12.7. EventPolicy の適用

手順

1. 2 つの namespace を作成し、namespace-1 にブローカーをデプロイし、次の例に示すように namespace ごとに 1 つの PingSource を設定します。

   apiVersion: v1
   kind: Namespace
   metadata:
     name: namespace-1
   ---
   apiVersion: v1
   kind: Namespace
   metadata:
     name: namespace-2
   ---
   apiVersion: eventing.knative.dev/v1
   kind: Broker
   metadata:
     name: broker
     namespace: namespace-1
   ---
   # PingSource in namespace-1
   apiVersion: sources.knative.dev/v1
   kind: PingSource
   metadata:
     name: pingsource-1
     namespace: namespace-1
   spec:
     data: '{"message": "Hi from pingsource-1 from namespace-1"}'
     schedule: '*/1 * * * *'
     sink:
       ref:
         apiVersion: eventing.knative.dev/v1
         kind: Broker
         name: broker
         namespace: namespace-1
   ---
   # PingSource in namespace-2
   apiVersion: sources.knative.dev/v1
   kind: PingSource
   metadata:
     name: pingsource-2
     namespace: namespace-2
   spec:
     data: '{"message": "Hi from pingsource-2 from namespace-2"}'
     schedule: '*/1 * * * *'
     sink:
       ref:
         apiVersion: eventing.knative.dev/v1
         kind: Broker
         name: broker
         namespace: namespace-1

   Copy to Clipboard Toggle word wrap

2. 次の例に示すように、受信イベントを表示する event-display サービスを作成し、それをブローカーに接続するためのトリガーを追加します。

   apiVersion: apps/v1
   kind: Deployment
   metadata:
     name: event-display
     namespace: namespace-1
   spec:
     replicas: 1
     selector:
       matchLabels:
         app: event-display
     template:
       metadata:
         labels:
           app: event-display
       spec:
         containers:
           - name: event-display
             image: gcr.io/knative-releases/knative.dev/eventing/cmd/event_display
             ports:
             - containerPort: 8080
   ---
   apiVersion: v1
   kind: Service
   metadata:
     name: event-display
     namespace: namespace-1
   spec:
     selector:
       app: event-display
     ports:
       - name: http
         port: 80
         targetPort: 8080
   ---
   apiVersion: eventing.knative.dev/v1
   kind: Trigger
   metadata:
     name: trigger
     namespace: namespace-1
   spec:
     broker: broker
     subscriber:
       ref:
         apiVersion: v1
         kind: Service
         name: event-display

   Copy to Clipboard Toggle word wrap

   この段階では、OIDC が無効になっており、EventPolicy が適用されていないため、イベント表示サービスは両方の PingSource からのイベントを表示します。

3. 次のサンプルコマンドを実行して、Knative Eventing で OIDC を有効にし、EventPolicy を作成します。

   $ oc -n knative-eventing patch KnativeEventing knative-eventing \
     --type merge \
     -p '{"spec":{"config":{"features":{"authentication-oidc":"enabled"}}}}'

   Copy to Clipboard Toggle word wrap

4. OIDC が有効になったら、次の例に示すように、namespace-2 からの PingSource のみを承認する EventPolicy を作成します。

   apiVersion: eventing.knative.dev/v1alpha1
   kind: EventPolicy
   metadata:
     name: event-policy
     namespace: namespace-1
   spec:
     to:
       - ref:
           apiVersion: eventing.knative.dev/v1
           kind: Broker
           name: broker
     from:
       - ref:
           apiVersion: sources.knative.dev/v1
           kind: PingSource
           name: pingsource-2
           namespace: namespace-2

   Copy to Clipboard Toggle word wrap

検証

1. 次のコマンドを実行して、EventPolicy を検証し、ブローカーのステータスを確認します。

   $ oc -n namespace-1 get broker broker -o yaml

   Copy to Clipboard Toggle word wrap

2. 次のコマンドを実行して、event-display サービスからのログを表示し、pingsource-2 イベントのみが到着していることを確認します。

   $ oc -n namespace-1 logs -f -l app=event-display

   Copy to Clipboard Toggle word wrap

3. 次のコマンドを実行して EventPolicy を削除します。

   $ oc -n namespace-1 delete eventpolicy event-policy

   Copy to Clipboard Toggle word wrap

4. 次のコマンドを実行して、ブローカーのステータスをチェックし、デフォルトの allow-same-namespace モードに戻っていることを確認します。

   $ oc -n namespace-1 get broker broker -o yaml

   Copy to Clipboard Toggle word wrap

5. 次のコマンドを実行して、event-display サービスログを表示し、同じ namespace からの pingsource-1 イベントのみが表示されることを確認します。

   $ oc -n namespace-1 logs -f -l app=event-display

   Copy to Clipboard Toggle word wrap