备考ICA----Istio实验16---HTTP流量授权

上海运维Q先生2024-04-06 13:16

备考ICA----Istio实验16---HTTP流量授权

1. 环境准备

bash 复制代码 
kubectl apply -f istio/samples/bookinfo/platform/kube/bookinfo.yaml
kubectl apply -f istio/samples/bookinfo/networking/bookinfo-gateway.yaml

访问测试

bash 复制代码 
curl -I http://192.168.126.220/productpage

2. 开启mtls

mtls/mtls-default.yaml

yaml 复制代码 
apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: default
  namespace: default
spec:
  mtls:
    mode: STRICT

部署生效

bash 复制代码 
kubectl apply -f mtls/mtls-default.yaml

3. 拒绝请求

default名称空间,拒绝所有请求

yaml 复制代码 
apiVersion: security.istio.io/v1
kind: AuthorizationPolicy
metadata:
  name: deny-all
  namespace: default

配置生效

bash 复制代码 
kubectl apply -f mtls/allow-nothing.yaml

访问测试

bash 复制代码 
curl -I http://192.168.126.220/productpage

此时访问被拒绝.返回码403

4. 允许请求

4.1 productpage允许请求

允许以get方式访问productpage

auth/productpage-viewer.yaml

yaml 复制代码 
apiVersion: security.istio.io/v1
kind: AuthorizationPolicy
metadata:
  name: productpage-viewer
  namespace: default
spec:
  selector:
    matchLabels:
      app: productpage
  action: ALLOW
  rules:
  - to:
    - operation:
        methods: ["GET"]

部署生效

bash 复制代码 
kubectl apply -f auth/productpage-viewer.yaml

访问测试

4.2 details允许请求

创建details-viewer允许从productpage访问到details

bash 复制代码 
kubectl get pods productpage-v1-675fc69cf-xlg4x -o yaml|grep -i serviceaccount

cluster.local 本地集群

ns/default 命名空间

sa/bookinfo-productpage sa账号

auth/details-viewer.yaml

yaml 复制代码 
apiVersion: security.istio.io/v1
kind: AuthorizationPolicy
metadata:
  name: details-viewer
  namespace: default
spec:
  selector:
    matchLabels:
      app: details
  action: ALLOW
  rules:
  - from:
    - source:
        principals: ["cluster.local/ns/default/sa/bookinfo-productpage"]
    to:
    - operation:
        methods: ["GET"]

部署生效

bash 复制代码 
kubectl apply  -f auth/details-viewer.yaml

浏览器再次访问

4.3 reviews允许请求

创建reviews-viewer允许从productpage访问到reviews

auth/reviews-viewer.yaml

yaml 复制代码 
apiVersion: security.istio.io/v1
kind: AuthorizationPolicy
metadata:
  name: reviews-viewer
  namespace: default
spec:
  selector:
    matchLabels:
      app: reviews
  action: ALLOW
  rules:
  - from:
    - source:
        principals: ["cluster.local/ns/default/sa/bookinfo-productpage"]
    to:
    - operation:
        methods: ["GET"]

部署生效

bash 复制代码 
kubectl apply -f auth/reviews-viewer.yaml

此时reviews已经可以正常显示,但ratings还是有问题.

4.4 ratings允许请求

创建ratings-viewer允许从productpage访问到ratings

auth/ratings-viewer.yaml

yaml 复制代码 
apiVersion: security.istio.io/v1
kind: AuthorizationPolicy
metadata:
  name: ratings-viewer
  namespace: default
spec:
  selector:
    matchLabels:
      app: ratings
  action: ALLOW
  rules:
  - from:
    - source:
        principals: ["cluster.local/ns/default/sa/bookinfo-reviews"]
    to:
    - operation:
        methods: ["GET"]

部署生效

bash 复制代码 
kubectl apply -f auth/ratings-viewer.yaml

再次访问,现在所有页面都能正常展示了

至此备考ICA----Istio实验16---HTTP流量授权实验完成

相关推荐
容器魔方2 小时前
华为云 AgentArts 智能体评估, 驱动智能体自优化
云原生·容器·开源·华为云·云计算
星辰_mya3 小时前
码头调度主任——Kubernetes
后端·云原生·容器·面试·kubernetes
眷蓝天3 小时前
Kubernetes 优先级与调度管理
云原生·容器·kubernetes
Cat_Rocky5 小时前
K8S中的优先级
云原生·容器·kubernetes
2301_780789665 小时前
容器环境漏洞扫描:适配 K8s 架构的镜像与 Pod 安全检测方案
网络·安全·web安全·云原生·架构·kubernetes·ddos
运维老郭5 小时前
【K8s 调度三阶段 · 避坑完全指南】过滤→打分→绑定,9 成 Pending 都卡在第一关
运维·云原生·kubernetes
SPC的存折6 小时前
14、K8S-NetworkPolicy
运维·云原生·容器·kubernetes
容器魔方6 小时前
云原生 Agent 托管的高效范式:Agent Harness Infra 体系化设计
云原生·容器·开源·云计算
SPC的存折6 小时前
12、Ingress-Nginx 全局超时配置及生效方式
运维·nginx·云原生·kubernetes
ai_coder_ai6 小时前
在自动化脚本中如何使用云原生和FaaS?
云原生·autojs·自动化脚本·冰狐智能辅助·easyclick
热门推荐
01GitHub 镜像站点02Codex 接入 DeepSeek API 完整配置文档03CC-Switch & Claude 基于 Linux 服务器安装使用指南04【AI】2026 年具身智能模型和世界模型总结05零基础教你claude code 接入 deepseek V406Cursor 接入 DeepSeek‑V4‑Pro 完整指南(2026 实测)07codex app每次打开重连5次Reconnecting问题解决08裂开!ChatGPT 居然开始要手机号验证,附详细解决方法09AI科技热点日报 | 2026年5月11日10Windows端Codex接入第三方模型(DeekSeek,BaiLian)