search

PeerAuthentication

hashtag
PeerAuthentication

PeerAuthentication(对等认证)定义了流量将如何被隧道化(或不被隧道化)到 sidecar。

hashtag
示例

策略允许命名空间 foo 下所有工作负载的 mTLS 流量。

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: default
  namespace: foo
spec:
  mtls:
    mode: STRICT

对于网格级别,根据你的 Istio 安装,将策略放在根命名空间。

策略允许命名空间 foo 下的所有工作负载的 mTLS 和明文流量,但 finance 的工作负载需要 mTLS。

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: default
  namespace: foo
spec:
  mtls:
    mode: PERMISSIVE
---
apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: default
  namespace: foo
spec:
  selector:
    matchLabels:
      app: finance
  mtls:
    mode: STRICT

政策允许所有工作负载严格 mTLS,但 8080 端口保留为明文。

从命名空间(或网格)设置中继承 mTLS 模式的策略,并覆盖 8080 端口的设置。

关于 PeerAuthentication 配置的详细用法请参考 Istio 官方文档arrow-up-right

hashtag
参考

上一页RequestAuthentication下一页JWTRule

最后更新于