1.21. 3scale Istio アダプターの使用
3scale Istio アダプターはオプションのアダプターであり、これを使用すると、Red Hat OpenShift Service Mesh 内で実行中のサービスにラベルを付け、そのサービスを 3scale API Management ソリューションと統合できます。これは Red Hat OpenShift Service Mesh には必要ありません。
3scale Istio アダプターは、Red Hat OpenShift Service Mesh バージョン 2.0 以前でのみ使用できます。Mixer コンポーネントはリリース 2.0 で非推奨となり、リリース 2.1 で削除されました。Red Hat OpenShift Service Mesh バージョン 2.1.0 以降では、3scale WebAssembly モジュール を使用する必要があります。
3scale Istio アダプターで 3scale バックエンドキャッシュを有効にする必要がある場合には、Mixer ポリシーと Mixer Telemetry も有効にする必要があります。Red Hat OpenShift Service Mesh コントロールプレーンのデプロイ を参照してください。
1.21.1. 3scale アダプターと Red Hat OpenShift Service Mesh の統合
これらの例を使用して、3scale Istio アダプターを使用してサービスに対する要求を設定できます。
前提条件:
- Red Hat OpenShift Service Mesh バージョン 2.x
- 稼働している 3scale アカウント (SaaS または 3scale 2.9 On-Premises)
- バックエンドキャッシュを有効にするには 3scale 2.9 以上が必要です。
- Red Hat OpenShift Service Mesh の前提条件
- Mixer ポリシーの適用が有効になっていることを確認します。Mixer ポリシー適用の更新についてのセクションでは、現在の Mixer ポリシーの適用ステータスをチェックし、ポリシーの適用を有効にする手順が説明されています。
Mixer プラグインを使用している場合は、Mixer ポリシーと Telemetry は有効にされる必要があります。
- アップグレード時に、Service Mesh コントロールプレーン (SMCP) を適切に設定する必要があります。
3scale Istio アダプターを設定するために、アダプターパラメーターをカスタムリソースファイルに追加する手順については、Red Hat OpenShift Service Mesh カスタムリソースを参照してください。
kind: handler
リソースにとくに注意してください。これを 3scale アカウントの認証情報を使用して更新する必要があります。オプションで service_id
をハンドラーに追加できますが、この設定は 3scale アカウントの 1 つのサービスに対してのみ有効で、後方互換性を確保するためにだけ維持されています。service_id
をハンドラーに追加する場合は、他のサービスに対して 3scale を有効にする必要がある場合は、別の service_ids
で追加のハンドラーを作成する必要があります。
以下の手順に従って、3scale アカウントごとに単一のハンドラーを使用します。
手順
3scale アカウントのハンドラーを作成し、アカウントの認証情報を指定します。サービス識別子を省略します。
apiVersion: "config.istio.io/v1alpha2" kind: handler metadata: name: threescale spec: adapter: threescale params: system_url: "https://<organization>-admin.3scale.net/" access_token: "<ACCESS_TOKEN>" connection: address: "threescale-istio-adapter:3333"
オプションで、params セクション内の
backend_url
フィールドを指定して、3scale 設定によって提供される URL を上書きできます。これは、アダプターが 3scale のオンプレミスインスタンスと同じクラスターで実行され、内部クラスター DNS を利用する必要がある場合に役立ちます。3scale アカウントに属するサービスの Deployment リソースを編集するか、またはパッチを適用します。
-
有効な
service_id
に対応する値を使用して"service-mesh.3scale.net/service-id"
ラベルを追加します。 -
手順 1 の ハンドラーリソースの名前 の値を使用して
"service-mesh.3scale.net/credentials"
ラベルを追加します。
-
有効な
- 他のサービスを追加する場合には、手順 2 を実行して、3scale アカウントの認証情報とそのサービス識別子にリンクします。
3scale 設定でルールの設定を変更し、ルールを 3scale ハンドラーにディスパッチします。
ルール設定の例
apiVersion: "config.istio.io/v1alpha2" kind: rule metadata: name: threescale spec: match: destination.labels["service-mesh.3scale.net"] == "true" actions: - handler: threescale.handler instances: - threescale-authorization.instance
1.21.1.1. 3scale カスタムリソースの生成
アダプターには、handler
、instance
、および rule
カスタムリソースの生成を可能にするツールが含まれます。
オプション | 説明 | 必須 | デフォルト値 |
---|---|---|---|
| 利用可能なオプションについてのヘルプ出力を生成します | いいえ | |
| この URL の一意の名前、トークンのペア | はい | |
| テンプレートを生成する namespace | いいえ | istio-system |
| 3scale アクセストークン | はい | |
| 3scale 管理ポータル URL | はい | |
