翻訳者 |李睿 校正:孫淑娟 API ゲートウェイは、マイクロサービスを公開する上で重要な役割を果たします。これらは、受信リクエストがサービスと通信するために通過する必要があるネットワーク内の追加ホップです。 API ゲートウェイは、クライアントからのリクエストを受信すると、ルーティング、構成、プロトコル変換、およびユーザー ポリシーの適用を実行し、適切な基盤となる API にリバース プロキシします。 API ゲートウェイは上記のタスクを実行できるため、受信したクライアント要求を外部のサードパーティ認証 (authz) サーバーに送信するように構成することもできます。受信要求の運命は、この外部認証サーバーのゲートウェイへの応答によって決まります。ここで Open Policy Agent (OPA) が役立ちます。 Contour、Kong Gateway、Traefik、Gloo など、オープンソースの Kubernetes ネイティブ API ゲートウェイは数多くあります。Emissary Ingress を詳しく見てみましょう。 Emissary Ingressとは何ですか?Emissary Ingress は以前は Ambassar API Gateway として知られていました。これはオープンソースの Kubernetes ネイティブ API ゲートウェイであり、現在は Cloud Native Computing Foundation (CNCF) のインキュベーション プロジェクトです。他の多くの Kubernetes ゲートウェイと同様に、Emissary は Envoy プロキシと連携するように構築されています。これは完全なステートレス アーキテクチャとして展開され、従来の SSO 認証プロトコル (OAuth、OpenIDConnect など)、レート制限、ログ記録、トレース サービスなどの複数のプラグインをサポートします。 Emissary は、AuthService リソースの ExtAuth プロトコルを活用して、受信リクエストの認証と承認を構成します。 ExtAuth は、gRPC と HTTP の 2 つのプロトコルをサポートしています。 gRPC インターフェースの場合、外部サービスは Envoy の external_auth.proto を実装する必要があります。 オパOpen Policy Agent (OPA) は、よく知られた汎用ポリシー エンジンであり、API ゲートウェイ、サービス メッシュ、Kubernetes、マイクロサービス、CI/CD、IAC など、スタック全体にわたるポリシー エンフォーサーとなっています。 OPA は意思決定とポリシーの適用を分離しているため、ソフトウェアが着信要求に対して意思決定を行う必要があるときはいつでも、OPA にクエリを実行します。 OPA-Envoy は、Envoy 外部認証 API を実装する gRPC サーバーを使用して OPA を拡張し、Emissary の外部認証サーバーと互換性を持たせます。 Emissary Ingress と OPA の統合上の図は、Emissary と OPA の統合の高レベルアーキテクチャを示しています。クライアントからの受信リクエストが Emissary に到達すると、入力 JSON を含む承認リクエストが OPA に送信されます。 OPA は、提供された Rego ポリシーに対してこの JSON を評価し、Emissary で応答します。 OPA からのこの結果 JSON が true であることが許可されている場合、クライアント要求のみがさらに API にルーティングされます。それ以外の場合、要求は Emissary によって拒否され、API に到達しません。外部認証のために、Emissary Ingress をインストールし、OPA と統合します。 (1)はじめにまず、Minikube クラスターを起動する必要があります。 Minikube をお持ちでない場合は、ここからインストールできます。 minikube スタート Helm 経由で Emissary Ingress を minikube にインストールします。 # リポジトリを追加します: または、Emissary Ingress のドキュメントを参照して、Kubernetes YAML 経由でインストールしてください。 (2)デモアプリケーションのルーティングを設定するゲートウェイごとに、サービスを公開するための独自の構成セットがあります。 Emissary では、マッピングとリスナーを介してルートを構成する必要があります。 マッピング リソースは、着信リクエストをどのサービスにリダイレクトするかを Emissary に指示するだけです。 Ingress と同様に、高度な構成が可能です。すべての受信リクエストをデモ アプリケーションのサービスである demo-svc にリダイレクトする単純なマッピング リソースが作成されます。 猫<< EOF | kubectl を適用- f - リスナー リソースは、Emissary にネットワーク上で着信要求をリッスンするように指示します。ここでは、ポート 8080 と HTTP プロトコルをリッスンするリスナーが作成され、すべての名前空間のホストに関連付けられます。 猫<< EOF | kubectl を適用- f - (3)エコーアプリをインストールするデモ アプリケーションとしてシンプルなエコー サーバーをインストールします。 猫<< EOF | kubectl を適用- f - さまざまなパスを通じてデモ アプリケーションと通信します。 minikube サービスエミッサリー- イングレス- n エミッサリー 注意: 上記の公開メソッドは macOS ユーザーには機能しない可能性があります。ビジー ボックスを使用して、Emissary ローカル エンドポイントにアクセスするように構成できます。 宛先ポート 80 のプライベート URL をコピーします。