启用策略检查功能

这个任务将告诉你如何开启 Istio 的策略检查功能。

安装阶段

在默认的 Istio 安装配置中,策略检查功能是关闭的。若要开启策略检查功能,需在安装选项中加入--set values.global.disablePolicyChecks=false--set values.pilot.policy.enabled=true

或者,也可以按示例配置安装 Istio,其中策略检查功能已默认开启。

对于已经安装的 Istio 网格

  1. 检查该网格中策略检查功能的状态。

    $ kubectl -n istio-system get cm istio -o jsonpath="{@.data.mesh}" | grep disablePolicyChecks
    disablePolicyChecks: true
    

    如果策略检查功能已开启(disablePolicyChecks置为 false),则无需再做什么。

  2. 修改 istio configuration,开启策略检查功能。

    在 Istio 根目录执行以下指令:

    $ istioctl manifest apply --set values.global.disablePolicyChecks=false --set values.pilot.policy.enabled=true configuration "istio" replaced
    
  3. 验证策略检查功能是否已启用。

    $ kubectl -n istio-system get cm istio -o jsonpath="{@.data.mesh}" | grep disablePolicyChecks
    disablePolicyChecks: false
    
这些信息有用吗?
Do you have any suggestions for improvement?

Thanks for your feedback!