O Anthos Service Mesh e o Traffic Director agora são Cloud Service Mesh. Para mais informações, consulte a Visão geral do Cloud Service Mesh.

Esta página foi traduzida pela API Cloud Translation.

Configurar a segurança do serviço na malha de serviço de arquivo secundário do Envoy no GKE

Esta página descreve como configurar recursos de segurança na malha de serviço de sidecar do Envoy no GKE.

Pré-requisitos

Como ponto de partida, este guia pressupõe que você já:

Configurar políticas de autorização em sidecars no GKE

Esta seção mostra como configurar diferentes tipos de políticas de autorização em sidecars do Cloud Service Mesh no GKE.

Antes de criar uma política de autorização, é necessário instalar a CustomResourceDefinition (CRD) GCPAuthzPolicy:

curl https://github.com/GoogleCloudPlatform/gke-networking-recipes/blob/main/gateway-api/config/mesh/crd/experimental/gcpauthzpolicy.yaml \
| kubectl apply -f -

As políticas de autorização podem aplicar o controle de acesso ao tráfego que entra nos sidecars do Envoy. As políticas podem ser aplicadas em implantações do Kubernetes. A implantação precisa estar no mesmo namespace que a política de autorização.

Política de autorização para negar todas as solicitações

Quando você tem uma carga de trabalho que precisa fazer apenas chamadas de saída, como um cron job, é possível configurar uma política de autorização para negar todas as solicitações HTTP recebidas na carga de trabalho. O exemplo a seguir nega solicitações HTTP recebidas para a carga de trabalho whereami.

Siga estas etapas para criar e aplicar a política de negação de autorização:

Crie uma política de negação criando um arquivo chamado deny-all-authz-policy.yaml:

cat >deny-all-authz-policy.yaml <<EOF
apiVersion: networking.gke.io/v1
kind: GCPAuthzPolicy
metadata:
  name: myworkload-authz
  namespace: sidecar-example
spec:
targetRefs:
- kind: Deployment
  name: wherami
httpRules:
- to:
    operations:
    - paths:
      - type: Prefix
        value: "/"
action: DENY
EOF

Aplique a política:

kubectl apply -f deny-all-authz-policy.yaml

Política de autorização para permitir solicitações

Também é possível configurar uma política de permissão que permite apenas solicitações que correspondem a um critério específico e rejeita o restante. O exemplo a seguir configura uma política de autorização no whereami, em que apenas solicitações GET que têm o cabeçalho http x-user-role:admin presente na solicitação serão permitidas.

Siga estas etapas para criar e aplicar a política de autorização de permissão. Exclua a política de negação criada anteriormente antes de adicionar esta política para conferir os resultados:

Crie uma política personalizada criando um arquivo chamado allow-authz-policy.yaml:

cat >allow-authz-policy.yaml <<EOF
apiVersion: networking.gke.io/v1
kind: GCPAuthzPolicy
metadata:
  name: myworkload-authz
  namespace: sidecar-example
spec:
targetRefs:
- kind: Deployment
  name: whereami
httpRules:
- to:
    operations:
    - methods: ["GET"]
  when: "request.headers['x-user-role'] == 'admin'
action: ALLOW
EOF

Aplique a política:

kubectl apply -f allow-authz-policy.yaml

Política de autorização para negar solicitações com base em regras

O exemplo a seguir nega solicitações HTTP GET recebidas para a carga de trabalho whereami quando ela está no caminho /admin .

Siga estas etapas para criar e aplicar a política de negação de autorização:

Crie uma política de negação criando um arquivo chamado deny-path-authz-policy.yaml:

cat >deny-path-authz-policy.yaml <<EOF
apiVersion: networking.gke.io/v1
kind: GCPAuthzPolicy
metadata:
  name: myworkload-authz
  namespace: sidecar-example
spec:
targetRefs:
- kind: Deployment
  name: whereami
httpRules:
- to:
    operations:
    - paths:
      - type: Prefix
        value: "/admin"
      methods: ["GET"]
action: DENY
EOF

Aplique a política:

kubectl apply -f deny-path-authz-policy.yaml