/cmd/istio_ca/main.go
func runCA() {
    ...
    if opts.grpcPort > 0 {
        ...
        hostnames := append(strings.Split(opts.grpcHosts, ","), fqdn())
        caServer, startErr := caserver.New(ca, opts.maxWorkloadCertTTL, opts.signCACerts, hostnames,
            opts.grpcPort, spiffe.GetTrustDomain(), opts.sdsEnabled)
        ...
        if serverErr := caServer.Run(); serverErr != nil {
            ch <- struct{}{}
            ...
        }
    }
    ...
}
// security/pkg/server/ca/server.go
func New(ca CertificateAuthority, ttl time.Duration, forCA bool,
    hostlist []string, port int, trustDomain string, sdsEnabled bool) (*Server, error) {
    ...
    authenticators := []authenticator{&authenticate.ClientCertAuthenticator{}}
    // Only add k8s jwt authenticator if SDS is enabled.
    if sdsEnabled {
        // 添加一個(gè)k8s jwt認(rèn)證
        authenticator, err := authenticate.NewKubeJWTAuthenticator(k8sAPIServerURL, caCertPath, jwtPath,
            trustDomain)
        if err == nil {
            authenticators = append(authenticators, authenticator)
            log.Info("added K8s JWT authenticator")
        } else {
            log.Warnf("failed to add JWT authenticator: %v", err)
        }
    }
    ...
    server := &Server{
        authenticators: authenticators,
        ...
    }
    return server, nil
}

由于authorize在此版本沒(méi)有打開(kāi), 因此把關(guān)于authorize部分的內(nèi)容都去掉了.
1. 可以看到認(rèn)證的對(duì)象默認(rèn)有一個(gè)ClientCertAuthenticator類型的對(duì)象, 如果sdsEnabled = true, 那么就會(huì)增加一個(gè)KubeJWTAuthenticator類型的對(duì)象.

HandleCSR
func (s *Server) HandleCSR(ctx context.Context, request *pb.CsrRequest) (*pb.CsrResponse, error) {
    s.monitoring.CSR.Inc()
    // 認(rèn)證
    caller := s.authenticate(ctx)
    ...
    // 生成csr
    csr, err := util.ParsePemEncodedCSR(request.CsrPem)
    ...
    _, err = util.ExtractIDs(csr.Extensions)
    ...
    // TODO: Call authorizer. 等待要做的授權(quán)
    // 獲得簽名后的證書(shū)
    _, _, certChainBytes, _ := s.ca.GetCAKeyCertBundle().GetAll()
    cert, signErr := s.ca.Sign(
        request.CsrPem, caller.Identities, time.Duration(request.RequestedTtlMinutes)*time.Minute, s.forCA)
    ...
    // 組裝response
    response := &pb.CsrResponse{
        IsApproved: true,
        SignedCert: cert,
        CertChain:  certChainBytes,
    }
    ...
    return response, nil
}

作用: 處理請(qǐng)求簽名證書(shū)的request. 對(duì)請(qǐng)求做一些認(rèn)證, 然后簽名并且返回簽名后的證書(shū). 如果沒(méi)有通過(guò), 則返回錯(cuò)誤理由.

