11.16. ブラウザークッキーが存在しないことまたは無効なクッキー値に基づくリクエストの特定プールへの送信
Red Hat OpenStack Platform (RHOSP) Load-balancing サービス (octavia) を使用して、認証されていない Web クライアントリクエストを、1 つまたは複数の認証サーバーが含まれる異なるプールにリダイレクトすることができます。レイヤー 7 (L7) ポリシーは、受信リクエストに認証クッキーがないかどうか、または特定の値を持つ認証クッキーが含まれるかどうかを判断します。
以下の例では、ブラウザークッキー auth_token
がないか、値が INVALID
である auth_token
を持つすべての Web クライアントリクエストは、認証サーバーが含まれる別のプールにリダイレクトされます。
以下の手順では、ブラウザークッキーを使用した L7 アプリケーションルーティングを実行する例を説明し、セキュリティーの懸念に対処しません。
前提条件
リスナー (
listener1
) およびプール (pool1
) を持つ TLS 終端 HTTPS ロードバランサー (lb1
)。詳細は、Creating a TLS-terminated HTTPS load balancer を参照してください。
- セキュアな認証サーバーが Web ユーザーを認証する 2 番目の RHOSP Networking (neutron) サブネット
手順
Source コマンドで認証情報ファイルを読み込みます。
例
$ source ~/overcloudrc
ロードバランサー (
lb1
) に 2 つ目のプール (login_pool
) を作成します。注記丸かっこ内の値は、この手順のコマンド例で使用されるサンプルの値です。これらのサンプル値を、実際のサイトに適した値に置き換えてください。
例
$ openstack loadbalancer pool create --name login_pool \ --lb-algorithm ROUND_ROBIN --loadbalancer lb1 --protocol HTTP
認証サブネット (
secure_subnet
) 上のセキュアな認証サーバー (192.0.2.10
) を、メンバーとして 2 番目のプールに追加します。例
この例では、バックエンドサーバー
192.0.2.10
の名前はmember1
です。$ openstack loadbalancer member create --name member1 \ --address 192.0.2.10 --protocol-port 80 --subnet-id secure_subnet \ login_pool
リスナー (
listener1
) に L7 ポリシー (policy1
) を作成します。ポリシーには、アクション (REDIRECT_TO_POOL
) を追加し、2 つ目のプール (login_pool
) を参照する必要があります。例
$ openstack loadbalancer l7policy create --action REDIRECT_TO_POOL \ --redirect-pool login_pool --name policy1 listener1
任意の値のブラウザークッキー (
auth_token
) を探しクッキーが存在しない場合にマッチする L7 ルールを、ポリシー (policy1
) に追加します。例
$ openstack loadbalancer l7rule create --compare-type REGEX \ --key auth_token --type COOKIE --value '.*' --invert policy1
リスナー (
listener1
) に 2 つ目の L7 ポリシー (policy2
) を作成します。ポリシーには、アクション (REDIRECT_TO_POOL
) を追加し、2 つ目のプール (login_pool
) を参照する必要があります。例
$ openstack loadbalancer l7policy create --action REDIRECT_TO_POOL \ --redirect-pool login_pool --name policy2 listener1
ブラウザークッキー (
auth_token
) を検索しクッキーの値が文字列INVALID
に等しい場合にマッチする L7 ルールを、2 番目のポリシー (policy2
) に追加します。例
$ openstack loadbalancer l7rule create --compare-type EQUAL_TO \ --key auth_token --type COOKIE --value INVALID policy2
検証
-
openstack loadbalancer l7policy list
コマンドを実行し、ポリシーpolicy1
およびpolicy2
が存在することを確認します。 openstack loadbalancer l7rule list <l7policy>
コマンドを実行し、policy1
にcompare_type
がREGEX
のルールが存在し、policy2
にcompare_type
がEQUAL_TO
のルールが存在することを確認します。例
$ openstack loadbalancer l7rule list policy1 $ openstack loadbalancer l7rule list policy2
関連情報
- コマンドラインインターフェイスリファレンス の loadbalancer pool create
- コマンドラインインターフェイスリファレンス の loadbalancer member create
- コマンドラインインターフェイスリファレンス の loadbalancer l7policy create
- コマンドラインインターフェイスリファレンス の loadbalancer l7rule create