第10章 セキュリティー
10.1. Knative サービスの JSON Web Token 認証の設定
OpenShift Serverless には現在、ユーザー定義の承認機能がありません。ユーザー定義の承認をデプロイメントに追加するには、OpenShift Serverless を Red Hat OpenShift Service Mesh と統合してから、Knative サービスの JSON Web Token (JWT) 認証とサイドカーインジェクションを設定する必要があります。
10.1.1. Service Mesh 2.x および OpenShift Serverless での JSON Web トークン認証の使用
Service Mesh 2.x と OpenShift Serverless を使用して、Knative サービスで JSON Web Token (JWT) 認証を使用できます。これを行うには、ServiceMeshMemberRoll
オブジェクトのメンバーであるアプリケーション namespace に認証要求とポリシーを作成する必要があります。サービスのサイドカーインジェクションも有効にする必要があります。
knative-serving
および knative-serving-ingress
などのシステム namespace の Pod へのサイドカー挿入の追加は、Kourier が有効化されている場合はサポートされません。
これらの namespace の Pod にサイドカーの挿入が必要な場合は、サービスメッシュと OpenShift Serverless のネイティブに統合に関する OpenShift Serverless のドキュメントを参照してください。
前提条件
- OpenShift Serverless Operator、Knative Serving、および Red Hat OpenShift Service Mesh をクラスターにインストールしました。
-
OpenShift CLI (
oc
) をインストールしている。 - OpenShift Container Platform でアプリケーションおよび他のワークロードを作成するために、プロジェクトを作成しているか、適切なロールおよびパーミッションを持つプロジェクトにアクセスできる。
手順
sidecar.istio.io/inject="true"
アノテーションをサービスに追加します。サービスの例
apiVersion: serving.knative.dev/v1 kind: Service metadata: name: <service_name> spec: template: metadata: annotations: sidecar.istio.io/inject: "true" 1 sidecar.istio.io/rewriteAppHTTPProbers: "true" 2 ...
Service
リソースを適用します。$ oc apply -f <filename>
ServiceMeshMemberRoll
オブジェクトのメンバーである各サーバーレスアプリケーション namespace にRequestAuthentication
リソースを作成します。apiVersion: security.istio.io/v1beta1 kind: RequestAuthentication metadata: name: jwt-example namespace: <namespace> spec: jwtRules: - issuer: testing@secure.istio.io jwksUri: https://raw.githubusercontent.com/istio/istio/release-1.8/security/tools/jwt/samples/jwks.json
RequestAuthentication
リソースを適用します。$ oc apply -f <filename>
以下の
AuthorizationPolicy
リソースを作成して、ServiceMeshMemberRoll
オブジェクトのメンバーである各サーバーレスアプリケーション namespace のシステム Pod からのRequestAuthenticaton
リソースへのアクセスを許可します。apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: allowlist-by-paths namespace: <namespace> spec: action: ALLOW rules: - to: - operation: paths: - /metrics 1 - /healthz 2
AuthorizationPolicy
リソースを適用します。$ oc apply -f <filename>
ServiceMeshMemberRoll
オブジェクトのメンバーであるサーバーレスアプリケーション namespace ごとに、以下のAuthorizationPolicy
リソースを作成します。apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: require-jwt namespace: <namespace> spec: action: ALLOW rules: - from: - source: requestPrincipals: ["testing@secure.istio.io/testing@secure.istio.io"]
AuthorizationPolicy
リソースを適用します。$ oc apply -f <filename>
検証
curl
要求を使用して Knative サービス URL を取得しようとすると、これは拒否されます。コマンドの例
$ curl http://hello-example-1-default.apps.mycluster.example.com/
出力例
RBAC: access denied
有効な JWT で要求を確認します。
有効な JWT トークンを取得します。
$ TOKEN=$(curl https://raw.githubusercontent.com/istio/istio/release-1.8/security/tools/jwt/samples/demo.jwt -s) && echo "$TOKEN" | cut -d '.' -f2 - | base64 --decode -
curl
要求ヘッダーで有効なトークンを使用してサービスにアクセスします。$ curl -H "Authorization: Bearer $TOKEN" http://hello-example-1-default.apps.example.com
これで要求が許可されます。
出力例
Hello OpenShift!
10.1.2. Service Mesh 1.x および OpenShift Serverless での JSON Web トークン認証の使用
Service Mesh 1.x と OpenShift Serverless を使用して、Knative サービスで JSON Web Token (JWT) 認証を使用できます。これを行うには、ServiceMeshMemberRoll
オブジェクトのメンバーであるアプリケーション namespace にポリシーを作成する必要があります。サービスのサイドカーインジェクションも有効にする必要があります。
knative-serving
および knative-serving-ingress
などのシステム namespace の Pod へのサイドカー挿入の追加は、Kourier が有効化されている場合はサポートされません。
これらの namespace の Pod にサイドカーの挿入が必要な場合は、サービスメッシュと OpenShift Serverless のネイティブに統合に関する OpenShift Serverless のドキュメントを参照してください。
前提条件
- OpenShift Serverless Operator、Knative Serving、および Red Hat OpenShift Service Mesh をクラスターにインストールしました。
-
OpenShift CLI (
oc
) をインストールしている。 - OpenShift Container Platform でアプリケーションおよび他のワークロードを作成するために、プロジェクトを作成しているか、適切なロールおよびパーミッションを持つプロジェクトにアクセスできる。
手順
sidecar.istio.io/inject="true"
アノテーションをサービスに追加します。サービスの例
apiVersion: serving.knative.dev/v1 kind: Service metadata: name: <service_name> spec: template: metadata: annotations: sidecar.istio.io/inject: "true" 1 sidecar.istio.io/rewriteAppHTTPProbers: "true" 2 ...
Service
リソースを適用します。$ oc apply -f <filename>
有効な JSON Web Tokens (JWT) の要求のみを許可する
ServiceMeshMemberRoll
オブジェクトのメンバーであるサーバーレスアプリケーション namespace でポリシーを作成します。重要パスの
/metrics
および/healthz
は、knative-serving
namespace のシステム Pod からアクセスされるため、excludedPaths
に組み込まれる必要があります。apiVersion: authentication.istio.io/v1alpha1 kind: Policy metadata: name: default namespace: <namespace> spec: origins: - jwt: issuer: testing@secure.istio.io jwksUri: "https://raw.githubusercontent.com/istio/istio/release-1.6/security/tools/jwt/samples/jwks.json" triggerRules: - excludedPaths: - prefix: /metrics 1 - prefix: /healthz 2 principalBinding: USE_ORIGIN
Policy
リソースを適用します。$ oc apply -f <filename>
検証
curl
要求を使用して Knative サービス URL を取得しようとすると、これは拒否されます。$ curl http://hello-example-default.apps.mycluster.example.com/
出力例
Origin authentication failed.
有効な JWT で要求を確認します。
有効な JWT トークンを取得します。
$ TOKEN=$(curl https://raw.githubusercontent.com/istio/istio/release-1.6/security/tools/jwt/samples/demo.jwt -s) && echo "$TOKEN" | cut -d '.' -f2 - | base64 --decode -
curl
要求ヘッダーで有効なトークンを使用してサービスにアクセスします。$ curl http://hello-example-default.apps.mycluster.example.com/ -H "Authorization: Bearer $TOKEN"
これで要求が許可されます。
出力例
Hello OpenShift!