启用策略检查功能
这个任务将告诉你如何开启 Istio 的策略检查功能。
安装阶段
在默认的 Istio 安装配置中,策略检查功能是关闭的。若要开启策略检查功能,需在安装选项中加入--set values.global.disablePolicyChecks=false
和 --set values.pilot.policy.enabled=true
。
或者,也可以按示例配置安装 Istio,其中策略检查功能已默认开启。
对于已经安装的 Istio 网格
检查该网格中策略检查功能的状态。
$ kubectl -n istio-system get cm istio -o jsonpath="{@.data.mesh}" | grep disablePolicyChecks disablePolicyChecks: true
如果策略检查功能已开启(
disablePolicyChecks
置为 false),则无需再做什么。修改
istio
configuration,开启策略检查功能。在 Istio 根目录执行以下指令:
$ istioctl manifest apply --set values.global.disablePolicyChecks=false --set values.pilot.policy.enabled=true configuration "istio" replaced
验证策略检查功能是否已启用。
$ kubectl -n istio-system get cm istio -o jsonpath="{@.data.mesh}" | grep disablePolicyChecks disablePolicyChecks: false