启用策略检查功能

这个任务将告诉你如何开启 Istio 的策略检查功能。

安装阶段

在默认的 Istio 安装配置中，策略检查功能是关闭的。若要开启策略检查功能，需在安装选项中加入—set values.global.disablePolicyChecks=false 和 —set values.pilot.policy.enabled=true。

或者，也可以按示例配置安装 Istio，其中策略检查功能已默认开启。

对于已经安装的 Istio 网格

• 检查该网格中策略检查功能的状态。

$ kubectl -n istio-system get cm istio -o jsonpath="{@.data.mesh}" | grep disablePolicyChecks
disablePolicyChecks: true

如果策略检查功能已开启（disablePolicyChecks置为 false），则无需再做什么。

• 修改 istio configuration，开启策略检查功能。

在 Istio 根目录执行以下指令：

$ istioctl manifest apply --set values.global.disablePolicyChecks=false --set values.pilot.policy.enabled=true configuration "istio" replaced

• 验证策略检查功能是否已启用。

$ kubectl -n istio-system get cm istio -o jsonpath="{@.data.mesh}" | grep disablePolicyChecks
disablePolicyChecks: false

相关内容

APP 身份和访问适配器

使用 Istio 实现零代码改动保护多云 Kubernetes 应用。

Mixer 和 SPOF 神话

提高可用，降低延迟。

Mixer 适配器模型

概要说明 Mixer 的插件架构。

Denials 和黑白名单

描述如何使用简单的 denials 或黑白名单来控制对服务的访问。

Mixer 配置模型

描述 Istio 策略执行和遥测机制的配置模型。

TLS Egress 监控和策略配置

描述如何在 TLS Egress 上配置 SNI 监控和策略。