在 GKE 上为 Envoy 边车服务网格设置服务安全

本页面介绍了如何在 GKE 上的 Envoy 边车服务网格上设置安全功能。

前提条件

首先，本指南假定您已完成以下操作：

• 已创建 GKE 集群并将其注册到舰队。
• 使用 Gateway API 设置 Envoy 边车服务网格。

在 GKE 上为边车设置授权政策

本部分介绍了如何在 GKE 上的 Cloud Service Mesh 边车上设置不同类型的授权政策。

您必须先安装 GCPAuthzPolicy CustomResourceDefinition (CRD)，然后才能创建授权政策：

curl https://github.com/GoogleCloudPlatform/gke-networking-recipes/blob/main/gateway-api/config/mesh/crd/experimental/gcpauthzpolicy.yaml \
| kubectl apply -f -

授权政策可以对进入 Envoy 边车的流量强制执行访问权限控制。可以将政策应用于 Kubernetes 部署。部署应与授权政策位于同一命名空间中。

拒绝所有请求的授权政策

如果您的工作负载应该仅进行出站调用（例如 Cron 作业），您可以配置授权政策来拒绝对工作负载的任何传入 HTTP 请求。以下示例会拒绝对工作负载 whereami 的传入 HTTP 请求。

请执行以下步骤来创建和应用拒绝授权政策：

1. 通过创建名为 deny-all-authz-policy.yaml 的文件，来创建拒绝政策：

   cat >deny-all-authz-policy.yaml <<EOF
   apiVersion: networking.gke.io/v1
   kind: GCPAuthzPolicy
   metadata:
     name: myworkload-authz
     namespace: sidecar-example
   spec:
   targetRefs:
   - kind: Deployment
     name: whereami
   httpRules:
   - to:
       operations:
       - paths:
         - type: Prefix
           value: "/"
   action: DENY
   EOF
   

2. 应用政策：

   kubectl apply -f deny-all-authz-policy.yaml
   

允许请求的授权政策

您还可以配置允许政策，以仅允许符合特定条件的请求，同时拒绝其余请求。以下示例在 whereami 上配置授权政策，其中仅允许请求中存在 http 标头 x-user-role:admin 的 GET 请求。

请执行以下步骤来创建并应用允许授权政策，删除之前创建的拒绝政策，然后再添加此政策以查看结果：

1. 通过创建名为 allow-authz-policy.yaml 的文件创建自定义政策：

   cat >allow-authz-policy.yaml <<EOF
   apiVersion: networking.gke.io/v1
   kind: GCPAuthzPolicy
   metadata:
     name: myworkload-authz
     namespace: sidecar-example
   spec:
   targetRefs:
   - kind: Deployment
     name: whereami
   httpRules:
   - to:
       operations:
       - methods: ["GET"]
     when: "request.headers['x-user-role'] == 'admin'
   action: ALLOW
   EOF
   

2. 应用政策：

   kubectl apply -f allow-authz-policy.yaml
   

根据规则拒绝请求的授权政策

以下示例在工作负载 whereami 位于路径 /admin 时，拒绝对其发出的传入 HTTP GET 请求。

请执行以下步骤来创建和应用拒绝授权政策：

1. 通过创建名为 deny-path-authz-policy.yaml 的文件，来创建拒绝政策：

   cat >deny-path-authz-policy.yaml <<EOF
   apiVersion: networking.gke.io/v1
   kind: GCPAuthzPolicy
   metadata:
     name: myworkload-authz
     namespace: sidecar-example
   spec:
   targetRefs:
   - kind: Deployment
     name: whereami
   httpRules:
   - to:
       operations:
       - paths:
         - type: Prefix
           value: "/admin"
         methods: ["GET"]
   action: DENY
   EOF
   

2. 应用政策：

   kubectl apply -f deny-path-authz-policy.yaml