2.8.5. 更新 Mixer 策略强制功能

在之前的 Red Hat OpenShift Service Mesh 版本中，Mixer 的策略强制功能被默认启用。现在，Mixer 的策略强制功能被默认禁用。您需要在运行策略任务前启用它。

先决条件

访问 OpenShift Container Platform 命令行界面 (CLI) 也称为 oc。

注意

示例使用 <istio-system> 作为 control plane 命名空间。将这个值替换为部署 Service Mesh Control Plane（SMCP）的命名空间。

流程

登录 OpenShift Container Platform CLI。

运行这个命令检查当前的 Mixer 策略强制状态：

$ oc get cm -n <istio-system> istio -o jsonpath='{.data.mesh}' | grep disablePolicyChecks

如果为 disablePolicyChecks: true，编辑 Service Mesh ConfigMap：
```
$ oc edit cm -n <istio-system> istio
```
在 ConfigMap 中找到 disablePolicyChecks: true，把它的值改为 false。
保存配置并退出编辑器。
重新检查 Mixer 策略强制状态以确保其已被设置为 false。

2.8.5.1. 设置正确的网络策略

Service Mesh 在 Service Mesh control plane 和成员命名空间中创建网络策略，以允许它们之间的流量。在部署前，请考虑以下条件，以确保之前通过 OpenShift Container Platform 路由公开的服务网格中的服务。

进入服务网格的流量必须总是经过 ingress-gateway 才能使 Istio 正常工作。
在不在任何服务网格中的独立命名空间中为服务网格部署服务。
需要在服务网格列出的命名空间中部署的非 mesh 服务应该标记其 maistra.io/expose-route: "true"，这可以确保 OpenShift Container Platform 路由到这些服务仍可以正常工作。

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务，以及可以信赖的内容，帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情，请参阅红帽博客.

關於紅帽

我们提供强化的解决方案，使企业能够更轻松地跨平台和环境（从核心数据中心到网络边缘）工作。

© 2024 Red Hat, Inc.