Configurazione delle funzionalità avanzate dei criteri di autorizzazione
Il criterio di autorizzazione di Cloud Service Mesh fornisce il controllo degli accessi a livello di mesh, spazio dei nomi e caricamento di lavoro per i tuoi carichi di lavoro nel mesh. Questa pagina descrive i dettagli sulla configurazione delle funzionalità avanzate dei criteri di autorizzazione di Cloud Service Mesh, tra cui la modalità di prova e la registrazione dei rifiuti. Le funzionalità descritte in questa pagina presuppongono che tu abbia familiarità con i concetti fondamentali delle norme di autorizzazione descritti nella Panoramica delle norme di autorizzazione.
Modalità dry run
Il criterio di autorizzazione di Cloud Service Mesh supporta la modalità di prova, che ti consente di verificare un criterio di autorizzazione con traffico di produzione reale senza applicarlo. La modalità di prova ti consente di comprendere meglio l'effetto di un criterio di autorizzazione prima di applicarlo. In questo modo si riduce il rischio di interrompere il traffico di produzione causato da un criterio di autorizzazione errato.
Utilizza l'annotazione "istio.io/dry-run": "true" nel criterio di autorizzazione per impostarlo sulla modalità di prova.
Esempio di modalità dry run
L'esempio seguente, deny-path-headers, mostra
un criterio con l'annotazione dry-run impostata su "true. Il criterio di autorizzazione
nega le richieste al percorso headers e autorizza tutte le altre richieste.
apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
name: deny-path-headers
annotations:
"istio.io/dry-run": "true"
spec:
selector:
matchLabels:
app: httpbin
action: DENY
rules:
- to:
- operation:
paths: ["/headers"]
Quando applichi un criterio di autorizzazione in modalità di prova, Cloud Service Mesh registra le risultato dell'applicazione forzata per Cloud Logging, ma non per applicare i criteri. La richiesta è sempre consentita e puoi controllare Explorer dei log per decidere se il criterio di autorizzazione funziona o meno come previsto.
Dettagli di logging della prova secca
Dopo aver applicato un criterio di autorizzazione in modalità di prova, puoi visualizzarne i risultati in Esplora log.
Vai a Esplora log. Nell'URL seguente, sostituisci
PROJECT_IDcon l'ID del tuo progetto:https://console.cloud.google.com/logs/query?project=PROJECT_IDNel campo Query-builder, inserisci una query per trovare la modalità dry run criterio di autorizzazione. Nella seguente query, sostituisci
NAMESPACEcon il tuo spazio dei nomi:logName="projects/PROJECT_ID/logs/server-accesslog-stackdriver" labels.destination_namespace="NAMESPACE" labels.dry_run_result="AuthzDenied"Fai clic su Esegui query.
Modifica l'intervallo di tempo in base alle tue esigenze.
Il seguente screenshot mostra le etichette di prova nel log di traffico
Esplora log dopo l'applicazione del criterio deny-path-headers di esempio:
La modalità dry run supporta i criteri di autorizzazione ALLOW e DENY, oltre a
alle
Risultati di prova di Istio.
Cloud Service Mesh archivia i risultati di prova in Cloud Logging nel seguente
etichette:
- dry_run_result: il risultato della prova è "AuthzAllowed" o "AuthzDenied".
- dry_run_policy_name: lo spazio dei nomi e il nome dell'autorizzazione corrispondente che prendono la decisione di prova.
- dry_run_policy_rule: l'indice della regola del criterio di autorizzazione corrispondente che prende la decisione relativa al dry run.
