ISTIO MIXER ADAPTER - Невозможно заставить OPA-адаптер работать с самым простым примером

Question

ISTIO MIXER ADAPTER - Невозможно заставить OPA-адаптер работать с самым простым примером

Я пытаюсь настроить адаптер OPA в Istio с самым простым правилом, чтобы запретить все по умолчанию:

---
apiVersion: "config.istio.io/v1alpha2"
kind: authorization
metadata:
  name: authz-instance
  namespace: istio-demo
spec:
  subject:
    user: source.uid | ""
  action:
    namespace: destination.namespace | "default"
    service: destination.service | ""
    method: request.method | ""
    path: request.path | ""

---
apiVersion: "config.istio.io/v1alpha2"
kind: opa
metadata:
  name: opa-handler
  namespace: istio-demo
spec:
  policy:
    - |+
      package mixerauthz

      default allow = false
  checkMethod: "data.mixerauthz.allow"
  failClose: true

---
apiVersion: "config.istio.io/v1alpha2"
kind: rule
metadata:
  name: authz-rule
  namespace: istio-demo
spec:
  match: "true"
  actions:
  - handler: opa-handler.opa.istio-demo
    instances:
    - authz-instance.authorization.istio-demo

Когда я применяю его, политика Istio жалуется на отсутствие handler:

istio-system/istio-policy-7f86484668-fc8lv[mixer]: 2019-08-12T15:58:21.798783Z  info    Built new config.Snapshot: id='9'
istio-system/istio-policy-7f86484668-fc8lv[mixer]: 2019-08-12T15:58:21.798819Z  error   2 errors occurred:
istio-system/istio-policy-7f86484668-fc8lv[mixer]:      * action='authz-rule.rule.istio-demo[0]': Handler not found: handler='opa-handler.opa.istio-demo'
istio-system/istio-policy-7f86484668-fc8lv[mixer]:      * rule=authz-rule.rule.istio-demo: No valid actions found in rule

Я пытался применить его в istio-system пространство имен, но та же проблема.

Кто-нибудь может помочь здесь?

Заранее спасибо.

1

istio open-policy-agent

Источник

user2630835 12 авг '19 в 19:20

1 ответ

Другие вопросы по тегам istio open-policy-agent

user4707749 27 ноя '19 в 16:56 2019-11-27 16:56 · Answer 1 · 2019-11-27 16:56

Я получил это для работы с Istio 1.4, установленным с демо-профилем. Также необходимо было включить проверку политик, запустив:

istioctl manifest apply --set values.global.disablePolicyChecks=false --set values.pilot.policy.enabled=true

найти handler, authorization template а также rule конфигурация ниже

apiVersion: config.istio.io/v1alpha2
kind: handler
metadata:
  name: opa-handler
  namespace: istio-system
spec:
  compiledAdapter: opa
  params:
    policy:
      - |+
        package mixerauthz
        default allow = false
    checkMethod: "data.mixerauthz.allow"
    failClose: true

---
apiVersion: config.istio.io/v1alpha2
kind: instance
metadata:
  name: authz-instance
  namespace: istio-system
spec:
  compiledTemplate: authorization
  params:
    subject:
      user: source.uid | ""
    action:
      namespace: destination.namespace | "default"
      service: destination.service.host | ""
      path: request.path | ""
      method: request.method | ""

---
apiVersion: config.istio.io/v1alpha2
kind: rule
metadata:
 name: auth
 namespace: istio-system
spec:
 actions:
 - handler: opa-handler.handler.istio-system
   instances:
   - authz-instance.instance.istio-system

Затем я получил 403 с этим сообщением в моем веб-сервисе (httpbin)

PERMISSION_DENIED:opa-handler.istio-system:opa: request was rejected, opa-handler.istio-system:opa: request was rejected

user4147725 16 авг '19 в 17:45 2019-08-16 17:45 · Answer 2 · 2019-08-16 17:45

В качестве альтернативы вы можете попробовать интеграцию OPA/Istio/Envoy, которая применяет политики того же типа на уровне прокси

1

Источник

user4147725 16 авг '19 в 17:45