4.2. 3scale API Management 표준 정책의 정책 체인
각 API 제품에 대해 정책 체인을 지정할 수 있습니다. 정책 체인은 다음을 수행합니다.
- APIcast가 요청에 적용되는 정책을 지정합니다.
- 해당 정책에 대한 구성 정보를 제공합니다.
- APIcast가 정책을 적용하는 순서를 결정합니다.
체인에서 정책을 올바르게 정렬하려면 APIcast가 API 소비자 요청에 정책을 적용하는 방법을 이해하는 것이 중요합니다.
4.2.1. APIcast NGINX 단계 3scale API Management 정책을 처리하는 방법
3scale API 게이트웨이 또는 APIcast는 NGINX 프록시 웹 서버를 사용하여 정책을 적용합니다. APIcast가 API 소비자에서 요청을 수신하면 APIcast는 정렬된 NGINX 단계로 요청을 처리합니다. 각 NGINX 단계에서 APIcast는 이러한 정책을 적용하여 원래 요청을 수정할 수 있습니다.
- 업스트림 API 정책 체인의 정책입니다. 정책 체인은 정렬된 정책 목록입니다. 기본적으로 업스트림 API의 정책 체인에는 3scale APIcast 정책이 포함됩니다. API 공급자는 3scale 제품의 정책 체인에 정책을 추가할 수 있습니다. APIcast는 업스트림 API 정책 체인의 정책을 해당 업스트림 API로만 전송된 API 소비자 요청에 적용합니다.
- 글로벌 3scale 정책 체인의 정책입니다. API 공급자는 3scale 환경 변수를 설정하여 글로벌 정책 체인을 업데이트할 수 있습니다. APIcast는 글로벌 정책 체인의 정책을 모든 API 소비자 요청에 적용합니다.
동일한 정책이 업스트림 API 정책 체인에 있고 글로벌 정책 체인에 있는 경우 업스트림 API 정책 체인의 정책 구성이 우선합니다.
APIcast가 모든 NGINX 단계에서 필요한 처리를 수행한 후 APIcast는 결과를 업스트림 API로 보냅니다. 따라서 원하는 동작을 수행하려면 처리에서 API 소비자 요청을 수정할 수 있으므로 NGINX 단계의 정책을 처리하는 순서를 이해하는 것이 중요합니다.
NGINX 단계에 대한 주문 및 설명
APIcast가 API 소비자로부터 요청을 수신하면 APIcast는 업스트림 API의 정책 체인과 글로벌 정책 체인에 정책을 적용하여 요청을 처리합니다. 각 3scale 정책은 하나 이상의 기능을 정의합니다. APIcast는 정렬된 NGINX 단계에서 정책 기능을 실행합니다. 각 단계에서 NGINX는 적용되는 정책에 정의된 모든 함수를 실행하고 해당 단계에서 실행을 지정합니다. 다음 표에는 정책 기능을 실행하는 NGINX 단계가 나열되어 있습니다. 이 표에 나열되지 않은 추가 NGINX 단계는 정책 체인의 정책 순서의 영향을 받지 않는 처리를 수행합니다.
| NGINX 단계 순서대로 | 이 단계에서의 처리 설명 |
|---|---|
|
| 요청의 대상 URI를 수정하는 모든 함수를 실행합니다. |
|
| 클라이언트의 권한을 확인하여 요청을 수행하는 모든 기능을 실행합니다. |
|
|
업스트림 API로 전송할 요청 콘텐츠를 생성합니다. |
|
| 모든 로드 밸런싱 기능을 실행합니다. |
|
| 요청 헤더를 처리하는 모든 함수를 실행합니다. |
|
| 요청 본문을 처리하는 모든 함수를 실행합니다. |
|
| NGINX가 헤더 및 본문에서 함수를 실행한 후 요청을 처리하는 모든 함수를 실행합니다. |
|
| 요청에 대한 로그 정보를 생성합니다. |
|
| Prometheus 끝점에서 수신된 모든 데이터에서 작동합니다. |
정책 순서의 영향을 받지 않는 처리를 수행하는 NGINX 단계의 예:
-
APIcast가 시작되면 NGINX는
init단계와 관련된 작업을 실행합니다. -
APIcast 작업자가 시작되면 NGINX는
init_worker단계와 관련된 작업을 실행합니다. -
APIcast가 HTTPS 연결을 종료하면 NGINX는
ssl_certificate단계와 관련된 작업을 실행합니다.
NGINX가 정책 기능을 실행하는 순서
API 공급자는 3scale 제품에 하나 이상의 정책을 추가하여 정책 체인을 구성할 수 있습니다. 각 단계에서 NGINX는 해당 단계에서 실행을 지정하는 정책 함수만 처리합니다. 각 정책 함수는 하나의 NGINX 단계에서 처리하는 동안 APIcast가 기본 동작을 변경하는 방법을 지정합니다. 예를 들어 header_filter 단계에서 NGINX는 header_filter 를 지정하고 요청 헤더에서 작동하는 함수를 처리합니다. 각 단계에서 NGINX는 정책 체인에 있는 순서대로 관련 기능을 처리합니다.
