вроде бы никак, мы энвойфильтр делали

Да в вс если б можно было...

посмотрите схему вс, она у истио опубликована

Котики, может кто-то сталкивался?
Истио 1.8.4 на кубере 1.16 в ЕКС.
Трафик не доходит до подов по цепочке CLB -> nodeport -> истио -> pods.
В цлб возвращается пустой ответ после таймаута, но уже при обращению по нодпорту всё ок.
Ингресс-контролер дефолтный, всё дефолтное. Сам лб создан и сконфигурён так же, как и десятки других для простых ингрессов.
Секурити группы проверил, сетевые ацлы тоже. Всё должно работать, но чот не работает.

Пересоздал часть объектов - заработало. Круто, чо.

может аннотаций каких не хватало?

Всем привет, а кто-нибудь работал c Envoy Filters в istio? Вкратце: хочу добавить grpc-web фильтр в самое начало filter chain в Istio Proxy. проблема заключается в следующем: он никак не может добавиться и появиться в списке httpFilters. Написал примерно следующее:

apiVersion: networking.istio.io/v1alpha3
kind: EnvoyFilter
metadata:
 name: grpc-web-filter
spec:
 workloadSelector:
   labels:
     app: grpc-app
 configPatches:
 - applyTo: HTTP_FILTER
   match:
     context: SIDECAR_INBOUND
     listener:
       portNumber: 50051
   patch:
     operation: INSERT_FIRST
     value:
       name: envoy.filters.http.grpc_web

Сам сервис:
apiVersion: v1
kind: Service
metadata:
 name: grpc-app
 labels:
   app: grpc-app
spec:
 ports:
 - name: grpc-web
   port: 50051
   targetPort: 50051
 selector:
   app: grpc-app

Если порт переименовать просто в grpc, то автоматически появляется фильтр “envoy.filters.http.grpc_stats”.

Добрый день. Подскажите. Envoy может запрашивать LDAP-аутентификацию при выполнении запроса?

Всем привет, кто может подсказать плз.
AuthorizationPolicy можно законфигать только для IngressGw, App?
есть ли возможность конфигать аусполиси для Gateway?

spec:
  selector:
    matchLabels:
      app: httpbin
  action: DENY
  rules:
  - from:
    - source:
        notRequestPrincipals: ["*"]

тоесть сработает ли если подкину matchLabels например
component=httpbit-gateway?

А вы хотите peer auth и end user auth использовать?
Для фронта уже сделали интеграцию?

ещё не делали, в процессе рисёрча. Конечно, хотелось бы оба варианта, но по первому не уверен, что истио умеет что нам надо. Как я посмотрел в одном из видео - правильной реализацией peer auth является передача пользовательского токена вместе со своим через механизм on-behalf-to, но я не смотрел ещё, как это решить

А есть возможность видосик зашарить?

Хм, я не шарю в вопросе, сам изучаю. Но когда что-нибудь не могу найти в доке истио, можно пробывать идти в документацию envoy proxy
Вот эти все crd по сути это же биндинги к ямл конфигу энвоя

секунду

вроде здесь

я в целом keycloak юзучаю и внедряю потихоньку, истио пока ещё немного сбоку - руки не дошли :)

Благодарю за инфо

Там keycloak свою auth проксю продвигает, envoy наверняка тоже все это умеет