您可以尝试在 notHosts 中使用 notMethods、notPaths 和 rules.to.operation 来实现这一点。

例如

apiVersion: security.istio.io/v1beta1
kind: “AuthorizationPolicy”
metadata:
  name: “allow-nothing”
  namespace: default
spec:
  selector:
    matchLabels:
      istio: ingressgateway
    action: DENY
rules:
- from:
  - source:
      notRequestPrincipals: ["*"]
- to:
  - operation:
      notHosts: ["*.example.com"]
      not_paths: ["/admin"]

应该拒绝除带有 .example.com 后缀和 /admin 路径的主机之外的所有内容的流量。

rbac_access_denied_matched_policy[ns[istio-system]-policy[deny-all]-rule[0]] 部分表示您的流量符合 deny-all 政策。

现在，要调查原因，您需要更多有关正在发生的事情的信息。第一步是启用调试日志，至少对于 rbac: istioctl pc log --level "rbac:debug" $POD_NAME.$NAMESPACE。如果您想获得更多日志，您可以省略 rbac:debug 部分，但您将获得很多额外的日志（并非所有日志都有用，但其中一些是例如， jwt:debug,http:debug,http2:debug 可能有用）。

启用此类日志后，我会检查几件事：

• 目标 Pod 从源 Pod 获取哪些信息？源 Pod 真的能够识别自己吗？您可能会看到类似 2021-05-14T13:35:24.759773Z debug envoy rbac checking connection: requestedServerName: ...,sourceIP: a.a.a.a:33142,directRemoteIP: a.a.a.a:33142,remoteIP: a.a.a.a:33142,localAddress: b.b.b.b:8443,ssl: none,dynamicMetadata: 的一行。你必须注意细节：例如，这里元数据信息是空的，没有使用ssl。因此，实际上无法确定正在使用哪个源主体，而且您实际上可能会失败。 （这可能是原因：如果您获得真正的答案，则允许此类日志:)）。要解决此类问题，您需要启用 mTLS。
• 这有点笼统，可能与您的用例不太相关，但我认为它仍然值得一提（因为它是非常基本且经常被忽视的东西）：一般来说，请检查您正在执行哪些政策以及流量如何由 istio sidecar 处理。如果您使用基于 HTTP 的策略，请确保流量被如此处理。很多时候，HTTP 策略应用于被视为普通 TCP 的流量，并且它们不会匹配。检查https://istio.io/latest/docs/ops/configuration/traffic-management/protocol-selection/。