정책은 컨텍스트 오브젝트를 통해 데이터를 공유할 수 있습니다. 정책은 각 단계에서 컨텍스트 오브젝트를 읽고 수정할 수 있습니다.
NGINX가 정책 기능을 실행하는 순서는 다음에 따라 다릅니다.
- 정책 체인에서 정책의 위치
- 특정 정책 기능을 처리하는 NGINX 단계
원하는 동작을 얻으려면 정책 체인의 위치에 따라 정책을 적용한 결과가 달라질 수 있으므로 정책 체인 순서를 올바르게 지정해야 합니다. 다음 다이어그램은 NGINX가 정책을 적용하는 순서의 예를 보여줍니다.
이전 그림에서 정책 A 는 정책 체인에서 먼저 수행됩니다. 그러나 NGINX는 정책 B 에서 함수를 먼저 처리합니다. 해당 기능은 NGINX의 첫 번째 단계인 재작성 단계와 관련이 있기 때문입니다.
이제 정책 A 가 포함된 제품의 정책 체인에서 다음 기능을 사용하여 정책 B 를 고려하십시오.
정책 A 는 다음을 지정합니다.
-
NGINX가
액세스단계에서 실행되는 함수A1 -
NGINX가
header_filter단계에서 실행되도록 하는 함수A2
-
NGINX가
정책 B 는 다음을 지정합니다.
-
NGINX가
재작성단계에서 실행되는 경우B1함수 -
header_filter단계에서 NGINX가 실행되도록B2함수
-
NGINX가
다음 그림은 NGINX가 제품의 정책 기능을 실행하는 순서를 보여줍니다.
APIcast가 이 제품에 의해 노출된 업스트림 API에 대한 액세스 요청을 수신하면 APIcast는 제품의 정책 체인을 확인하고 다음 표에 설명된 대로 함수를 실행합니다.
| NGINX 단계 순서대로 | 이 단계에서 NGINX가 실행되는 함수 |
|---|---|
|
|
정책 B 가 |
|
|
정책 |
|
|
정책 A 및 정책 B 는 |
|
|
정책 A 및 정책 B 는 |
|
|
정책 체인은 정책 A 를 지정한 다음 정책 B 를 지정합니다. 결과적으로 이 단계는 정책 A 가 |
|
| 정책 A 및 정책 B 는 이 단계에서 실행하기 위한 기능을 지정하지 않습니다. |
|
| 정책 A 및 정책 B 는 이 단계에서 실행하기 위한 기능을 지정하지 않습니다. |
|
| 정책 A 및 정책 B 는 이 단계에서 실행하기 위한 기능을 지정하지 않습니다. |
이 예에서 정책 A 는 정책 체인에서 먼저 있지만 정책 B 의 기능은 NGINX가 실행되는 첫 번째 기능입니다. 정책 B 는 다른 단계보다 먼저 NGINX가 재작성 단계에서 처리하는 함수 B1 을 지정하기 때문입니다.
다른 예에서는 이 정책 체인을 고려하십시오.
- URL 재작성
- 3scale APIcast (모든 제품에 할당된 기본 정책)
URL 재작성 정책은 요청의 대상 경로를 수정합니다. APIcast는 재작성 단계에서 URL 재작성 기능을 실행합니다. 3scale APIcast 정책은 APIcast가 재작성 단계에서 실행되는 함수와 APIcast가 다른 세 단계로 실행되는 함수를 정의합니다. URL 재작성 정책이 먼저 면 3scale APIcast 정책은 다시 작성된 경로에 매핑 규칙을 적용합니다. 3scale APIcast 정책이 첫 번째이고 URL 재작성 정책이 두 번째인 경우 3scale APIcast 정책은 원래 경로에 매핑 규칙을 적용합니다.
4.2.2. 3scale API Management 관리 포털에서 정책 체인 수정
3scale 관리 포털에서 제품의 정책 체인을 APIcast 게이트웨이 구성의 일부로 수정합니다.
프로세스
- 3scale에 로그인합니다.
- 정책 체인을 구성할 API 제품으로 이동합니다.
- [your_product_name] > Integration > Policies 에서 정책 추가 를 클릭합니다.
- Policy Chain 섹션에서 화살표 아이콘을 사용하여 정책 체인의 정책을 재정렬합니다.
- 정책 체인 업데이트를 클릭하여 정책 체인을 저장합니다.
다음 단계
관리 포털의 왼쪽 탐색 패널에 APIcast로 승격하지 않은 구성 변경 사항이 있음을 나타내는 경고가 있습니다. 정책 체인 업데이트를 Staging APIcast로 승격하고 필요에 따라 업데이트를 테스트합니다. 원하는 동작을 확인한 후 업데이트를 프로덕션 APIcast로 승격합니다. APICAST_CONFIGURATION_CACHE 환경 변수가 0보다 큰 숫자로 설정된 경우 APIcast가 업데이트된 구성을 사용하는 데 몇 초가 걸립니다.
