Istio授权策略查询

问题描述 投票:0回答:2

我们是否需要让 Istio sidecar 代理容器与应用程序 pod 一起运行,以使 Istio 授权策略按预期工作?

我们有相关的 Istio 文档吗?

我尝试在没有 sidecar 的情况下运行我的应用程序,但未应用授权策略。

kubernetes openshift istio istio-sidecar servicemesh
2个回答
1
投票

根据官方 Istio 文档中提供的架构。 Istio 代理充当应用程序容器的传入和传出流量之间的网关,负责流量管理、安全性以及执行各种策略,无论它们是定制的还是来自现有模板。

身份验证就是这样一种策略,sidecar 代理可以帮助您应用这些策略,您可以指定各种方法或策略来对工作负载进行身份验证,这些策略在部署后将存储在 Istio 配置存储中。每当策略发生更改或生成符合策略要求的新 Pod 时,此代理容器就会根据策略规范将策略应用到单个工作负载或多个工作负载,如下图所示。

注意: 该图片取自嵌入在上述内容中的 Istio 官方文档。


0
投票

来自 istio 文档 (https://istio.io/latest/docs/concepts/security/):

Sidecar 和外围代理充当策略执行点 (PEP),以确保客户端和服务器之间的通信安全。

授权策略对服务器端 Envoy 代理中的入站流量实施访问控制。每个 Envoy 代理都运行一个授权引擎,在运行时对请求进行授权。当请求到达代理时,授权引擎根据当前授权策略评估请求上下文,并返回授权结果(允许或拒绝)。

因此,我们需要运行 Envoy 以在工作负载上运行授权策略。

© www.soinside.com 2019 - 2024. All rights reserved.