ワークロードセレクター

WorkloadSelectorは、ポリシーがプロキシに適用可能かどうかを判断するために使用される基準を指定します。マッチング基準には、プロキシに関連付けられたメタデータ、ポッド/VMに付加されたラベルなどのワークロードインスタンス情報、または初期ハンドシェイク中にプロキシがIstioに提供するその他の情報が含まれます。複数の条件が指定された場合、ワークロードインスタンスを選択するには、すべての条件が一致する必要があります。現在、ラベルベースの選択メカニズムのみがサポートされています。

PortSelectorは、特定のポートを持つリスナーにポリシーを適用できるかどうかを指定するための基準です。

GEP-2648で定義されているPolicyTargetReference形式。

PolicyTargetReferenceは、ポリシーが適用される対象リソースを指定します。一度に1つのリソースのみをターゲットにする必要がありますが、複数の子リソースに適用できるゲートウェイなどの大きなリソースをターゲットにするために使用できます。PolicyTargetReferenceは、Kubernetesゲートウェイをターゲットにするために、RequestAuthentication、AuthorizationPolicy、Telemetry、およびWasmPlugin CRDでWorkloadSelectorの代わりに使用されます。

以下は、PolicyTargetReferenceを使用してウェイポイントプロキシにバインドされたAuthorizationPolicyの例です。この例では、actionをDENYに設定して拒否ポリシーを作成します。foo名前空間のwaypointゲートウェイを介して送信されたポート8080のPOSTメソッドを持つすべてのリクエストを拒否します。

apiVersion: security.istio.io/v1
kind: AuthorizationPolicy
metadata:
  name: httpbin
  namespace: foo
spec:
  targetRefs:
  - name: waypoint
    kind: Gateway
    group: gateway.networking.k8s.io
  action: DENY
  rules:
  - to:
    - operation:
        methods: ["POST"]
        ports: ["8080"]

WorkloadModeを使用すると、ネットワークトラフィックにおける基盤となるワークロードの役割を選択できます。ワークロードは、トラフィックの宛先である場合（つまり、ワークロードの観点からのトラフィック方向がインバウンドである場合）、SERVERとして動作すると見なされます。ワークロードがネットワークトラフィックのソースである場合、CLIENTモードであると見なされます（トラフィックはワークロードからアウトバウンドです）。