istio - 如何将 kube-secret 映射为 istio 键的值:“何时”条件下的 request.headers?
问题描述
在下面的 Istio 身份验证策略中,在“何时”下,令牌 (617D8667CPPP3B3F0EA05814B7D9) 是硬编码的,无法旋转。有什么方法可以映射 kubesecret 的值。这样我们就可以轮换代币了?
kind: AuthorizationPolicy
metadata:
name: allow-requests
spec:
selector:
matchLabels:
run: test
action: ALLOW
rules:
- to:
- operation:
methods: ["GET","POST"]
when:
- key: request.headers[x-token]
values: ["617D8667CPPP3B3F0EA05814B7D9"]
解决方案
多谢你们。我使用 cron 作业通过轮换when
值每隔几个小时重新创建身份验证策略。将该值存储在一个秘密中,用户可以通过适当的 RBAC 控制从中读取令牌。
推荐阅读
- angular - 在拖动 mat-expansion-panel 时,扩展面板主体内的 tinymce 编辑器值被清除
- php - 将文本值 onblur 传递给同一页面上的 php 函数并将值重新调整到另一个文本字段
- angular - 将 Angular 服务注入到导出的函数中
- java - 使用带有 Java 8 可选字段的 Lombok。如何使用构建器填充字段
- javascript - 禁用数组中的按钮
- powershell - 如何导出包含文件夹中所有名称列表的 CSV 文件?
- pdf - 如何使用 Asciidoctor-pdf 修复创建的 PDF 不显示 üöä 字符
- popup - 导航栏中的 SwiftUI 按钮只能使用一次
- reactjs - 使用 switch case 有条件地渲染一个 react comp
- javascript - Javascript数组将父母和孩子排列为数组?