Istio 授权策略 IP 白名单

【问题标题】:Istio Authorization Policy IP whitelistingIstio 授权策略 IP 白名单
【发布时间】:2020-09-24 14:46:24
【问题描述】:

有人知道如何使用 Istio 授权策略正确地进行 IP 白名单吗?我能够按照这个https://istio.io/latest/docs/tasks/security/authorization/authz-ingress/ 在网关上设置白名单。但是,有没有办法使用选择器在特定工作负载上执行此操作?像这样:

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: app-ip-whitelisting
  namespace: foo
spec:
  selector:
    matchLabels:
      app: app1
  rules:
  - from:
    - source:
        IpBlocks: 
        - xx.xx.xx.xx

我无法让它工作。我正在使用 Istio 1.6.8

【问题讨论】:

  • 您好,您的 istio 集群是在 AWS 还是 EKS 上?

标签: istio envoyproxy


【解决方案1】:

我正在运行 Istio 1.5.6,并且以下工作正常(白名单):对于指定的工作负载,只允许 ipBlocks 中的 IP 地址执行,其他 IP 的获取响应代码为 403。我发现ipBlocks 一词令人困惑:它没有阻止任何东西。如果您想阻止某些 IP(黑名单),您需要使用 notIpBlocks

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: peke-echo-v1-ipblock
  namespace: peke-echo-v1
spec:
  selector:
    matchLabels:
      app: peke-echo-v1
      version: v1
  rules:
  - from:
    - source:
        ipBlocks: 
        - 173.18.180.128
        - 173.18.191.159
        - 173.20.58.39

ipBlocks 小驼峰

有时政策生效需要一段时间。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2020-12-18
    • 2020-08-31
    • 2019-02-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode