- 动态与公告
- 产品简介
- 购买指南
- 快速入门
- 操作指南
- 常见问题
- 常见问题汇总
- 权限相关
- Envoy Sidecar 未就绪导致 Pod 启动失败
- Envoy 异常状态码 431 Request Header Fields Too Large
- Envoy 默认会将 Header 转换为小写
- Headless Service 相关问题
- Istio-init crash
- Virtual Service 不生效
- Virtual Service 路由匹配顺序问题
- 公网 Ingress Gateway 不通
- 启用 Smart DNS 后解析失败
- 地域感知不生效
- 客户端状态码 426 Upgrade Required
- 没有自动注入 Sidecar
- 熔断不生效
- 访问 StatefulSet Pod IP 返回 404
- 重试策略导致服务异常
- 链路追踪信息不完整
- TCM 政策
- 词汇表
- 动态与公告
- 产品简介
- 购买指南
- 快速入门
- 操作指南
- 常见问题
- 常见问题汇总
- 权限相关
- Envoy Sidecar 未就绪导致 Pod 启动失败
- Envoy 异常状态码 431 Request Header Fields Too Large
- Envoy 默认会将 Header 转换为小写
- Headless Service 相关问题
- Istio-init crash
- Virtual Service 不生效
- Virtual Service 路由匹配顺序问题
- 公网 Ingress Gateway 不通
- 启用 Smart DNS 后解析失败
- 地域感知不生效
- 客户端状态码 426 Upgrade Required
- 没有自动注入 Sidecar
- 熔断不生效
- 访问 StatefulSet Pod IP 返回 404
- 重试策略导致服务异常
- 链路追踪信息不完整
- TCM 政策
- 词汇表
操作场景
生产环境(base namespace)的服务已经稳定运行,电商网站业务团队希望对网格中的服务做权限控制,限制生产环境(base namespace)下的服务不能被测试环境(test namesapce)下的服务访问。
操作步骤
对网格中的服务进行权限控制可通过配置 AuthorizationPolicy 实现,配置以下 AuthorizationPolicy 策略限制 base namespace 下所有服务不能被 test namespace 下的服务访问。
通过控制台配置授权规则,如下图所示:
也可以通过提交 YAML 文件至主集群完成授权配置:
apiVersion: security.istio.io/v1beta1kind: AuthorizationPolicymetadata:name: base-authznamespace: basespec:action: DENYrules:- from:- source:namespaces:- test
配置完成后通过 TKE 控制台查看 test namespace 下 client 服务的 pod 日志,发现 client 服务访问 base namespace 的 user 服务失败。授权策略生效。
授权规则限制后,访问失败如下图所示:
是
否
本页内容是否解决了您的问题?