服务网格支持基于请求源IP、host、请求目标端口的黑白名单管控策略,通常应用于Ingress网关。
黑白名单策略配置说明
| 配置项 | 说明 |
|---|---|
| 安全策略名称 | 策略名称 |
| 源地址(IPBlock) | 请求的网络层IP,支持单IP(203.0.113.4)或CIDR记法(203.0.113.0/24) |
| remoteIPBlock | 通过X-Forwarded-For头部或者proxy protocol传递过来的请求IP信息,支持单IP(203.0.113.4)或CIDR记法(203.0.113.0/24) |
| HTTP域名(Host) | 请求的域名 |
| 端口(Port) | 请求的目标端口 |
说明黑名单模式:匹配的请求被拦截,其余请求放行
白名单模式:匹配的请求放行,其余请求被拦截
策略绑定
策略生效粒度
当前支持命名空间、服务、工作负载、网关的生效粒度配置,黑白名单策略通常用于Ingress网关场景,具体说明如下
| 生效粒度 | 说明 |
|---|---|
| 命名空间 | 策略下发到所选择命名空间下所有数据面 |
| 服务 | 策略下发到所选服务关联的工作负载数据面 |
| 工作负载 | 策略下发到指定工作负载的数据面 |
| 网关 | 策略下发到网关 |
