當您需要精確控制使用者對服務的存取權限時,可以在ASM安全性原則中配置黑白名單。黑白名單是一種常見的授權機制,能夠禁止指定請求或只允許指定請求訪問應用。ASM支援對東西向流量和南北向流量配置IP、HTTP網域名稱和連接埠等多個維度黑白名單,以保障網格內應用的安全。本文介紹如何在ASM安全性原則中配置東西向流量的黑白名單。
前提條件
已建立網關規則和虛擬服務,確保http://${ASM網關地址}/productpage可以正常訪問。具體操作,請參見使用Istio資源實現版本流量路由的步驟一到步驟三。
操作步驟
登入ASM控制台,在左側導覽列,選擇。
在網格管理頁面,單擊目標執行個體名稱,然後在左側導覽列,選擇。
在ASM安全性原則頁面,單擊建立。在建立ASM安全性原則對話方塊,單擊黑白名單,然後單擊確定。
在工作負載和匹配規則設定精靈,進行相關配置,然後單擊提交。
配置項
說明
ASM安全性原則名稱
配置為test。
工作負載列表
單擊添加工作負載。
在添加工作負載對話方塊,選中工作負載生效,選擇命名空間為default,工作負載類型為Service。
在選擇負載地區,選中productpage,單擊
表徵圖,將選中的負載添加到已選擇地區,然後單擊確定。
匹配規則列表
匹配模式選擇黑名單,然後開啟連接埠(Port)開關,配置為9080。該配置表示所有訪問productpage Pod的9080連接埠的請求都會被拒絕。
建立成功後,在完成設定精靈,會顯示ASM安全性原則建立成功。您可以單擊查看YAML查看建立的資源,也可以單擊完成,返回ASM安全性原則頁面,查看新建立的安全性原則。
執行以下命令,驗證黑白名單配置是否生效。
curl ${ASM網關IP}/productpage -I預期輸出:
HTTP/1.1 403 Forbidden content-length: 19 content-type: text/plain date: Fri, 22 Dec 2023 03:07:26 GMT server: istio-envoy x-envoy-upstream-service-time: 10返回
403響應,表明沒有許可權訪問productpage應用,黑白名單配置生效。
相關文檔
關於ASM安全性原則的概念和相關功能說明,請參見ASM安全性原則概述。
您可以啟用網格審計功能,記錄或追溯不同使用者的日常操作,也可以為網格資源操作配置審計警示,在重要資源變動時及時發出警示通知到警示連絡人。具體操作,請參見使用KubeAPIAction Trail和為網格資源操作配置審計警示。