Istio可以為網格、命名空間以及特定服務設定認證政策。
網格級别的政策會影響網格内所有的服務,相當于全局政策,是以隻能定義一個政策,并且名稱必須是default,目标是空({})。而命名空間級别的政策影響的是命名空間内的服務,使用Policy對象設定,指定對應的namespace标簽,如果不指定則表示為default。
通常都要為認證政策選擇目标,這一操作是通過targets屬性實作的。網格範圍和命名空間範圍的政策是不需要指定targets的,因為這兩個級别隻能有1個政策,會把範圍内的所有服務作為目标。是以,在上面的兩個例子中并不需要設定targets屬性。特定于服務的政策需要指定目标,且可以設定1個或者多個政策。
政策具有優先級。如果有多個政策作用于特定的服務,比對的方式是優先比對最小範圍(先比對特定服務政策),沒有的話才去比對命名空間政策,最後是網格政策。需要注意的是,如果同時有多個政策指定到某個服務,則政策的選擇是随機的而不是依次順序執行,在配置的時候需要避免這種情況。命名空間和網格範圍都隻有一種政策。
