按照 https://istio.io/latest/docs/reference/config/security/authorization-policy/#AuthorizationPolicy-Action 测试 AuthorizationPolicy CRD 并不是很简单。我想确保我编写的 AuthorizationPolicy 可以允许我想要允许的请求,并拒绝那些我不允许的请求。但是我的集群中有多跳工作负载,所以当请求失败时,我不知道去哪里调试授权规则。
之前的研究
我找到了这篇 Debugging Authorization 文章,但它是针对 IstioIdle 1.0 的。但是我使用的是 Istio 1.9,在 istio 架构方面存在一些差异。
我有一个 Kubeflow 应用程序 deployment guide,它具有旧的授权策略(请参阅 this 中的 ClusterRbacConfig)。我想保留原始的基于角色的访问控制策略,但使用新的 AuthorizatonPolicy CRD 来实现它。