![[編程工具]Linkerd 2.3 發佈,為 Kubernetes 實現零信任網絡](http://p2.ttnews.xyz/loading.gif)
Image credit: Robert McGoldrick
今天我們非常高興地宣佈推出 Linkerd 2.3。這個版本將mTLS從實驗階段畢業到完全支持的功能,並新加了幾個重要的安全功能。最重要的是,Linkerd 2.3 默認情況下會在網格服務之間進行經過身份驗證的保密通信。
這是回答我們一年多前提出的挑戰的第一步:比不安全的通信,我們能否為Kubernetes更簡單地提供安全的通信?
這不僅僅是一個理論問題。在大多數Web瀏覽器和Web站點使用強大的加密和身份驗證而不需要用戶另花功夫的世界中,Kubernetes服務在沒有身份驗證和純文本的情況下進行通信的情況越來越奇怪。為什麼在Reddit上衝浪貓圖片比我們自己的應用程序內部有更多的安全保障?
確保Kubernetes服務之間的通信是邁向採用零信任網絡的重要一步。在零信任方法中,我們放棄關於數據中心安全邊界的假設,而是將關於身份驗證,授權和機密性的要求“降低”到單個單元。在Kubernetes術語中,這意味著在群集上運行的服務驗證,授權和加密自己的通信。
但是給用戶帶來負擔的安全性,是不能實際使用的安全性 - 特別是複雜的設置和配置。如果零信任是Kubernetes網絡安全未來的基礎,那麼採用零信任的成本必須儘可能接近零。在Linkerd 2.3中,我們正面迎接這一挑戰:
- 控制平面附帶證書頒發機構(簡稱“identity”)。
- 數據平面代理從此身份服務接收TLS證書,該證書與代理所屬的Kubernetes服務帳戶綁定,每24小時輪換一次。
- 數據平面代理使用這些證書自動將網格服務之間的所有通信升級到經過身份驗證的加密TLS連接。
- 由於控制平面也在數據平面上運行,因此控制平面組件之間的通信以相同的方式得到保護。
所有這些都是默認啟用的,不需要配置。這意味著,從2.3版本開始,Linkerd現在為你提供所有網格服務之間的加密,經過身份驗證的通信,而你無需付出任何努力。這可能不是Kubernetes中零信任網絡所需要的全部,但這是一個重要的開端。
此版本代表了Linkerd安全路線圖的重大進步。在即將發佈的博客文章中,Linkerd創建者Oliver Gould將詳細介紹這種方法的設計權衡,並介紹Linkerd即將出現的關於證書鏈,TLS實施,服務帳戶以外身份和授權的路線圖。我們還將於太平洋時間2019年4月24日星期三上午10點舉行的Linkerd線上社區會議討論這些主題(以及2.3中的所有其它有趣功能)。
https://www.meetup.com/Linkerd-Online-Community-Meetup/events/260356731/
準備好試試嗎?通過我們的每週邊緣版本跟蹤2.x分支的那些人已經看到了這些功能的實際應用。無論哪種方式,你都可以通過運行下載穩定的2.3版本:
curl https://run.linkerd.io/install | sh
最後,如果我們沒有指出這種方法深受我們在Smallstep,Cloudflare,Let's Encrypt,Mozilla以及其他致力於在互聯網上保證安全的組織的朋友的深刻啟發,我們將會失職。
Linkerd是一個社區項目,由CNCF託管。如果你有功能請求,問題或評論,我們很樂意讓你加入我們快速成長的社區!
閱讀更多 叄易經叄思想 的文章
