翻訳者 |李睿 校正:孫淑娟 API ゲートウェイは、マイクロサービスを公開する上で重要な役割を果たします。これらは、受信リクエストがサービスと通信するために通過する必要があるネットワーク内の追加ホップです。 API ゲートウェイは、クライアントからのリクエストを受信すると、ルーティング、構成、プロトコル変換、およびユーザー ポリシーの適用を実行し、適切な基盤となる API にリバース プロキシします。 API ゲートウェイは上記のタスクを実行できるため、受信したクライアント要求を外部のサードパーティ認証 (authz) サーバーに送信するように構成することもできます。受信要求の運命は、この外部認証サーバーのゲートウェイへの応答によって決まります。ここで Open Policy Agent (OPA) が役立ちます。 Contour、Kong Gateway、Traefik、Gloo など、オープンソースの Kubernetes ネイティブ API ゲートウェイは数多くあります。Emissary Ingress を詳しく見てみましょう。 Emissary Ingressとは何ですか?Emissary Ingress は以前は Ambassar API Gateway として知られていました。これはオープンソースの Kubernetes ネイティブ API ゲートウェイであり、現在は Cloud Native Computing Foundation (CNCF) のインキュベーション プロジェクトです。他の多くの Kubernetes ゲートウェイと同様に、Emissary は Envoy プロキシと連携するように構築されています。これは完全なステートレス アーキテクチャとして展開され、従来の SSO 認証プロトコル (OAuth、OpenIDConnect など)、レート制限、ログ記録、トレース サービスなどの複数のプラグインをサポートします。 Emissary は、AuthService リソースの ExtAuth プロトコルを活用して、受信リクエストの認証と承認を構成します。 ExtAuth は、gRPC と HTTP の 2 つのプロトコルをサポートしています。 gRPC インターフェースの場合、外部サービスは Envoy の external_auth.proto を実装する必要があります。 オパOpen Policy Agent (OPA) は、よく知られた汎用ポリシー エンジンであり、API ゲートウェイ、サービス メッシュ、Kubernetes、マイクロサービス、CI/CD、IAC など、スタック全体にわたるポリシー エンフォーサーとなっています。 OPA は意思決定とポリシーの適用を分離しているため、ソフトウェアが着信要求に対して意思決定を行う必要があるときはいつでも、OPA にクエリを実行します。 OPA-Envoy は、Envoy 外部認証 API を実装する gRPC サーバーを使用して OPA を拡張し、Emissary の外部認証サーバーと互換性を持たせます。 Emissary Ingress と OPA の統合上の図は、Emissary と OPA の統合の高レベルアーキテクチャを示しています。クライアントからの受信リクエストが Emissary に到達すると、入力 JSON を含む承認リクエストが OPA に送信されます。 OPA は、提供された Rego ポリシーに対してこの JSON を評価し、Emissary で応答します。 OPA からのこの結果 JSON が true であることが許可されている場合、クライアント要求のみがさらに API にルーティングされます。それ以外の場合、要求は Emissary によって拒否され、API に到達しません。外部認証のために、Emissary Ingress をインストールし、OPA と統合します。 (1)はじめにまず、Minikube クラスターを起動する必要があります。 Minikube をお持ちでない場合は、ここからインストールできます。 minikube スタート Helm 経由で Emissary Ingress を minikube にインストールします。 # リポジトリを追加します: または、Emissary Ingress のドキュメントを参照して、Kubernetes YAML 経由でインストールしてください。 (2)デモアプリケーションのルーティングを設定するゲートウェイごとに、サービスを公開するための独自の構成セットがあります。 Emissary では、マッピングとリスナーを介してルートを構成する必要があります。 マッピング リソースは、着信リクエストをどのサービスにリダイレクトするかを Emissary に指示するだけです。 Ingress と同様に、高度な構成が可能です。すべての受信リクエストをデモ アプリケーションのサービスである demo-svc にリダイレクトする単純なマッピング リソースが作成されます。 猫<< EOF | kubectl を適用- f - リスナー リソースは、Emissary にネットワーク上で着信要求をリッスンするように指示します。ここでは、ポート 8080 と HTTP プロトコルをリッスンするリスナーが作成され、すべての名前空間のホストに関連付けられます。 猫<< EOF | kubectl を適用- f - (3)エコーアプリをインストールするデモ アプリケーションとしてシンプルなエコー サーバーをインストールします。 猫<< EOF | kubectl を適用- f - さまざまなパスを通じてデモ アプリケーションと通信します。 minikube サービスエミッサリー- イングレス- n エミッサリー 注意: 上記の公開メソッドは macOS ユーザーには機能しない可能性があります。ビジー ボックスを使用して、Emissary ローカル エンドポイントにアクセスするように構成できます。 宛先ポート 80 のプライベート URL をコピーします。