我们有在K8S运行多个服务的应用程序。我们希望将它们移到Istio与MTLS网,在这种情况下,他们都可以相互(到这里进行测试)进行通信。现在,我需要限制网内的一些服务,只能跟一个服务。试图说服那些不认可的其他服务,应该被阻止。这可能吗?
因为我没有办法配置要求的“来源”,并在网格任何人都可以和任何人说话,我不能这样做。
是不是"Micro-Segmentation with Istio Authorization"你在找什么,尤其是在“Combinations of Attributes”你有分割的方式不同,基于source.namespace,source.principal。见过几个演示展示了这些功能,不与他们发挥个人虽然
Istio 1.1+包括可用于配置您的服务的特使三轮代理新Sidecar资源。您应该能够从您的服务配置出口,使他们只能访问他们获准调用一个服务。