URL は、IP 192.168.49.2 の後にノード ポートが続く形式にする必要があります (例: http://192.168.49.2:30329)。 NodePort 値を $NodePort 環境変数としてエクスポートし、次のようにパスの値に curl します。 curl http://192.168.49.2:$NODEPORT/public OPA はセットアップに追加されておらず、上記の curl リクエストはポリシーの適用なしに API に直接送信されます。 (4)OPAをインストールして設定するには?OPA は、configmap を介して提供されたポリシーを読み取ります。 GET メソッド経由のすべての受信リクエストのみを許可するポリシーを含む次の configmap を作成します。 猫<< EOF | kubectl 適用- n 使者- f - OPA は、スタンドアロン デプロイメントとして、または emissary-ingress のサイドカーとしてデプロイすることにより、外部認可サーバーとして構成できます。ここで、サイドカーとして追加します。次の YAML を opa-patch.yaml として保存します。 仕様: emissary-ingress デプロイメントにパッチを適用し、すべての emissary-ingress ポッドが再起動するまで待ちます。 kubectl パッチデプロイメントemissary - ingress - n emissary -- patch - file opa - patch .yaml すべての emissary-ingress ポッドが OPA サイドカーで実行状態になるまで待機します。 次のAuthServiceを作成します。 AuthService は、受信リクエストの Authn と Authz を取得するために外部サービスと通信するように Emissary を構成するリソースです。 OPA はサイドカーとしてデプロイされるため、ローカルホスト上の OPA と通信するように設定します。 猫<< EOF | kubectl を適用- f - 次に curl を試します。ポリシーは GET メソッドからのリクエストを受け入れ、パスに制限がないため、両方のリクエストに対して 200 OK 応答が返されます。 curl - i http://192.168.49.2:$NODEPORT/public ここで、ポリシーを編集して、パス /public からの受信リクエストのみを受け入れ、他のパスへのリクエストは拒否されるようにします。 猫<< EOF | kubectl 適用- n 使者- f - ポリシーの変更を有効にするために、Envoy Ingress デプロイメントを再起動します。 kubectl ロールアウトデプロイメントの再開emissary - ingress - n emissary 再起動後、すべての Emissary-Ingress ポッドが実行状態になるまで待ちます。 次に、パス /public で curl リクエストを実行します。受け入れられますが、パス /private では OPA によって 403 応答で拒否されるため、リクエストはデモ API に到達しません。 curl -ihttp : //192.168.49.2:$ NODEPORT /public を実行します。 公開された API へのクライアントからの受信リクエストに関する決定は、Emissary Ingress セットアップの外部認可サーバーとしての OPA に分離できます。 OPA は、Emissary や Envoy 外部認証 API をサポートするその他のゲートウェイにプラグアンドプレイ ポリシー エンフォーサーとして追加できます。 元のタイトル: Emissary Ingress を OPA と統合する方法、Tayyab Jamadar 著 |
<<: Huawei Cloud GaussDBはクラウドネイティブを実践し、極めて高い弾力性、グローバルな可用性、そしてミニマリストなエクスペリエンスを実現します。
>>: Kafka: ビッグデータについて知っておくべきこと
企業がクラウド サービスの障害を回避できるように、NetworkWorld は、世界中の多くの We...
2020年は、疫病の影響を受け、どのビジネスも好調ではありませんでした。しかし、インターネット企業と...
360 は検索エンジンですか? 8 月 16 日に、新製品「360 Comprehensive Se...
2月17日、情報フローコンテンツ業界では1日のうち3つの小さな変化が起こりました。今日頭条は、1万人...
アニルバン・ゴシャル企画 |趙雲制作 | 51CTO テクノロジースタック (WeChat ID: ...
Servermania は、ブラックフライデーに XEN HVM WINDOWS ベースの特別な V...
著者は、何らかの理由で、数か月間、偽造品を扱う外国貿易会社で働いていました。それまでは、偽造品の海外...
dotvps は 2011 年から VPS の販売を開始し、現在 3 年が経過しました。 Solus...
4月20日、「クラウドは新たな台頭、未来は無限の可能性」をテーマにしたJD Cloudブランド発表会...
最近、大量の注文により、onevps のロサンゼルス データ センターでサーバーを増設しており、配送...
トラフィックの多いウェブサイトは多くの収益をもたらすことは誰もが知っていますが、トラフィックを収益に...
電子商取引サイトには独自の特徴があります。コンテンツを通じて人気を蓄積できるフォーラムや情報ポータル...
一般的なユースケース、テクノロジーの利点と制限、組織におけるハイブリッド クラウドの導入について知っ...
6月末にBingがリンク否認ツールをリリースした後、何千人ものSEO担当者が待ち望んでいたGoogl...
[[276426]] 1. 背景この記事では、特別な JVM 最適化のケースについて説明します。こ...