3.4. 認可ポリシーによる Layer 7(L7) 機能の検証

手順

1. オプション: AuthorizationPolicy リソースがまだ存在しない場合は、次のコマンドを実行して作成します。

   $ oc apply -f - <<EOF
   apiVersion: security.istio.io/v1
   kind: AuthorizationPolicy
   metadata:
     name: productpage-waypoint
     namespace: info
   spec:
     targetRefs:
     - kind: Service
       group: ""
       name: productpage
     action: ALLOW
     rules:
     - from:
       - source:
           principals:
           - cluster.local/ns/default/sa/curl
       to:
       - operation:
           methods: ["GET"]
   EOF

   Copy to Clipboard Toggle word wrap

2. 次のコマンドを実行して、評価サービスなどの許可リストに含まれていないサービスのアクセスが拒否されていることを確認します。

   $ oc exec "$(
     kubectl get pod \
       -l app=ratings \
       -n info \
       -o jsonpath='{.items[0].metadata.name}'
   )" \
   -c ratings \
   -n info -- \
   curl -sS productpage:9080/productpage

   Copy to Clipboard Toggle word wrap

   ratings サービスが認可ポリシーの allow リストに含まれていないため、要求は拒否されます。default/curl サービスアカウントを使用する curl Pod のみが productpage サービスにアクセスできます。

3. 次のコマンドを実行して、curl サービスが GET リクエストを使用して productpage サービスにアクセスできることを確認します。

   oc exec "$(
     kubectl get pod \
       -l app=curl \
       -n default \
       -o jsonpath='{.items[0].metadata.name}'
   )" \
   -c curl \
   -n default -- \
   curl -sS http://productpage.info:9080/productpage | grep -o "<title>.*</title>"

   Copy to Clipboard Toggle word wrap

   curl サービスが認可ポリシールールを満たしているため、要求は成功します。これは、cluster.local/ns/default/sa/curl プリンシパルを使用し、GET 操作を実行します。どちらもポリシーによって許可されています。ページタイトルを含む正常な応答は、waypoint プロキシーが L7 認可ルールを正しく適用し、有効なトラフィックを許可していることを確認します。