handlecsr.png
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
  • 人面猴
    序言:七十年代末,一起剝皮案震驚了整個(gè)濱河市,隨后出現(xiàn)的幾起案子噪窘,更是在濱河造成了極大的恐慌漏设,老刑警劉巖昙衅,帶你破解...
    沈念sama閱讀 206,126評(píng)論 6 481
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件愁憔,死亡現(xiàn)場(chǎng)離奇詭異抹锄,居然都是意外死亡焰手,警方通過(guò)查閱死者的電腦和手機(jī)糟描,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 88,254評(píng)論 2 382
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進(jìn)店門,熙熙樓的掌柜王于貴愁眉苦臉地迎上來(lái)书妻,“玉大人船响,你說(shuō)我怎么就攤上這事《懵模” “怎么了见间?”我有些...
    開(kāi)封第一講書(shū)人閱讀 152,445評(píng)論 0 341
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵,是天一觀的道長(zhǎng)工猜。 經(jīng)常有香客問(wèn)我米诉,道長(zhǎng),這世上最難降的妖魔是什么篷帅? 我笑而不...
    開(kāi)封第一講書(shū)人閱讀 55,185評(píng)論 1 278
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任史侣,我火速辦了婚禮拴泌,結(jié)果婚禮上,老公的妹妹穿的比我還像新娘惊橱。我一直安慰自己蚪腐,他們只是感情好,可當(dāng)我...
    茶點(diǎn)故事閱讀 64,178評(píng)論 5 371
  • 惡毒庶女頂嫁案:這布局不是一般人想出來(lái)的
    文/花漫 我一把揭開(kāi)白布税朴。 她就那樣靜靜地躺著回季,像睡著了一般。 火紅的嫁衣襯著肌膚如雪正林。 梳的紋絲不亂的頭發(fā)上泡一,一...
    開(kāi)封第一講書(shū)人閱讀 48,970評(píng)論 1 284
  • 城市分裂傳說(shuō)
    那天,我揣著相機(jī)與錄音卓囚,去河邊找鬼瘾杭。 笑死,一個(gè)胖子當(dāng)著我的面吹牛哪亿,可吹牛的內(nèi)容都是我干的粥烁。 我是一名探鬼主播,決...
    沈念sama閱讀 38,276評(píng)論 3 399
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開(kāi)眼蝇棉,長(zhǎng)吁一口氣:“原來(lái)是場(chǎng)噩夢(mèng)啊……” “哼讨阻!你這毒婦竟也來(lái)了?” 一聲冷哼從身側(cè)響起篡殷,我...
    開(kāi)封第一講書(shū)人閱讀 36,927評(píng)論 0 259
  • 萬(wàn)榮殺人案實(shí)錄
    序言:老撾萬(wàn)榮一對(duì)情侶失蹤钝吮,失蹤者是張志新(化名)和其女友劉穎,沒(méi)想到半個(gè)月后板辽,有當(dāng)?shù)厝嗽跇?shù)林里發(fā)現(xiàn)了一具尸體奇瘦,經(jīng)...
    沈念sama閱讀 43,400評(píng)論 1 300
  • ?護(hù)林員之死
    正文 獨(dú)居荒郊野嶺守林人離奇死亡,尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 35,883評(píng)論 2 323
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年劲弦,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了耳标。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點(diǎn)故事閱讀 37,997評(píng)論 1 333
  • 活死人
    序言:一個(gè)原本活蹦亂跳的男人離奇死亡,死狀恐怖,靈堂內(nèi)的尸體忽然破棺而出溺拱,到底是詐尸還是另有隱情,我是刑警寧澤砸琅,帶...
    沈念sama閱讀 33,646評(píng)論 4 322
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布,位于F島的核電站轴踱,受9級(jí)特大地震影響症脂,放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 39,213評(píng)論 3 307
  • 男人毒藥:我在死后第九天來(lái)索命
    文/蒙蒙 一摊腋、第九天 我趴在偏房一處隱蔽的房頂上張望沸版。 院中可真熱鬧嘁傀,春花似錦兴蒸、人聲如沸。這莊子的主人今日做“春日...
    開(kāi)封第一講書(shū)人閱讀 30,204評(píng)論 0 19
  • 一樁弒父案橙凳,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽(yáng)。三九已至笑撞,卻和暖如春岛啸,著一層夾襖步出監(jiān)牢的瞬間,已是汗流浹背茴肥。 一陣腳步聲響...
    開(kāi)封第一講書(shū)人閱讀 31,423評(píng)論 1 260
  • 情欲美人皮
    我被黑心中介騙來(lái)泰國(guó)打工坚踩, 沒(méi)想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留,地道東北人瓤狐。 一個(gè)月前我還...
    沈念sama閱讀 45,423評(píng)論 2 352
  • 代替公主和親
    正文 我出身青樓瞬铸,卻偏偏與公主長(zhǎng)得像,于是被迫代替她去往敵國(guó)和親础锐。 傳聞我的和親對(duì)象是個(gè)殘疾皇子嗓节,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 42,722評(píng)論 2 345

推薦閱讀更多精彩內(nèi)容