Istio 安全 授权管理AuthorizationPolicy

这个和cka考试里面的网络策略是类似的。它是可以实现更加细颗粒度限制的。

本质其实就是设置谁可以访问,谁不可以访问。默认命名空间是没有AuthorizationPolicy---允许所有的客户端访问。

Istio 安全 授权管理AuthorizationPolicy_第1张图片

这里是没有指定应用到谁上面去,有没有指定使用哪些客户端,这样就是拒绝了所有的了。

拒绝优先级>允许优先级>默认策略

如果只允许某些客户端的访问可以设置值:

Istio 安全 授权管理AuthorizationPolicy_第2张图片

 如果对Pod1生成两个策略,一个是allow,一个是deny,两个冲突的时候那么allow就不再生效了,deny是生效的。

上面{}代表着所有的客户端。能不能规定某些客户端可以访问?

但是并不想让所有的客户端都可以访问。

- from:
- source:
 namespaces:
 - "ns1"

 这个代表是允许命名空间ns1客户端可以访问。

Istio 安全 授权管理AuthorizationPolicy_第3张图片

 要求就是ns1命名空间的pod被注入了。

你可能感兴趣的:(Service,Mesh,Istio,istio)