y134.第七章 服务网格与治理-Istio从入门到精通 -- 授权策略(二十)

13.授权策略

13.1 Istio Authorization

• Istio的授权机制为Istio网格中的workload提供了mesh-level、namespace-level和workload-level的访问控制机制，它提供如下特性

  • Workload-to-workload和end-user-to-workload授权；
  • 简单的API：只包含一个简单的AuthorizationPolicy CRD，易于使用和维护
  • 灵活的语义：运维人员可以在Istio属性的基础上自定义检查条件；
  • 较好的性能表现：授权检查仅在Envoy本地执行；
  • 较好的兼容性：原生支持HTTP/HTTPS/HTTP2，以及更底层的通用TCP协议；

Istio Authorization其实就是RBAC的抽象，它是一个对应的被称之为叫做AuthorizationPolicy的CRD资源来进行定义的，因而作为管理人员我们完全可以借助于AuthorizationPolicy这么一个CRD来指定哪些pod或者叫哪些服务能够被哪些客户端所访问或者能够被哪些人所访问，以及能够执行什么样的访问请求。

Service A借助于Envoy代理以后请求Service B的envoy的时候这里究竟能执行什么样的请求，完全可以在istio之上使用AuthorizationPolicy进行定义。

• 可以使用Authorization P