Cloud Service Mesh 安全政策限制条件

本指南不支持 TRAFFIC_DIRECTOR 控制平面实现。

借助 Istio API 的 Cloud Service Mesh 为您提供了强大且灵活的 API，可用于配置网格。但是，如果没有对这些资源的适当管理，您的网格可能会暴露安全漏洞。将政策控制器与 Cloud Service Mesh 安全政策限制条件集成有助于使用安全最佳实践强制执行网格并防止漏洞。

本页面假定您已熟悉政策限制条件。

限制条件模板

安装政策控制器时，选择安装默认模板库。此选项会部署您的网格所需的所有 Cloud Service Mesh 安全政策限制条件模板。如需查看 Cloud Service Mesh 安全限制条件模板的完整列表，请参阅限制条件模板库，并查找前缀为 Asm 的模板。

限制条件包

我们为 Cloud Service Mesh 安全政策提供了开箱即用的限制条件包。如需了解安全政策包详细信息和说明，请参阅使用 Cloud Service Mesh 安全政策。

如需学习相关教程以了解如何应用此安全政策包，请参阅使用 Cloud Service Mesh、Config Sync 和 Policy Controller 强化应用的安全性。

插件限制条件

一些限制条件模板随默认模板库一起安装，但不会包含在安全政策包中。这些限制条件模板适用于特定的使用场景，您也可以配置自己的限制条件：

• AsmAuthzPolicyDisallowedPrefix
• AsmAuthzPolicyEnforceSourcePrincipals