Пытаемся найти лучший способ заблокировать любое подключение из Интернета к сервису k8s с помощью Istio.
Что было бы лучшим выбором из политики Istio?
Смеситель - отказы или списки. Пилот - правила маршрута - например, ввод сбоя прерывания (400) ИЛИ политика назначения - например, разрыв цепи (макс. Соединение 0 ???)
Пробовал все вышеперечисленное, но ничего не работает, и некоторые из них не очень интуитивно понятны в настройке (и плохо документированы).
Оцените, если будет приложен рабочий пример
Ниже приведен пример Внедрение политики ошибок HTTP.
destination: "ratings.default.svc.cluster.local"
route:
- tags:
version:
httpFault:
abort:
percent: 100
httpStatus: 400
httpStatus: 400
Сначала Istio запрашивает тип:
Ошибка: Istio не имеет типа конфигурации, это политика назначения, правило входа, правило маршрута.
После добавления типа вручную:
type: route-rule
destination: "ratings.default.svc.cluster.local"
route:
- tags:
version:
httpFault:
abort:
percent: 100
httpStatus: 400
О методе кричит:
I0914 17: 44: 32.417839 1003 request.go: 991] Тело ответа: 405: Метод не разрешен Ошибка: сервер не разрешает этот метод для запрошенного ресурса
Спасибо