или истио может валидировать oauth токены

спасиб, гляну

у меня так было:

apiVersion: authentication.istio.io/v1alpha1
kind: Policy
metadata:
  name: ingressgateway
  namespace: istio-system
spec:
  targets:
  - name: istio-ingressgateway
  peers:
  - mtls: {}
  origins:
  - jwt:
      audiences:
      - "fd71d6b1-5728-4f8a-b38a-4ae4f89851e2"
      issuer: "issuer"
      jwksUri: "url"
      jwtParams:
      - id_token
      jwtHeaders:
      - Authorization
      trigger_rules:
      - excluded_paths:
        - exact: /favicon.ico
        - prefix: /login
        - prefix: /static
        - prefix: /stub
        - prefix: /api
  principalBinding: USE_ORIGIN

кто-то знает https://istio.io/latest/docs/reference/config/networking/envoy-filter/#EnvoyFilter-ListenerMatch-FilterChainMatch поддерживает ли sni  wildcard?

День добрый!

Стлкнулся с проблемой при работе с Authorization Policy, если кто-то знает возможные причины, буду крайне признателен.

Вот манифест Authorization Policy,:

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: some-policy
  namespace: staging
spec:
  {}

DENY все в пространстве staging. Системные поды истио находятся в istio-system. В staging основные поды, доступ к которым пробую закрыть.

kubectl apply манифест, все создано/сконфигурировано, но запросы на поды спокойно идут.

Подскажите, может я что-то забываю или не так делаю? Почему запросы на поды из stating пространства продолжают спокойно идти?

Трафик по https идет.

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: some-policy
  namespace: staging
spec:
  {}

попробуйте вот так
action: DENY
rules:
 - from:
     - source:
         notRequestPrincipals: ["*"]

Спасибо. Но я нашел свою проблему вот прям только что!

У меня istio-ingressgateway находится в пространстве отличном от того пространства где лежит приложение (и объявлен virtualservice).

Я ошибочно предположил, что и Authorization Policy необходимо объявить рядом с virtualservice. А он должен быть объявлен в одном неймспейсе с istio-ingressgateway.

Изменил неймспейс и все заработало. Теперь остается ковыряться с селекторами, что как-то выцеплять поды из другого неймспейса.

у меня istio-ingressgateway в ns istio-system, а сам сервис вместе с gateway/vitrualservice/policy ставится хелмом в другой ns  и вроде ок все, а селекторы обьявлены в helpers.tpl

Т.е. ресурс Authorization Policy лежит не в пространстве istio-system?

А, это я, кажется, криво сообщение первое написал

речь об Authorization Policy

верно, он лежит в пространстве сервиса, а не в istio

А, нет, там же манифест…

так, вернемся.

Хм… тогда попробую Ваш совет, вернув обратно политику к сервису в неймспейс

да, посмотрите верные ли у него селекторы

Без селекторов сможет выбрать все поды?

тут не подскажу, стоит доку поизучать

https://istio.io/latest/docs/reference/config/security/authorization-policy/#AuthorizationPolicy вот пример где должен запретить ко всем подам

Я с ним и заходил.

Попробовал. Ничего не вышло =(