启用策略检查功能

这个任务将告诉你如何开启 Istio 的策略检查功能。

安装阶段

在默认的 Istio 安装配置中,策略检查功能是关闭的。若要开启策略检查功能,需在安装选项中加入—set values.global.disablePolicyChecks=false—set values.pilot.policy.enabled=true

或者,也可以按示例配置安装 Istio,其中策略检查功能已默认开启。

对于已经安装的 Istio 网格

  • 检查该网格中策略检查功能的状态。
  1. $ kubectl -n istio-system get cm istio -o jsonpath="{@.data.mesh}" | grep disablePolicyChecks
  2. disablePolicyChecks: true

如果策略检查功能已开启(disablePolicyChecks置为 false),则无需再做什么。

  • 修改 istio configuration,开启策略检查功能。

在 Istio 根目录执行以下指令:

  1. $ istioctl manifest apply --set values.global.disablePolicyChecks=false --set values.pilot.policy.enabled=true configuration "istio" replaced
  • 验证策略检查功能是否已启用。
  1. $ kubectl -n istio-system get cm istio -o jsonpath="{@.data.mesh}" | grep disablePolicyChecks
  2. disablePolicyChecks: false

相关内容

APP 身份和访问适配器

使用 Istio 实现零代码改动保护多云 Kubernetes 应用。

Mixer 和 SPOF 神话

提高可用,降低延迟。

Mixer 适配器模型

概要说明 Mixer 的插件架构。

Denials 和黑白名单

描述如何使用简单的 denials 或黑白名单来控制对服务的访问。

Mixer 配置模型

描述 Istio 策略执行和遥测机制的配置模型。

TLS Egress 监控和策略配置

描述如何在 TLS Egress 上配置 SNI 监控和策略。