服务网格支持集成外部授权服务,通过自定义授权服务策略,您可以轻松定义自定义的外部授权服务并将策略应用到网格数据面,实现灵活的安全管控能力。
策略配置说明
| 配置项 | 说明 |
|---|---|
| 安全策略名称 | 策略名称 |
| 协议 | HTTP和GRPC协议的外部授权服务 |
| 服务地址 | 实现了Envoy ext_authz授权接口的服务名称,如ext-auth.default.svc.cluster.local |
| 服务端口 | 授权服务端口 |
| 超时时间 | 数据面请求外部授权服务的超时时间,如1s,2.5s |
| 鉴权服务不可用时放行请求 | 访问鉴权服务失败或者鉴权服务返回5XX状态码时是否放行请求,默认关闭 |
| 鉴权服务不可用自定义错误码 | 请求鉴权服务出现网络错误时返回自定义状态码 |
| 在鉴权请求中携带请求Body | 是否将请求Body带到鉴权服务 |
| 鉴权请求携带Body的最大长度(Byte) | 允许携带到鉴权服务的Body最大长度 |
| 允许将不完整消息发送至鉴权服务 | 在请求Body超出最大长度限制时,若不启用该选项则将拒绝请求并返回HTTP 413 |
| 在鉴权请求中携带header | 指定将请求中的部分Header带到鉴权服务 |
| 在鉴权请求中新增header | 请求鉴权服务时新增Header |
| 在鉴权通过时覆盖Header | 鉴权通过时使用鉴权服务返回的Header覆盖原始请求Header访问上游 |
| 鉴权失败时覆盖Header | 鉴权通过时使用鉴权服务返回的Header覆盖应答Header返回给下游 |
策略绑定
策略生效粒度
当前支持命名空间、服务、工作负载、网关的生效粒度配置,说明如下
| 生效粒度 | 说明 |
|---|---|
| 命名空间 | 策略下发到所选择命名空间下所有数据面 |
| 服务 | 策略下发到所选服务关联的工作负载数据面 |
| 工作负载 | 策略下发到指定工作负载的数据面 |
| 网关 | 策略下发到网关 |
请求匹配规则
支持基于请求特征匹配决定是否执行当前策略,支持的匹配项及说明如下
| 匹配项 | 说明 |
|---|---|
| HTTP域名(Host) | 匹配一组请求的域名 |
| HTTP路径(Path) | 匹配一组请求路径 |
| HTTP方法(Method) | 匹配一组请求的HTTP Method |
| 端口(Port) | 匹配一组请求的目标服务端口 |
说明域名和路径匹配支持以下匹配模式
精确匹配:如abc匹配abc字符串
前缀匹配:abc*匹配abc、abcd、abce等
后缀匹配:*abc匹配abc、xabc、zabc等
存在匹配:*匹配所有非空值
请求匹配支持黑白名单模式
黑名单模式:选中请求必须执行认证策略
白名单模式:选中请求跳过认证策略,其他请求需要执行策略
