Маршрутизация | Routing |
DestinationRule | DestinationRule |
Позволяет:
| Allows you to:
|
VirtualService | VirtualService |
Использование VirtualService опционально, классические сервисы продолжают работать, если вам достаточно их функционала. | Using VirtualService is optional; regular services fit just fine if their capabilities match your requirements. |
Позволяет настроить маршрутизацию запросов:
| Allows you to configure request routing:
|
|
|
ServiceEntry | ServiceEntry |
Аналог Endpoints + Service из ванильного Kubernetes. Позволяет сообщить Istio о существовании внешнего сервиса или даже переопределить его адрес. | It is similar to Endpoints + Service in vanilla Kubernetes. Informs Istio about the existence of an external service and lets you redefine its address. |
Аутентификация | Authentication |
Решает задачу «Кто сделал запрос?». Не путать с авторизацией, которая определяет, «разрешить ли аутентифицированному элементу делать что-то или нет». | Answers the question “Who has made the request?” Not to be confused with authorization - the latter determines what the authenticated subject can or cannot do. |
По факту есть два метода аутентификации:
| There are two authentication methods:
|
PeerAuthentication | PeerAuthentication |
Позволяет определить стратегию mTLS в отдельном NS — принимать или нет нешифрованные запросы. Каждый mTLS-запрос автоматически позволяет определить источник и использовать его в правилах авторизации. | Allows you to define the mTLS strategy for an individual NS. Defines how traffic will be tunneled (or not) to the sidecar. Each mTLS request can automatically identify the source and allows you to use it in the authorization rules. |
RequestAuthentication | RequestAuthentication |
Позволяет настроить JWT-аутентификацию для реквестов. | Allows you to configure JWT authentication for requests. |
Авторизация | Authorization |
Важно! Авторизация без mTLS- или JWT-аутентификации не будет работать в полной мере. В этом случае будут доступны только простейшие аргументы для составления политик, такие как | Caution! Authorization without the use of mTLS or JWT authentication will not work fully. In this case, you will be able to use only basic arguments, such as |
AuthorizationPolicy | AuthorizationPolicy |
Включает и определяет контроль доступа к workload. Поддерживает как ALLOW-, так и DENY-правила. Как только у workload появляется хотя бы одна политика, начинает работать следующий приоритет: | Enables and defines access control to the workload. The |
|
|
Аргументы для принятия решения об авторизации:
| The following arguments are used in the decision-making algorithm:
|
Sidecar | Sidecar |
Данный ресурс позволяет ограничить количество сервисов, информация о которых будет передана в сайдкар istio-proxy. | This resource limits the number of services for which information is transmitted to the istio-proxy sidecar. |