3.4. 認証ポリシーを使用したレイヤー 7 (L7)機能の確認

手順

1. オプション：以下のコマンドを実行して、AuthorizationPolicy リソースがまだ存在しない場合は作成します。

   $ oc apply -f - <<EOF
   apiVersion: security.istio.io/v1
   kind: AuthorizationPolicy
   metadata:
     name: productpage-waypoint
     namespace: info
   spec:
     targetRefs:
     - kind: Service
       group: ""
       name: productpage
     action: ALLOW
     rules:
     - from:
       - source:
           principals:
           - cluster.local/ns/default/sa/curl
       to:
       - operation:
           methods: ["GET"]
   EOF

   Copy to Clipboard Toggle word wrap

2. 以下のコマンドを実行して、ratings サービスなど、許可リストに含まれていないサービスがアクセスを拒否していることを確認します。

   $ oc exec "$(
     kubectl get pod \
       -l app=ratings \
       -n info \
       -o jsonpath='{.items[0].metadata.name}'
   )" \
   -c ratings \
   -n info -- \
   curl -sS productpage:9080/productpage

   Copy to Clipboard Toggle word wrap

   ratings サービスが認可ポリシーの 許可 リストに含まれていないため、リクエストは拒否されます。default/ curl サービスアカウントを使用する curl Pod のみが productpage サービスにアクセスできます。

3. 以下のコマンドを実行して、curl サービスが GET リクエストで productpage サービスにアクセスできることを確認します。

   oc exec "$(
     kubectl get pod \
       -l app=curl \
       -n default \
       -o jsonpath='{.items[0].metadata.name}'
   )" \
   -c curl \
   -n default -- \
   curl -sS http://productpage.info:9080/productpage | grep -o "<title>.*</title>"

   Copy to Clipboard Toggle word wrap

   curl サービスが認可ポリシールールを満たしているため、要求は成功します。cluster.local/ns/default/sa/curl プリンシパルを使用し、ポリシーで許可される GET 操作を実行します。ページタイトルを含む正常な応答では、ポイントプロキシーが L7 承認ルールを正しく適用し、有効なトラフィックを許可していることを確認します。