Я предполагаю, что проблема HTTP 403 может быть связана с Istio Авторизация или Аутентификация конфигураций сетки, при условии, что выуспешно внедрили Envoy коляску в конкретный Pod или широко в связанных пространствах имен.
Проверка журналов может быть самой важной объяснимой задачей, подтверждая, что Журналы доступа Envoy уже включеныВы можете просмотреть соответствующие журналы istio-proxy sidecar и istio-ingressgateway Pod;тогда как вы можете получить Envoy proxy флаги ответа и рабочий путь трафика:
$ kubectl logs -l app=httpbin -c istio-proxy
[2019-03-06T09: 31: 27.360Z] "GET / status / 418 HTTP/1.1 "418 -" - "0 135 5 2" - "" curl / 7.60.0 "" d209e46f-9ed5-9b61-bbdd-43e22662702a "" httpbin: 8000 "" 127.0.0.1:80 "inbound | 8000 | http| httpbin.default.svc.cluster.local - 172.30.146.73:80 172.30.146.82:38618 outbound_.8000 _._. httpbin.default.svc.cluster.local
Проверка Политики аутентификации внутри меша, которые могут повлиять на поведение прокси боковых платформ и пересмотреть глобальную политику меша с точки зрения аутентификации mTLS , режим Permissive включен по умолчанию:
$ kubectl get policies.authentication.istio.io --all-namespaces
$ kubectl get meshpolicy.authentication.istio.io default -oyaml
Если вы запустили Авторизация правил в сетке, проверьте все соответствующиеПолитики RBAC:
$ kubectl get clusterrbacconfigs.rbac.istio.io --all-namespaces
$ kubectl get authorizationpolicies.rbac.istio.io,rbacconfigs.rbac.istio.io,servicerolebindings.rbac.istio.io,serviceroles.rbac.istio.io --all-namespaces
Более подробную информацию об устранении неполадок можно найти в официальной документации Istio .