深入理解Istio:云原生服务网格进阶实战
上QQ阅读APP看本书,新人免费读10天
设备和账号都新为新人

2.2.2 授权

Istio的授权策略可以为网格中的服务提供不同级别的访问控制,比如,网格级别、命名空间级别和工作负载级别。授权策略支持ALLOW和DENY动作,假如每个Envoy代理都运行一个授权引擎,当请求到达代理时,授权引擎就会根据当前策略评估请求的上下文,返回授权结果ALLOW或DENY。授权功能如果在没有显示开关状态时配置,则默认处于启动状态。只要将配置好的授权策略应用到对应的工作负载就可以进行访问控制了。

Istio中的授权策略是通过自定义资源AuthorizationPolicy进行配置的。除了定义策略指定的目标(网格、命名空间、工作负载)和动作(容许、拒绝),Istio还提供了丰富的策略匹配规则(比如,可以设置来源、目标、路径、请求标头、方法等条件),甚至支持自定义匹配条件,其灵活性可以极大地满足用户需求。