4.2.3. JSON 구성 파일에서 3scale API Management 정책 체인 생성
APIcast의 기본 배포를 사용하는 경우 JSON 구성 파일을 생성하여 외부의 정책 체인을 제어할 수 있습니다.
JSON 구성 파일 정책 체인에는 다음 정보로 구성된 JSON 배열이 포함되어 있습니다.
-
id값이 있는services는 정책 체인이 숫자별로 적용되는 서비스를 지정합니다. -
policy_chain개체 및 후속 개체를 포함하는프록시오브젝트입니다. -
policy_chain개체: 정책 체인을 정의하는 값을 포함합니다. -
정책을식별하고 정책 동작을 구성하는 데 필요한이름및구성데이터를 모두 지정하는 개별 정책 오브젝트
다음은 사용자 지정 정책 sample_policy_1 및 API 인트로스펙션 표준 정책 token_introspection:에 대한 정책 체인의 예입니다.
{
"services":[
{
"id":1,
"proxy":{
"policy_chain":[
{
"name":"sample_policy_1", "version": "1.0",
"configuration":{
"sample_config_param_1":["value_1"],
"sample_config_param_2":["value_2"]
}
},
{
"name": "token_introspection", "version": "builtin",
"configuration": {
introspection_url:["https://tokenauthorityexample.com"],
client_id:["exampleName"],
client_secret:["secretexamplekey123"]
},
{
"name": "apicast", "version": "builtin",
}
]
}
}
]
}
모든 정책 체인에는 내장된 정책 apicast 가 포함되어야 합니다. apicast 정책을 정책 체인에 배치하는 위치는 정책 동작에 영향을 미칩니다.
4.2.4. 3scale API Management 표준 정책 기능을 실행하는 NGINX 단계
다음 표에는 NGINX가 해당 단계에서 실행되는 함수를 정의하는 표준 정책이 포함된 주요 NGINX 단계가 나열되어 있습니다. 표에는 NGINX가 처리하는 순서의 단계가 나열됩니다.
정책 체인에는 특정 단계에서 NGINX가 처리하는 두 개 이상의 정책이 포함될 수 있습니다. 이 경우 체인의 정책 순서가 원하는 결과를 얻기 위해 API 요청을 처리하기 위한 올바른 순서인지 확인합니다. 테이블에는 정책이 알파벳순으로 나열됩니다.
| NGINX 단계 순서대로 | 이 단계에서 처리되는 함수를 정의하는 표준 정책 |
|---|---|
|
|
3scale APIcast |
|
|
3scale APIcast |
|
|
3scale APIcast |
|
| 업스트림 상호 TLS |
|
|
CORS 요청 처리 |
|
| 응답/요청 콘텐츠 제한 |
|
|
3scale APIcast |
|
|
엣지 제한 |
4.2.5. 3scale API Management 표준 정책 및 이를 처리하는 NGINX 단계
다음 표에는 표준 정책과 해당 정책의 기능 또는 기능을 실행하는 NGINX 단계 또는 단계가 나열되어 있습니다. 이 표를 사용하여 정책 체인에서 정책을 올바르게 정렬하여 업스트림 API에 대한 올바른 요청을 생성합니다.
| 표준 정책 | 정책 기능을 실행하는 NGINX 단계 |
|---|---|
| 3scale APIcast |
|
| 익명 액세스 |
|
| 3scale 인증 캐싱 | 정책 체인에서는 이 정책의 위치가 중요하지 않습니다. |
| 3scale Batcher |
|
| 3scale Referrer |
|
| Camel 서비스 |
|
| 조건부 정책 | 정책 체인에서는 이 정책의 위치가 중요하지 않습니다. |
| 콘텐츠 캐싱 |
|
| CORS 요청 처리 |
|
| 사용자 정의 메트릭 |
|
| Echo |
|
| 엣지 제한 |
|
| 헤더 수정 |
|
| HTTP 응답 코드 덮어쓰기 |
|
| IP 확인 |
|
| JWT 클레임 확인 |
|
| 유동성 컨텍스트 디버그 |
|
| 로깅 |
|
| 유지 관리 모드 |
|
| NGINX 필터 |
|
| OAuth 2.0 상호 TLS 클라이언트 인증 |
|
| OAuth 2.0 토큰 인트로스펙션 |
|
| 프록시 서비스 | 정책 체인에서는 이 정책의 위치가 중요하지 않습니다. |
| 속도 제한 헤더 |
|
| 응답/요청 콘텐츠 제한 |
|
| Retry | 정책 체인에서는 이 정책의 위치가 중요하지 않습니다. |
| RH-SSO/Keycloak 역할 확인 |
|
| 라우팅 |
|
| SOAP |
|
| TLS 클라이언트 인증서 유효성 검사 |
|
| TLS 종료 |
|
| 업스트림 |
|
| 업스트림 연결 | 정책 체인에서는 이 정책의 위치가 중요하지 않습니다. |
| 업스트림 상호 TLS |
|
| URL 재작성 |
|
| 캡처 캡처로 URL 재작성 |
|
| WebSocket |
|
