3.2. 3scale API Management 표준 정책의 정책 체인
각 API 제품에 대해 정책 체인을 지정할 수 있습니다. 정책 체인은 다음을 수행합니다.
- APIcast가 요청에 적용되는 정책을 지정합니다.
- 해당 정책에 대한 구성 정보를 제공합니다.
- APIcast가 정책을 적용하는 순서를 결정합니다.
체인에서 정책을 올바르게 정렬하려면 APIcast가 정책을 API 소비자 요청에 적용하는 방법을 이해해야합니다.
3.2.1. APIcast NGINX 단계 3scale API Management 정책을 처리하는 방법
3scale API 게이트웨이 또는 APIcast는 NGINX 프록시 웹 서버를 사용하여 정책을 적용합니다. APIcast가 API 소비자로부터 요청을 수신하면 APIcast는 순서가 지정된 일련의 NGINX 단계로 요청을 처리합니다. 각 NGINX 단계에서 APIcast는 다음 정책을 적용하여 원래 요청을 수정할 수 있습니다.
- 업스트림 API 정책 체인의 정책입니다. 정책 체인은 순서가 지정된 정책 목록입니다. 기본적으로 업스트림 API의 정책 체인에는 3scale APIcast 정책이 포함됩니다. API 공급자는 3scale 제품의 정책 체인에 정책을 추가할 수 있습니다. APIcast는 업스트림 API 정책 체인의 정책을 해당 업스트림 API로만 전송되는 API 소비자 요청에 적용합니다.
- 글로벌 3scale 정책 체인의 정책입니다. API 공급자는 3scale 환경 변수를 설정하여 글로벌 정책 체인을 업데이트할 수 있습니다. APIcast는 글로벌 정책 체인의 정책을 모든 API 소비자 요청에 적용합니다.
동일한 정책이 업스트림 API 정책 체인과 글로벌 정책 체인에 있는 경우 업스트림 API 정책 체인의 정책 구성이 우선합니다.
APIcast가 모든 NGINX 단계에서 필요한 처리를 수행한 후 APIcast는 요청의 결과를 업스트림 API로 보냅니다. 결과적으로, 원하는 동작을 달성하기 위해서는 처리가 API 소비자 요청을 수정할 수 있기 때문에 NGINX 단계 프로세스 정책의 순서를 이해하는 것이 중요합니다.
NGINX 단계의 순서 및 설명
APIcast가 API 소비자로부터 요청을 수신하면 APIcast는 업스트림 API의 정책 체인과 글로벌 정책 체인에 정책을 적용하여 요청을 처리합니다. 각 3scale 정책은 하나 이상의 함수를 정의합니다. APIcast는 순서가 지정된 일련의 NGINX 단계에서 정책 함수를 실행합니다. 각 단계에서 NGINX는 적용되는 정책에 정의된 함수를 실행하고 해당 단계에서 실행을 지정합니다. 다음 표에는 정책 함수를 실행하는 NGINX 단계가 나열되어 있습니다. 이 표에 나열되지 않은 추가 NGINX 단계는 정책 체인의 정책 순서에 영향을 받지 않는 처리를 수행합니다.
| NGINX 단계 | 이 단계의 처리 설명 |
|---|---|
|
| 요청의 대상 URI를 수정하는 모든 함수를 실행합니다. |
|
| 클라이언트의 요청 권한을 확인하는 모든 함수를 실행합니다. |
|
|
업스트림 API로 전송할 요청 콘텐츠를 생성합니다. |
|
| 로드 밸런싱 기능을 실행합니다. |
|
| 요청 헤더를 처리하는 모든 함수를 실행합니다. |
|
| 요청 본문을 처리하는 모든 함수를 실행합니다. |
|
| NGINX가 헤더와 본문에서 함수를 실행한 후 요청을 처리하는 모든 함수를 실행합니다. |
|
| 요청에 대한 로그 정보를 생성합니다. |
|
| Prometheus 끝점에서 수신한 모든 데이터에서 작동합니다. |
정책 순서의 영향을 받지 않는 처리를 수행하는 NGINX 단계의 예:
-
APIcast가 시작되면 NGINX는
init단계와 관련된 작업을 실행합니다. -
APIcast 작업자가 시작되면 NGINX는
init_worker단계와 관련된 작업을 실행합니다. -
APIcast가 HTTPS 연결을 종료하면 NGINX는
ssl_certificate단계와 관련된 작업을 실행합니다.
NGINX가 정책 함수를 실행하는 순서
API 공급자는 3scale 제품에 하나 이상의 정책을 추가하여 정책 체인을 구성할 수 있습니다. 각 단계에서 NGINX는 해당 단계에서 실행을 지정하는 정책 함수만 처리합니다. 각 정책 함수는 하나의 NGINX 단계에서 처리하는 동안 APIcast가 기본 동작을 변경하는 방법을 지정합니다. 예를 들어 header_filter 단계에서 NGINX는 header_filter 를 지정하고 요청 헤더에서 정상적으로 작동하는 함수를 처리합니다. 각 단계에서 NGINX는 관련 기능을 정책 체인에 있는 순서대로 처리합니다.
정책은 컨텍스트 오브젝트를 통해 데이터를 공유할 수 있습니다. 정책은 각 단계에서 컨텍스트 오브젝트를 읽고 수정할 수 있습니다.
NGINX가 정책 함수를 실행하는 순서는 다음에 따라 다릅니다.
- 정책 체인의 정책 위치
- 특정 정책 기능을 처리하는 NGINX 단계
필요한 동작을 얻으려면 정책 체인의 위치에 따라 정책 적용 결과가 다를 수 있으므로 정책 체인의 순서를 올바르게 지정해야 합니다. 다음 다이어그램에서는 NGINX에서 정책을 적용하는 순서의 예를 보여줍니다.
이전 그림에서 정책 A 는 정책 체인에서 먼저 사용됩니다. 그러나 NGINX는 NGINX의 첫 번째 단계인 재작성 단계와 관련이 있기 때문에 먼저 정책 B 에서 함수를 처리합니다.
이제 정책 A 및 정책 B 가 포함된 제품의 정책 체인을 다음과 같이 고려하십시오.
정책 A 는 다음을 지정합니다.
-
NGINX가
액세스단계에서 실행되도록 하는 함수A1 -
NGINX가
header_filter단계에서 실행되도록A2함수
-
NGINX가
정책 B 는 다음을 지정합니다.
-
NGINX의 함수
B1이재작성단계에서 실행됨 -
NGINX가
header_filter단계에서 실행되도록 하는 함수B2
-
NGINX의 함수
다음 그림은 NGINX가 제품의 정책 기능을 실행하는 순서를 보여줍니다.
APIcast가 이 제품에서 노출한 업스트림 API에 대한 액세스를 수신하면 APIcast는 제품의 정책 체인을 확인하고 다음 표에 설명된 대로 함수를 실행합니다.
| NGINX 단계 | NGINX가 이 단계에서 실행되는 함수 |
|---|---|
|
|
정책 B 가 |
|
|
정책 A 가 |
|
|
정책 A 또는 정책 B 는 |
|
|
정책 A 또는 정책 B 는 |
|
|
정책 체인은 정책 A 및 정책 B 를 지정합니다. 결과적으로 이 단계는 A 정책 A가 |
|
| 정책 A 또는 정책 B 는 이 단계에서 실행할 함수를 지정하지 않습니다. |
|
| 정책 A 또는 정책 B 는 이 단계에서 실행할 함수를 지정하지 않습니다. |
|
| 정책 A 또는 정책 B 는 이 단계에서 실행할 함수를 지정하지 않습니다. |
이 예에서 정책 A 는 정책 체인에 있지만 정책 B 의 함수는 NGINX가 실행하는 첫 번째 기능입니다. 이는 정책 B 가 다른 단계보다 먼저 발생하는 재작성 단계에서 NGINX 프로세스에서 처리하는 함수 B1 을 지정하기 때문입니다.
다른 예를 들어 다음 정책 체인을 고려하십시오.
- URL 재작성
- 3scale APIcast (모든 제품에 할당된 기본 정책)
URL 재작성 정책은 요청의 대상 경로를 수정합니다. APIcast는 재작성 단계에서 URL Rewriting 함수를 실행합니다. 3scale APIcast 정책은 APIcast가 재작성 단계에서 실행되는 함수와 APIcast가 세 단계로 실행되는 함수를 정의합니다. URL 재작성 정책이 처음 이면 3scale APIcast 정책은 다시 작성된 경로에 매핑 규칙을 적용합니다. 3scale APIcast 정책이 첫 번째이고 URL Rewriting 정책이 두 번째인 경우 3scale APIcast 정책은 매핑 규칙을 원래 경로에 적용합니다.
3.2.2. 3scale API Management 관리 포털에서 정책 체인 수정
3scale 관리 포털에서 제품 정책 체인을 APIcast 게이트웨이 구성의 일부로 수정합니다.
절차
- 3scale에 로그인합니다.
- 에 대한 정책 체인을 구성할 API 제품으로 이동합니다.
- [your_product_name] > 통합 > 정책에서 정책 추가를 클릭합니다.
- 정책 체인 섹션에서 화살표 아이콘을 사용하여 정책 체인의 정책을 다시 정렬합니다.
- Update Policy Chain 을 클릭하여 정책 체인을 저장합니다.
다음 단계
Admin Portal의 왼쪽 탐색 패널에서 이제 APIcast로 승격하지 않은 구성 변경 사항이 있음을 나타내는 경고가 있습니다. APIcast에 정책 체인 업데이트를 승격하고 필요에 따라 업데이트를 테스트합니다. 원하는 동작을 확인한 후 업데이트를 Production APIcast로 승격합니다. APICAST_CONFIGURATION_CACHE 환경 변수가 0보다 큰 숫자(기본값)로 설정된 경우 APIcast에서 업데이트된 구성을 사용하는 데 해당 수 시간이 걸립니다.
