Ограничить услуги Istio в сетке

Question

У нас есть приложение с несколькими сервисами, работающими в k8s.Мы хотим переместить их в сетку Istio с помощью mTLS, и в этом случае все они могут взаимодействовать друг с другом (пока это не будет проверено).Теперь мне нужно ограничить некоторые сервисы в пределах меша, чтобы иметь возможность общаться только с одним сервисом.Попытка поговорить с другими службами, которые не авторизованы, должна быть заблокирована.Возможно ли это?

Поскольку у меня нет возможности настроить «источник» запроса, а внутри меша любой может общаться с кем-либо, я не могу этого сделать.

Answer 1

Istio 1.1+ включает в себя новый ресурс Sidecar, который можно использовать для настройки прокси-сервера посредника для ваших служб.Вы должны иметь возможность настроить выход из своих служб таким образом, чтобы они могли получить доступ только к одной услуге, которой им разрешено звонить.

Документация

Answer 2

Не является «Микросегментация с авторизацией Istio» , что вы ищете, особенно в разделе « Комбинации атрибутов », у вас есть разные способы сегментации, основанные на источнике.пространство имен, source.principal.Несколько демо-роликов, демонстрирующих эти функции, не играл с ними лично, хотя