保护 Dapr 部署 on Dapr 文档库

设置和配置 mTLS 证书

Mon, 01 Jan 0001 00:00:00 +0000

Dapr 支持通过 Dapr 控制平面的 Sentry 服务对 Dapr 实例之间的通信进行传输加密。Sentry 服务是一个中央证书颁发机构 (CA)。

Dapr 允许操作员和开发人员使用自己的证书，或者让 Dapr 自动创建并保存自签名的根证书和颁发者证书。

有关 mTLS 的详细信息，请阅读安全概念部分。

如果没有提供自定义证书，Dapr 会自动创建并保存有效期为一年的自签名证书。在 Kubernetes 中，证书会保存到 Dapr 系统 pod 所在命名空间的 secret 中，仅对它们可访问。在自托管模式中，证书会保存到磁盘。

控制平面 Sentry 服务配置

mTLS 设置位于 Dapr 控制平面配置文件中。例如，当您将 Dapr 控制平面部署到 Kubernetes 时，此配置文件会自动创建，然后您可以编辑它。以下文件显示了在 daprsystem 命名空间中部署的配置资源中可用的 mTLS 设置：

apiVersion: dapr.io/v1alpha1
kind: Configuration
metadata:
 name: daprsystem
 namespace: default
spec:
 mtls:
 enabled: true
 workloadCertTTL: "24h"
 allowedClockSkew: "15m"

此文件显示了默认的 daprsystem 配置设置。下面的示例向您展示如何在 Kubernetes 和自托管模式下更改和应用此配置到控制平面 Sentry 服务。

使用 OAuth 配置端点授权

Mon, 01 Jan 0001 00:00:00 +0000

Dapr 的 OAuth 2.0 中间件允许您在 Dapr 端点上为 Web API 启用 OAuth 授权，支持授权码模式。您还可以将授权令牌注入到端点 API 中，这些令牌可用于通过客户端凭证模式对 API 调用的外部 API 进行授权。启用中间件后，所有通过 Dapr 的方法调用在传递给用户代码之前都需要进行授权。

这两种模式的主要区别在于，授权码模式需要用户交互并授权用户，而客户端凭证模式不需要用户交互，授权的是服务或应用程序。

在授权服务器上注册您的应用程序

不同的授权服务器提供不同的应用程序注册体验。以下是一些示例：

要配置 Dapr OAuth 中间件，您需要收集以下信息：

客户端 ID (参见这里)
客户端密钥 (参见这里)
范围 (参见这里)
授权 URL
令牌 URL

一些流行的授权服务器的授权/令牌 URL：

服务器	授权 URL	令牌 URL
Microsoft Entra ID	https://login.microsoftonline.com/{tenant}/oauth2/authorize	https://login.microsoftonline.com/{tenant}/oauth2/token
GitHub	https://github.com/login/oauth/authorize	https://github.com/login/oauth/access_token
Google	https://accounts.google.com/o/oauth2/v2/auth	https://accounts.google.com/o/oauth2/token https://www.googleapis.com/oauth2/v4/token
Twitter	https://api.twitter.com/oauth/authorize	https://api.twitter.com/oauth2/token

定义中间件组件

定义授权码模式组件

OAuth 中间件（授权码模式）由以下组件定义：

在 Dapr 中启用 API 令牌认证

Mon, 01 Jan 0001 00:00:00 +0000

默认情况下，Dapr 通过网络边界限制对其公共 API 的访问。如果您计划在该边界之外公开 Dapr API，或者您的部署需要额外的安全级别，请考虑为 Dapr API 启用令牌认证。这意味着 Dapr 将要求每个传入的 gRPC 和 HTTP 请求在通过之前包含认证令牌。

创建令牌

Dapr 通过共享令牌进行 API 认证。您可以自由定义要使用的 API 令牌。

虽然 Dapr 对共享令牌的格式没有具体要求，但一个好的做法是生成一个随机字节序列并将其编码为 Base64。例如，以下命令生成一个随机的 32 字节密钥并将其编码为 Base64：

openssl rand 16 | base64

在 Dapr 中配置 API 令牌认证

对于 Kubernetes 或自托管 Dapr 部署，令牌认证配置略有不同：

自托管

在自托管场景中，Dapr 会检查 DAPR_API_TOKEN 环境变量是否存在。如果在 daprd 进程启动时设置了该环境变量，Dapr 将对其公共 API 强制执行认证：

export DAPR_API_TOKEN=<token>

要更新配置的令牌，请将 DAPR_API_TOKEN 环境变量更新为新值并重新启动 daprd 进程。

Kubernetes

在 Kubernetes 部署中，Dapr 使用 Kubernetes secret 存储来保存共享令牌。要配置 Dapr API 认证，首先创建一个新的 secret：

使用令牌认证对Dapr请求进行身份验证

Mon, 01 Jan 0001 00:00:00 +0000

对于一些构建块，例如pubsub、service-invocation和输入bindings，Dapr与应用程序通过HTTP或gRPC进行通信。为了让应用程序能够验证来自Dapr sidecar的请求，您可以配置Dapr在HTTP请求的头部或gRPC请求的元数据中发送一个API令牌。

创建令牌

Dapr使用共享令牌进行API认证。您可以自由定义API令牌。

虽然Dapr对共享令牌没有强制格式，但一个好的做法是生成一个随机字节序列并将其编码为Base64。例如，这个命令生成一个随机的32字节密钥并将其编码为Base64：

openssl rand 16 | base64

在Dapr中配置应用API令牌认证

令牌认证配置在Kubernetes或selfhosted Dapr部署中略有不同：

Selfhosted

在selfhosted场景中，Dapr会检查APP_API_TOKEN环境变量是否存在。如果在daprd进程启动时设置了该环境变量，Dapr在调用应用程序时会包含该令牌：

export APP_API_TOKEN=<token>

要更新配置的令牌，修改APP_API_TOKEN环境变量为新值并重启daprd进程。

Kubernetes

在Kubernetes部署中，Dapr使用Kubernetes secrets存储来保存共享令牌。首先，创建一个新的secret：

kubectl create secret generic app-api-token --from-literal=token=<token>

注意，您需要在每个希望启用应用令牌认证的命名空间中创建上述secret

要指示Dapr在向应用程序发送请求时使用secret中的令牌，请在您的Deployment模板规范中添加一个注解：

annotations:
 dapr.io/enabled: "true"
 dapr.io/app-token-secret: "app-api-token" # Kubernetes secret的名称

部署时，Dapr Sidecar Injector会自动创建一个secret引用并将实际值注入到APP_API_TOKEN环境变量中。

轮换令牌

Selfhosted

要在selfhosted中更新配置的令牌，修改APP_API_TOKEN环境变量为新值并重启daprd进程。

Kubernetes

要在Kubernetes中更新配置的令牌，修改之前创建的secret中的新令牌在每个命名空间中。您可以使用kubectl patch命令来完成此操作，但更简单的方法是使用清单更新这些：

apiVersion: v1
kind: Secret
metadata:
 name: app-api-token
type: Opaque
data:
 token: <your-new-token>

然后将其应用到每个命名空间：

kubectl apply --file token-secret.yaml --namespace <namespace-name>

要让Dapr开始使用新令牌，请触发对每个部署的滚动升级：