3.2.3. JSON 구성 파일에서 3scale API Management 정책 체인 생성
APIcast의 기본 배포를 사용하는 경우 JSON 구성 파일을 생성하여 외부에서 정책 체인을 제어할 수 있습니다.
JSON 구성 파일 정책 체인에는 다음 정보로 구성된 JSON 배열이 포함되어 있습니다.
-
id값이 있는services는 정책 체인이 숫자별로 적용되는 서비스를 지정합니다. -
policy_chain개체 및 후속 개체를 포함하는프록시오브젝트입니다. -
policy_chain개체: 정책 체인을 정의하는 값을 포함합니다. -
정책을식별하고 정책 동작을 구성하는 데 필요한이름및구성데이터를 모두 지정하는 개별 정책 오브젝트
다음은 사용자 정의 정책 sample_policy_1 및 API 인트로스펙션 표준 정책 token_introspection 에 대한 정책 체인의 예입니다.
{
"services":[
{
"id":1,
"proxy":{
"policy_chain":[
{
"name":"sample_policy_1", "version": "1.0",
"configuration":{
"sample_config_param_1":["value_1"],
"sample_config_param_2":["value_2"]
}
},
{
"name": "token_introspection", "version": "builtin",
"configuration": {
introspection_url:["https://tokenauthorityexample.com"],
client_id:["exampleName"],
client_secret:["secretexamplekey123"]
},
{
"name": "apicast", "version": "builtin",
}
]
}
}
]
}
모든 정책 체인에는 내장 정책 apicast 가 포함되어야합니다. 정책 체인에 apicast 정책을 배치하면 정책 동작에 영향을 미칩니다.
3.2.4. 3scale API Management 표준 정책 기능을 실행하는 NGINX 단계
다음 표에는 NGINX가 해당 단계에서 실행되는 함수를 정의하는 표준 정책이 포함된 기본 NGINX 단계가 나열되어 있습니다. 표에는 NGINX가 처리하는 순서대로 단계가 나열되어 있습니다.
정책 체인은 특정 단계에서 NGINX가 처리하는 정책을 두 개 이상 포함할 수 있습니다. 이 경우 체인의 정책 순서가 원하는 결과를 얻기 위해 API 요청을 처리하는 올바른 순서인지 확인합니다. 표에는 정책이 알파벳순으로 나열됩니다.
| NGINX 단계 | 이 단계에서 처리되는 함수를 정의하는 표준 정책 |
|---|---|
|
|
3scale APIcast |
|
|
3scale APIcast |
|
|
3scale APIcast |
|
| 업스트림 상호 TLS |
|
|
|
|
| 응답/요청 콘텐츠 제한 |
|
|
3scale APIcast |
|
|
엣지 제한 |
3.2.5. 3scale API Management 표준 정책 및 이를 처리하는 NGINX 단계
다음 표에는 표준 정책과 NGINX 단계 또는 해당 정책의 기능 또는 함수가 나열되어 있습니다. 이 표를 사용하여 정책 체인에서 정책을 올바르게 정렬하여 업스트림 API에 대한 올바른 요청을 생성합니다.
| 표준 정책 | 정책 함수를 실행하는 NGINX 단계 |
|---|---|
| 3scale APIcast |
|
| 익명 액세스 |
|
| 3scale 인증 캐싱 | 정책 체인에서는 이 정책의 위치는 중요하지 않습니다. |
| 3scale Batcher |
|
| 3scale Referrer |
|
| Camel 서비스 |
|
| 조건부 정책 | 정책 체인에서는 이 정책의 위치는 중요하지 않습니다. |
| 콘텐츠 캐싱 |
|
| CORS 요청 처리 |
|
| 사용자 정의 메트릭 |
|
| echo |
|
| 엣지 제한 |
|
| 헤더 수정 |
|
| HTTP 응답 코드 덮어쓰기 |
|
| IP 확인 |
|
| JWT 클레임 확인 |
|
| 유동적인 컨텍스트 디버그 |
|
| 로깅 |
|
| 유지 관리 모드 |
|
| NGINX 필터 |
|
| OAuth 2.0 상호 TLS 클라이언트 인증 |
|
| OAuth 2.0 토큰 인트로스펙션 |
|
| 프록시 서비스 | 정책 체인에서는 이 정책의 위치는 중요하지 않습니다. |
| 속도 제한 헤더 |
|
| 응답/요청 콘텐츠 제한 |
|
| Retry | 정책 체인에서는 이 정책의 위치는 중요하지 않습니다. |
| rh-SSO/Keycloak 역할 검사 |
|
| 라우팅 |
|
| SOAP |
|
| TLS 클라이언트 인증서 검증 |
|
| TLS 종료 |
|
| 업스트림 |
|
| 업스트림 연결 | 정책 체인에서는 이 정책의 위치는 중요하지 않습니다. |
| 업스트림 상호 TLS |
|
| URL 재작성 |
|
| 캡처를 사용하여 URL 다시 쓰기 |
|
| WebSocket |
|
