Routing | Маршрутизация |
DestinationRule | DestinationRule |
Allows you to:
| Позволяет:
|
VirtualService | VirtualService |
Using VirtualService is optional; regular services fit just fine if their capabilities match your requirements. | Использование VirtualService опционально, классические сервисы продолжают работать, если вам достаточно их функционала. |
Allows you to configure request routing:
| Позволяет настроить маршрутизацию запросов:
|
|
|
ServiceEntry | ServiceEntry |
It is similar to Endpoints + Service in vanilla Kubernetes. Informs Istio about the existence of an external service and lets you redefine its address. | Аналог Endpoints + Service из ванильного Kubernetes. Позволяет сообщить Istio о существовании внешнего сервиса или даже переопределить его адрес. |
Authentication | Аутентификация |
Answers the question “Who has made the request?” Not to be confused with authorization - the latter determines what the authenticated subject can or cannot do. | Решает задачу «Кто сделал запрос?». Не путать с авторизацией, которая определяет, «разрешить ли аутентифицированному элементу делать что-то или нет». |
There are two authentication methods:
| По факту есть два метода аутентификации:
|
PeerAuthentication | PeerAuthentication |
Allows you to define the mTLS strategy for an individual NS. Defines how traffic will be tunneled (or not) to the sidecar. Each mTLS request can automatically identify the source and allows you to use it in the authorization rules. | Позволяет определить стратегию mTLS в отдельном NS — принимать или нет нешифрованные запросы. Каждый mTLS-запрос автоматически позволяет определить источник и использовать его в правилах авторизации. |
RequestAuthentication | RequestAuthentication |
Allows you to configure JWT authentication for requests. | Позволяет настроить JWT-аутентификацию для реквестов. |
Authorization | Авторизация |
Caution! Authorization without the use of mTLS or JWT authentication will not work fully. In this case, you will be able to use only basic arguments, such as | Важно! Авторизация без mTLS- или JWT-аутентификации не будет работать в полной мере. В этом случае будут доступны только простейшие аргументы для составления политик, такие как |
AuthorizationPolicy | AuthorizationPolicy |
Enables and defines access control to the workload. The | Включает и определяет контроль доступа к workload. Поддерживает как ALLOW-, так и DENY-правила. Как только у workload появляется хотя бы одна политика, начинает работать следующий приоритет: |
|
|
The following arguments are used in the decision-making algorithm:
| Аргументы для принятия решения об авторизации:
|
Sidecar | Sidecar |
This resource limits the number of services for which information is transmitted to the istio-proxy sidecar. | Данный ресурс позволяет ограничить количество сервисов, информация о которых будет передана в сайдкар istio-proxy. |