我们想使用Istio来实现对来自应用程序的出口访问的阻止,并拥有IP地址和CIDR阻止的允许列表/阻止列表。使用Istio有什么解决方案吗?
-Renjith
答案 0 :(得分:1)
我们想使用Istio来阻止来自应用程序的出口访问
我认为您可以为此使用REGISTRY_ONLY outboundTrafficPolicy.mode。
Istio具有安装选项meshConfig.outboundTrafficPolicy.mode,用于配置对外部服务(即,在Istio的内部服务注册表中未定义的那些服务)的辅助处理。如果此选项设置为ALLOW_ANY,则Istio代理将允许对未知服务的呼叫通过。如果该选项设置为REGISTRY_ONLY,则Istio代理将阻止在网格中未定义HTTP服务或服务条目的任何主机。 ALLOW_ANY是默认值,使您可以快速开始评估Istio,而无需控制对外部服务的访问。然后,您可以决定稍后配置对外部服务的访问。
,并具有IP地址和CIDR阻止的允许列表/阻止列表。
AFAIK在istio中创建允许/阻止列表的唯一方法是使用AuthorizationPolicy或EnvoyFilter。
我发现了几个示例,它们将AuthorizationPolicy与出口网关一起使用,例如here。
他们只是将AuthorizationPolicy标签从app: istio-ingressgateway更改为app: istio-egressgateway。
spec:
selector:
matchLabels:
app: istio-egressgateway
我一直在寻找ip / cidr的任何示例,但找不到任何东西,因此我不确定这是否可以与出口网关一起使用。
其他资源: