明确拒绝

    在您开始之前,请执行以下操作:

    • 阅读 Istio 授权概念

    • 根据 安装 Istio.

    • 部署工作负载:

      该任务使用两个工作负载,httpbin 和 sleep,部署在一个命名空间 foo。这两个工作负载都在每个工作负载前都有一个 Envoy 代理。使用以下命令部署示例命名空间和工作负载:

    • 使用以下命令校验 sleep 任务与 httpbin 的对话。

    1. $ kubectl exec "$(kubectl get pod -l app=sleep -n foo -o jsonpath={.items..metadata.name})" -c sleep -n foo -- curl http://httpbin.foo:8000/ip -sS -o /dev/null -w "%{http_code}\n"
    2. 200

    如果您在执行此任务时,没有看见到预期的输出,请您在几秒后重试。缓存和传播成本可能会导致一些延迟。

    1. 以下命令为 foo 命名空间中的 httpbin 工作负载创建 deny-method-get 授权策略。该授权将 action 设置为 DENY,以拒绝满足 rules 部分设置的条件的请求。该类型策略被称为“拒绝策略”。在这种情况下,如果请求方式是 GET,策略会拒绝请求。

      1. $ kubectl apply -f - <<EOF
      2. apiVersion: security.istio.io/v1beta1
      3. kind: AuthorizationPolicy
      4. metadata:
      5.   name: deny-method-get
      6.   namespace: foo
      7. spec:
      8.   selector:
      9.     matchLabels:
      10.       app: httpbin
      11.   action: DENY
      12.   - to:
      13.     - operation:
      14.         methods: ["GET"]

    2. 检查 GET 请求是否被拒绝:

      1. $ kubectl exec "$(kubectl get pod -l app=sleep -n foo -o jsonpath={.items..metadata.name})" -c sleep -n foo -- curl "http://httpbin.foo:8000/get" -X GET -sS -o /dev/null -w "%{http_code}\n"
      2. 403

    3. 检查是否允许 POST 请求:

      1. $ kubectl apply -f - <<EOF
      2. apiVersion: security.istio.io/v1beta1
      3. kind: AuthorizationPolicy
      4. metadata:
      5.   name: deny-method-get
      6.   namespace: foo
      7. spec:
      8.   selector:
      9.     matchLabels:
      10.       app: httpbin
      11.   action: DENY
      12.   rules:
      13.     - operation:
      14.         methods: ["GET"]
      15.     when:
      16.     - key: request.headers[x-token]
      18. EOF

    5. 检查是否允许 HTTP 头 x-token: adminGET 请求:

      1. $ kubectl exec "$(kubectl get pod -l app=sleep -n foo -o jsonpath={.items..metadata.name})" -c sleep -n foo -- curl "http://httpbin.foo:8000/get" -X GET -H "x-token: admin" -sS -o /dev/null -w "%{http_code}\n"
      2. 200

    6. 检查 HTTP 头 x-token: guest 的 GET 请求是否被拒绝:

      1. $ kubectl exec "$(kubectl get pod -l app=sleep -n foo -o jsonpath={.items..metadata.name})" -c sleep -n foo -- curl "http://httpbin.foo:8000/get" -X GET -H "x-token: guest" -sS -o /dev/null -w "%{http_code}\n"
      2. 403

    7. 以下命令创建 allow-path-ip 授权策略,允许以 /ip 路径向 httpbin 工作负载发出请求。该授权策略设置 action 字段为 ALLOW。该类型的策略被称为“允许策略”。

    8. 检查 /ip 中 HTTP 头中 x-token: guestGET 请求会否被 deny-method-get 策略拒绝。“拒绝策略”优先级高于“允许策略”:

      1. $ kubectl exec "$(kubectl get pod -l app=sleep -n foo -o jsonpath={.items..metadata.name})" -c sleep -n foo -- curl "http://httpbin.foo:8000/ip" -X GET -H "x-token: guest" -s -o /dev/null -w "%{http_code}\n"
      2. 403

    9. 检查 /ip 路径中 HTTP 头 x-token: adminGET 请求是否被 allow-path-ip 策略允许:

      1. $ kubectl exec "$(kubectl get pod -l app=sleep -n foo -o jsonpath={.items..metadata.name})" -c sleep -n foo -- curl "http://httpbin.foo:8000/ip" -X GET -H "x-token: admin" -s -o /dev/null -w "%{http_code}\n"
      2. 200

    1. 从配置中删除命名空间 foo: