Cloud Service Mesh 安全性政策限制

本指南不支援 TRAFFIC_DIRECTOR 控制平面實作。

搭配 Istio API 的 Cloud Service Mesh 提供強大且彈性的 API，可用於設定網格。不過，如果沒有妥善管理這些資源，網狀結構可能會暴露安全漏洞。將 Policy Controller 與 Cloud Service Mesh 安全政策限制整合，有助於採用安全最佳做法來強制執行網格，並防範安全漏洞。

本頁面假設您已熟悉政策限制。

限制範本

安裝 Policy Controller 時，請選取「安裝預設範本庫」。這個選項會部署網格所需的所有 Cloud Service Mesh 安全性政策限制範本。如需 Cloud Service Mesh 安全限制範本的完整清單，請參閱限制範本程式庫，並尋找前面有 Asm 字樣的範本。

限制組合

我們提供 Cloud Service Mesh 安全性政策的即用型限制組合。如需套件的詳細資訊和操作說明，請參閱「使用 Cloud Service Mesh 安全性政策」。

如要瞭解如何套用此套件，請參閱「使用 Cloud Service Mesh、Config Sync 和 Policy Controller 強化應用程式安全性」一文。

外掛限制

部分限制範本會隨預設範本庫安裝，但不會納入安全政策套裝組合。這些限制範本可用於特定用途，您也可以自行設定限制：

• AsmAuthzPolicyDisallowedPrefix
• AsmAuthzPolicyEnforceSourcePrincipals