启用策略检查

本任务讲解如何启用 Istio 策略检查功能。

对于初始安装

在 Istio 默认的安装配置中，策略检查是被禁用的。要安装启用策略检查功能的 Istio，请使用 —set global.disablePolicyChecks=false Helm 安装选项。

或者，您也可以使用演示配置安装 Istio，这默认就启用了策略检查。

对于已经存在的 Istio 网格

• 检查网格的策略检查状态。

$ kubectl -n istio-system get cm istio -o jsonpath="{@.data.mesh}" | grep disablePolicyChecks
disablePolicyChecks: true

如果启用了策略检查，则不需要进一步的操作。

• 编辑 istio configmap 以启用策略检查。

$ kubectl -n istio-system get cm istio -o jsonpath="{@.data.mesh}" | sed -e "s/disablePolicyChecks: true/disablePolicyChecks: false/" > /tmp/mesh.yaml
$ kubectl -n istio-system create cm istio -o yaml --dry-run --from-file=mesh=/tmp/mesh.yaml | kubectl replace -f -
configmap "istio" replaced

• 删除为修补 istio configmap 而创建的临时文件。

$ rm /tmp/mesh.yaml

• 验证现在是否已经成功启用了策略检查。

$ kubectl -n istio-system get cm istio -o jsonpath="{@.data.mesh}" | grep disablePolicyChecks
disablePolicyChecks: false

相关内容

Mixer 适配器模型

概要说明 Mixer 的插件架构。

Denier 适配器以及黑白名单

展示使用简单的 Denier 适配器或黑白名单对服务进行访问控制的方法。

Egress TLS 流量中的 SNI 监控及策略

如何为 Egress TLS 流量配置 SNI 监控并应用策略。

启用速率限制

这一任务展示了如何使用 Istio 动态的对服务通信进行速率限制。

策略与遥测

描述策略实施和遥测机制。