身份和授权Istio适配器不工作

Question

我正在尝试获得Istio的应用程序标识和访问适配器在Minikube上工作的一个简单示例。我严格按照安装说明进行操作，对示例应用程序的调用就好像适配器不在那里一样。

平台: minikube istio通过istioctl适配器安装，通过helm安装。适配器pod正在运行

apiVersion: "security.cloud.ibm.com/v1"
kind:       OidcConfig
metadata:
  name:      oidc-provider-config
  namespace: default
spec:
  authMethod:   client_secret_basic
  discoveryUrl: https://us-south.appid.cloud.ibm.com/oauth/v4/
  clientId:     ******************************
  clientSecret: ******************************

apiVersion: security.cloud.ibm.com/v1
kind: Policy
metadata:
  name: sample-oidc-policy
  namespace: default
spec:
  targets:
    -  
      serviceName: service/helloworld
      paths:
        - exact: /hello
          method: ALL
          policies:
            - policyType: oidc
              config: oidc-provider-config

Answer 1

您是否将global.disablePolicyChecks设置为false，并在Istio安装过程中启用了mixer？

混音器现在默认是禁用的。

请参阅https://istio.io/docs/reference/config/installation-options/#mixer-options

更新：

我只是通过执行以下操作在我的设置中解决了这个问题：

首先检查disablePolicyCheck的状态

kubectl -n istio-system get cm istio -o jsonpath="{@.data.mesh}" | grep disablePolicyChecks

如果返回disablePolicyChecks: true，请运行

istioctl manifest apply --set values.global.disablePolicyChecks=false \
 --set values.mixer.policy.enabled=true \
 --set values.pilot.policy.enabled=true

运行以下命令应将disablePolicyChecks的值显示为false

kubectl -n istio-system get cm istio -o jsonpath="{@.data.mesh}" | grep disablePolicyChecks