Essayer de trouver le meilleur moyen de bloquer toute connexion Internet à un service k8s utilisant Istio.Utilisation d'Istio pour bloquer les connexions entrantes de ANY vers un service
Quel serait le meilleur choix parmi les politiques d'Istio?
Mixer - refus ou listes Pilot - itinéraire règles - telles que l'injection de faute d'abandon (400) ou la politique de destination - tel que le circuit de rupture (connexion max 0 ???)
essayé tous les ci-dessus mais rien ne fonctionne et peu d'entre eux ne sont pas très intuitifs à configurer (et pas bien documentés).
apprécierions si un exemple de travail sera fixé
Voici un exemple pour Injecting HTTP fault policy.
destination: "ratings.default.svc.cluster.local"
route:
- tags:
version:
httpFault:
abort:
percent: 100
httpStatus: 400
httpStatus: 400
D'abord, Istio demande un "type":
Error: Istio doesn't have configuration type , the types are destination-policy, ingress-rule, route-rule
Après avoir ajouté le type manuellement:
type: route-rule
destination: "ratings.default.svc.cluster.local"
route:
- tags:
version:
httpFault:
abort:
percent: 100
httpStatus: 400
Il crie sur la méthode:
I0914 17:44:32.417839 1003 request.go:991] Response Body: 405: Method Not Allowed Error: the server does not allow this method on the requested resource
Merci
Les deux approches ci-dessus sont bonnes pour certains environnements ou configurations. Je cherche actuellement à appliquer une technique "ad-hock" pour appliquer un bloc à la volée en utilisant un environnement déjà déployé qui ne permettra pas facilement d'ajouter de nouvelles fonctionnalités (sauf si elles sont déjà déployées). – Zvika
L'approche Istio auth serait parfaite lorsque vous savez qui sont vos clients ou pour une utilisation d'activation de service. Lorsque vous souhaitez exposer largement votre service, l'authentification ne correspondra pas. – Zvika
Pour exposer largement votre service, vous devez ajouter une entrée pour ceux que vous souhaitez exposer, et configurer les règles de mixage Istio sur cela pour restreindre l'accès –