Istio 安全 授权管理AuthorizationPolicy

这个和cka考试里面的网络策略是类似的。它是可以实现更加细颗粒度限制的。

本质其实就是设置谁可以访问，谁不可以访问。默认命名空间是没有AuthorizationPolicy---允许所有的客户端访问。

这里是没有指定应用到谁上面去，有没有指定使用哪些客户端，这样就是拒绝了所有的了。

拒绝优先级>允许优先级>默认策略

如果只允许某些客户端的访问可以设置值：

 如果对Pod1生成两个策略，一个是allow，一个是deny，两个冲突的时候那么allow就不再生效了，deny是生效的。

上面{}代表着所有的客户端。能不能规定某些客户端可以访问？

但是并不想让所有的客户端都可以访问。

- from:
- source:namespaces:- "ns1"

 这个代表是允许命名空间ns1客户端可以访问。

 要求就是ns1命名空间的pod被注入了。