0

我读过一些资料表明同时使用 Istio 和 GKE 网络策略是一个好主意,但从安全角度来看这样做的好处还不是很清楚?

4

1 回答 1

2

Istio Policy 和 GKE Network Policy 不在同一级别上工作。

  • GKE 网络策略在 Pod 级别强制执行防火墙规则。这是第 3 层策略
  • Istio Policy 对 HTTP 流量强制执行规则(速率限制,允许/拒绝服务(不是 IP,服务!)

因此,如果您的所有流量都不是由 Istio 管理(如果您不只使用 HTTPS 协议),那么同时使用两者可能是有意义的。如果没有,您将为所有 pod 开放 443 端口,这显然没有用。

于 2020-10-16T21:57:36.697 回答