RBAC(原型)
此扩展的限定名为 envoy.filters.network.rbac
注意
此扩展旨在对不可信的下游流量具有鲁棒性。它假定上游是可信的。
提示
此扩展扩展并可用于以下扩展类别
此扩展必须使用以下类型 URL 之一配置
基于角色的访问控制 配置概述.
extensions.filters.network.rbac.v3.RBAC
[extensions.filters.network.rbac.v3.RBAC 原型]
RBAC 网络过滤器配置。
标头不应在 RBAC 网络过滤器中的规则/影子规则中使用,因为此信息仅在 RBAC http 过滤器 中可用。
{
"rules": {...},
"matcher": {...},
"shadow_rules": {...},
"shadow_matcher": {...},
"shadow_rules_stat_prefix": ...,
"stat_prefix": ...,
"enforcement_type": ...
}
- 规则
(config.rbac.v3.RBAC) 指定要全局应用的 RBAC 规则。如果不存在,将不会应用任何强制 RBAC 策略。如果存在且为空,则 DENY。如果同时配置了规则和匹配器,则规则将被忽略。
- 匹配器
(.xds.type.matcher.v3.Matcher) 用于解析传入连接的 RBAC 操作的匹配树。与任何匹配器都不匹配的连接将被拒绝。如果不存在,将不会应用任何强制 RBAC 匹配器。如果存在且为空,则拒绝所有连接。
警告
此 API 功能当前正在开发中。标记为正在开发中的 API 功能不被视为稳定,不受 威胁模型 的保护,不受安全团队支持,并且可能发生重大变更。在了解以上各点之前,请勿使用此功能。
- 影子规则
(config.rbac.v3.RBAC) 影子规则不会被过滤器强制执行,但会发出统计信息和日志,可用于规则测试。如果不存在,将不会应用任何影子 RBAC 策略。如果同时配置了影子规则和影子匹配器,则影子规则将被忽略。
- 影子匹配器
(.xds.type.matcher.v3.Matcher) 用于发出统计信息和日志的匹配树,可用于测试传入连接的规则。如果不存在,则不会应用任何影子匹配器。
警告
此 API 功能当前正在开发中。标记为正在开发中的 API 功能不被视为稳定,不受 威胁模型 的保护,不受安全团队支持,并且可能发生重大变更。在了解以上各点之前,请勿使用此功能。
- shadow_rules_stat_prefix
(string) 如果指定,影子规则将发出具有给定前缀的统计信息。这对于区分存在多个具有影子规则的 RBAC 过滤器配置的统计信息很有用。
- stat_prefix
(string, REQUIRED) 发出统计信息时要使用的前缀。
- enforcement_type
(extensions.filters.network.rbac.v3.RBAC.EnforcementType) RBAC 强制策略。默认情况下,RBAC 仅在从下游收到第一个数据字节时才强制执行。当与在解码每个有效负载后发出动态元数据的过滤器一起使用时(例如,Mongo、MySQL、Kafka),将强制执行类型设置为 CONTINUOUS 以在每个消息边界上强制执行 RBAC 策略。
枚举 extensions.filters.network.rbac.v3.RBAC.EnforcementType
[extensions.filters.network.rbac.v3.RBAC.EnforcementType 原型]
- ONE_TIME_ON_FIRST_BYTE
(DEFAULT) 在连接上收到第一个数据字节时应用 RBAC 策略。
- CONTINUOUS
随着数据到达,持续应用 RBAC 策略。在与面向消息的协议(例如 Mongo、MySQL、Kafka 等)一起使用 RBAC 时使用此模式,当协议解码器发出动态元数据(例如,正在访问的资源以及对资源的操作)时。