| 3scale バックエンド URL。これが設定されている場合、システム設定から読み込まれる値がオーバーライドされます。 | いいえ | |
| 3scale API/サービス ID | いいえ | |
| 指定する 3scale 認証パターン (1=API Key, 2=App Id/App Key, 3=OIDC) | いいえ | ハイブリッド |
| 生成されたマニフェストを保存するファイル | いいえ | 標準出力 |
| CLI バージョンを出力し、即座に終了する | いいえ |
1.21.1.1.1. URL サンプルからのテンプレートの生成
-
デプロイされたアダプターからのマニフェストの生成 で、3scale アダプターコンテナーイメージからの
oc exec
を使用して以下のコマンドを実行します。 -
3scale-config-gen
コマンドを使用すると、YAML 構文とインデントエラーを回避するのに役立ちます。 -
このアノテーションを使用する場合は
--service
を省略できます。 -
このコマンドは、
oc exec
を使用してコンテナーイメージ内から起動する必要があります。
手順
3scale-config-gen
コマンドを使用して、トークンと URL のペアを 1 つのハンドラーとして複数のサービスで共有できるようにテンプレートを自動生成します。$ 3scale-config-gen --name=admin-credentials --url="https://<organization>-admin.3scale.net:443" --token="[redacted]"
以下の例では、ハンドラーに埋め込まれたサービス ID を使用してテンプレートを生成します。
$ 3scale-config-gen --url="https://<organization>-admin.3scale.net" --name="my-unique-id" --service="123456789" --token="[redacted]"
関連情報
1.21.1.2. デプロイされたアダプターからのマニフェストの生成
-
NAME
は、3scale で管理するサービスの識別に使用する識別子です。 -
CREDENTIALS_NAME
参照は、ルール設定のmatch
セクションに対応する識別子です。CLI ツールを使用している場合は、NAME
識別子に自動設定されます。 - この値は具体的なものでなくても構いませんが、ラベル値はルールの内容と一致させる必要があります。詳細は、アダプター経由でのサービストラフィックのルーティング を参照してください。
このコマンドを実行して、
istio-system
namespace でデプロイされたアダプターからマニフェストを生成します。$ export NS="istio-system" URL="https://replaceme-admin.3scale.net:443" NAME="name" TOKEN="token" oc exec -n ${NS} $(oc get po -n ${NS} -o jsonpath='{.items[?(@.metadata.labels.app=="3scale-istio-adapter")].metadata.name}') \ -it -- ./3scale-config-gen \ --url ${URL} --name ${NAME} --token ${TOKEN} -n ${NS}
-
これでターミナルにサンプル出力が生成されます。必要に応じて、これらのサンプルを編集し、
oc create
コマンドを使用してオブジェクトを作成します。 要求がアダプターに到達すると、アダプターはサービスが 3scale の API にどのようにマッピングされるかを認識している必要があります。この情報は、以下のいずれかの方法で提供できます。
- ワークロードにラベルを付ける (推奨)
-
ハンドラーを
service_id
としてハードコーディングする
必要なアノテーションでワークロードを更新します。
注記ハンドラーにまだ組み込まれていない場合は、このサンプルで提供されたサービス ID のみを更新する必要があります。ハンドラーの設定が優先されます。
$ export CREDENTIALS_NAME="replace-me" export SERVICE_ID="replace-me" export DEPLOYMENT="replace-me" patch="$(oc get deployment "${DEPLOYMENT}" patch="$(oc get deployment "${DEPLOYMENT}" --template='{"spec":{"template":{"metadata":{"labels":{ {{ range $k,$v := .spec.template.metadata.labels }}"{{ $k }}":"{{ $v }}",{{ end }}"service-mesh.3scale.net/service-id":"'"${SERVICE_ID}"'","service-mesh.3scale.net/credentials":"'"${CREDENTIALS_NAME}"'"}}}}}' )" oc patch deployment "${DEPLOYMENT}" --patch ''"${patch}"''
1.21.1.3. アダプター経由でのサービストラフィックのルーティング
以下の手順に従って、3scale アダプターを使用してサービスのトラフィックを処理します。
前提条件
- 3scale 管理者から受け取る認証情報とサービス ID
手順
-
kind: rule
リソース内で、以前に設定で作成したdestination.labels["service-mesh.3scale.net/credentials"] == "threescale"
ルールと一致させます。 -
上記のラベルを、ターゲットワークロードのデプロイメントで
PodTemplateSpec
に追加し、サービスを統合します。値threescale
は生成されたハンドラーの名前を参照します。このハンドラーは、3scale を呼び出すのに必要なアクセストークンを保存します。 -
destination.labels["service-mesh.3scale.net/service-id"] == "replace-me"
ラベルをワークロードに追加し、要求時にサービス ID をインスタンス経由でアダプターに渡します。