La tabella seguente mostra i dettagli registrati per un'autorizzazione in modalità dry run:
| Criterio di autorizzazione applicato in modalità di prova | Risultato della corrispondenza | Risultato dry run | Cloud Logging |
|---|---|---|---|
Solo DENY criterio |
Senza corrispondenza | consentito | dry_run_result: "AuthzAllowed" |
| Con corrispondenza | rifiutato | dry_run_result: "AuthzDenied" dry_run_policy_name: dry_run_policy_rule: |
|
Solo criterio ALLOW |
Senza corrispondenza | rifiutato | dry_run_result: "AuthzDenied" |
| Con corrispondenza | consentito | dry_run_result: "AuthzAllowed" dry_run_policy_name: dry_run_policy_rule: |
|
Criterio sia ALLOW che DENY |
Nessuna corrispondenza | rifiutato | dry_run_result: "AuthzDenied" |
Solo norma DENY corrispondente |
rifiutato | dry_run_result: "AuthzDenied" dry_run_policy_name: dry_run_policy_rule: |
|
Solo norma ALLOW corrispondente |
consentito | dry_run_result: "AuthzAllowed" dry_run_policy_name: dry_run_policy_rule: |
|
| Corrispondenza con entrambe le norme | rifiutato | dry_run_result: "AuthzDenied" dry_run_policy_name: dry_run_policy_rule: |
Quando hai la certezza del risultato della prova, puoi disattivare la modalità di prova utilizzando uno dei seguenti approcci:
Rimuovi completamente l'annotazione dry run. o
Modifica il valore dell'annotazione di prova in
false.
Dopo aver applicato il criterio con la modalità di prova non attivata, Cloud Service Mesh lo applica.
Log dei rifiuti
Il criterio di autorizzazione rifiuta una richiesta se non è consentita dal criterio. Per i protocolli HTTP (incluso gRPC), la richiesta viene rifiutata con il codice di stato 403. Per i protocolli non HTTP, la connessione viene terminata direttamente. La Il log del traffico di Cloud Logging include informazioni aggiuntive utili per: a capire perché il traffico viene rifiutato. Ad esempio, il log indica quanti vengono rifiutate dai criteri di autorizzazione, il che può aiutarti a determinare la regola del criterio che ha causato il rifiuto e i rifiuti dal backend un'applicazione.
Nel seguente esempio, l'annotazione dry-run è impostata su "false. Quando
applicare il criterio di autorizzazione DENY, Cloud Service Mesh lo applica.
apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
name: deny-path-headers
annotations:
"istio.io/dry-run": "false"
spec:
selector:
matchLabels:
app: httpbin
action: DENY
rules:
- to:
- operation:
paths: ["/headers"]
Dopo aver applicato un criterio di autorizzazioneDENY, puoi vedere i risultati del
in Esplora log.
Vai a Esplora log. Nell'URL seguente, sostituisci
PROJECT_IDcon l'ID del tuo progetto:https://console.cloud.google.com/logs/query?project=PROJECT_IDNel campo Query Builder, inserisci una query per trovare il criterio di autorizzazione
DENY. Nella seguente query, sostituisciNAMESPACEcon il tuo spazio dei nomi:logName="projects/PROJECT_ID/logs/server-accesslog-stackdriver" labels.destination_namespace="NAMESPACE" labels.response_details="AuthzDenied"Fai clic su Esegui query.
Modifica l'intervallo di tempo in base alle tue esigenze.
Il seguente screenshot mostra una voce di log in Esplora log dopo il
il criterio deny-path-headers di esempio è stato applicato per applicare il criterio. Puoi
per capire se il criterio di autorizzazione
era responsabile dell'errore 403,
alle etichette:
Il log del traffico di Logs Explorer include le seguenti etichette per il rifiuto dell'autorizzazione:
- response_details: viene impostato su "AuthzDenied" se il rifiuto è causato da un criterio di autorizzazione.
- policy_name: contiene lo spazio dei nomi e il nome dell'autorizzazione
Criterio
DENYche causa il rifiuto. Il valore è nel formato<Namespace>.<Name>, ad esempiofoo.deny-path-headersindica il criterio di autorizzazionedeny-path-headersnello spazio dei nomifoo. - policy_rule: contiene l'indice della regola all'interno del criterio di autorizzazione che causa il rifiuto. Ad esempio, 0 indica la prima regola all'interno del criterio.
Passaggi successivi
Per un elenco di tutti i criteri di autorizzazione nel service mesh:
kubectl get authorizationpolicy --all-namespaces
Se è in vigore un criterio di autorizzazione, puoi eliminarlo con
kubectl delete:
kubectl delete authorizationpolicy -n NAMESPACE AUTH_POLICY_NAME
Per ulteriori informazioni su come ottenere il log del traffico, consulta Accedere ai log in Cloud Logging.