istio 实用技巧: 实现基于 Header 的授权

原创

imroc

发布于 2021-06-01 15:11:07

9970

发布于 2021-06-01 15:11:07

文章被收录于专栏：云原生知识宇宙云原生知识宇宙

本文摘自 istio 学习笔记

背景

部分业务场景在 http header 或 grpc metadata 中会有用户信息，想在 mesh 这一层来基于用户信息来对请求进行授权，如果不满足条件就让接口不返回相应的数据。

解决方案

Istio 的 AuthorizationPolicy 不支持基于 Header 的授权，但可以利用 VirtualService 来实现，匹配 http header (包括 grpc metadata)，然后再加一个默认路由，使用的固定故障注入返回 401，示例:

apiVersion: networking.istio.io/v1beta1
kind: VirtualService
metadata:
  name: helloworld-server
spec:
  hosts:
  - helloworld-server
  http:
  - name: whitelist
    match:
    - headers:
        end-user:
          regex: "roc"
    route:
    - destination:
        host: helloworld-server
        port:
          number: 9000
  - name: default
    route:
    - destination:
        host: helloworld-server
        port:
          number: 9000
    fault:
      abort:
        percentage:
          value: 100
        httpStatus: 401

原创声明：本文系作者授权腾讯云开发者社区发表，未经许可，不得转载。

如有侵权，请联系 cloudcommunity@tencent.com 删除。

kubernetes

原创声明：本文系作者授权腾讯云开发者社区发表，未经许可，不得转载。

如有侵权，请联系 cloudcommunity@tencent.com 删除。

kubernetes

登录后参与评论

0 条评论

热度

istio 实用技巧: 实现基于 Header 的授权

istio 实用技巧: 实现基于 Header 的授权

背景

解决方案

社区

活动

资源

关于

腾讯云开发者

热门产品

热门推荐

更多推荐