URL は、IP 192.168.49.2 の後にノード ポートが続く形式にする必要があります (例: http://192.168.49.2:30329)。 NodePort 値を $NodePort 環境変数としてエクスポートし、次のようにパスの値に curl します。 curl http://192.168.49.2:$NODEPORT/public OPA はセットアップに追加されておらず、上記の curl リクエストはポリシーの適用なしに API に直接送信されます。 (4)OPAをインストールして設定するには?OPA は、configmap を介して提供されたポリシーを読み取ります。 GET メソッド経由のすべての受信リクエストのみを許可するポリシーを含む次の configmap を作成します。 猫<< EOF | kubectl 適用- n 使者- f - OPA は、スタンドアロン デプロイメントとして、または emissary-ingress のサイドカーとしてデプロイすることにより、外部認可サーバーとして構成できます。ここで、サイドカーとして追加します。次の YAML を opa-patch.yaml として保存します。 仕様: emissary-ingress デプロイメントにパッチを適用し、すべての emissary-ingress ポッドが再起動するまで待ちます。 kubectl パッチデプロイメントemissary - ingress - n emissary -- patch - file opa - patch .yaml すべての emissary-ingress ポッドが OPA サイドカーで実行状態になるまで待機します。 次のAuthServiceを作成します。 AuthService は、受信リクエストの Authn と Authz を取得するために外部サービスと通信するように Emissary を構成するリソースです。 OPA はサイドカーとしてデプロイされるため、ローカルホスト上の OPA と通信するように設定します。 猫<< EOF | kubectl を適用- f - 次に curl を試します。ポリシーは GET メソッドからのリクエストを受け入れ、パスに制限がないため、両方のリクエストに対して 200 OK 応答が返されます。 curl - i http://192.168.49.2:$NODEPORT/public ここで、ポリシーを編集して、パス /public からの受信リクエストのみを受け入れ、他のパスへのリクエストは拒否されるようにします。 猫<< EOF | kubectl 適用- n 使者- f - ポリシーの変更を有効にするために、Envoy Ingress デプロイメントを再起動します。 kubectl ロールアウトデプロイメントの再開emissary - ingress - n emissary 再起動後、すべての Emissary-Ingress ポッドが実行状態になるまで待ちます。 次に、パス /public で curl リクエストを実行します。受け入れられますが、パス /private では OPA によって 403 応答で拒否されるため、リクエストはデモ API に到達しません。 curl -ihttp : //192.168.49.2:$ NODEPORT /public を実行します。 公開された API へのクライアントからの受信リクエストに関する決定は、Emissary Ingress セットアップの外部認可サーバーとしての OPA に分離できます。 OPA は、Emissary や Envoy 外部認証 API をサポートするその他のゲートウェイにプラグアンドプレイ ポリシー エンフォーサーとして追加できます。 元のタイトル: Emissary Ingress を OPA と統合する方法、Tayyab Jamadar 著 |
<<: Huawei Cloud GaussDBはクラウドネイティブを実践し、極めて高い弾力性、グローバルな可用性、そしてミニマリストなエクスペリエンスを実現します。
>>: Kafka: ビッグデータについて知っておくべきこと
オンライン マーケティング (OM) は、テクノロジー、知恵、安定性、勤勉さの組み合わせです。 OM...
表面的には、3b戦争は安定している。360総合検索は市場の8%をしっかりと占め、一方で百度は80%か...
2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っていますMituo...
企業は、多くのアプリケーション タイプに柔軟性、迅速な拡張性、信頼性を提供するパブリック クラウドに...
JD.comの商品一覧ページを見てみましょう!まずは2枚の写真を比較してみましょう。これはスパイダー...
あらゆる大規模なサイバー攻撃や、あまり知られていない障害の背後では、IT セキュリティ専門家、アプリ...
[51CTO.com クイック翻訳] 友人や知人から、Kubernetes の学習をどこからどのよう...
百度百科事典は、拡張読書外部リンクを削除し、参考資料にnofollow属性を追加しました。さまざまな...
数日前、Taobao ストアを運営している女性の友人が、Weibo で新しい服を宣伝するのを手伝って...
現在運営されているウィトキーサイトの中で、竹八街は最も人気のあるサイトです。老舗のウィトキーサイトと...
はるか昔、SEO は非常に人気がありました。それは、個々のウェブマスターの世界です。ウェブサイトを構...
tmhhostはどうですか? tmhhost 香港 VPS はどうですか? tmhhost は香港の...
Akkocloud は最近、米国の cn2 gia vps (サンノゼ データ センター) とドイツ...
レンガ職人は払い戻しを受けることができますか?レンガ職人の返金を受けるにはどうすればいいですか?レン...
2月3日、アマゾンとグーグルの親会社アルファベットはそれぞれ2022年の年次業績報告書を発表した。マ...