4.11. 권한 부여 정책 추가

프로세스

1. 다음 예와 유사한 권한 부여 정책을 생성합니다.

   설정 예

   apiVersion: security.istio.io/v1
   kind: AuthorizationPolicy
   metadata:
     name: productpage-waypoint
     namespace: info
   spec:
     targetRefs:
     - kind: Service
       group: ""
       name: productpage
     action: ALLOW
     rules:
     - from:
       - source:
           principals:
           - cluster.local/ns/curl/sa/curl
       to:
       - operation:
           methods: ["GET"]

2. 다음 명령을 실행하여 권한 부여 정책을 적용합니다.

   $ oc apply -f authorization-policy.yaml

검증

1. 다음 명령을 실행하여 curl 클라이언트의 네임스페이스를 생성합니다.

   $ oc create namespace curl

2. 다음 명령을 실행하여 curl 클라이언트를 배포합니다.

   $ oc apply -n curl -f https://raw.githubusercontent.com/openshift-service-mesh/istio/refs/heads/master/samples/curl/curl.yaml

3. 다음 명령을 실행하여 앰비언트 모드의 레이블을 curl 네임스페이스에 적용합니다.

   $ oc label namespace curl istio.io/dataplane-mode=ambient

4. 다음 명령을 실행하여 productpage 서비스에 대한 GET 요청이 default/curl 포드에서 만들 때 HTTP 200 응답으로 성공했는지 확인합니다.

   $ oc -n curl exec deploy/curl -- sh -c \
     'curl -s -o /dev/null -w "HTTP %{http_code}\n" http://productpage.info.svc.cluster.local:9080/productpage'

5. 다음 명령을 실행하여 적용된 권한 부여 정책으로 인해 HTTP 403 응답으로 동일한 서비스에 대한 POST 요청이 거부되었는지 확인합니다.

   $ oc -n curl exec deploy/curl -- sh -c \
     'curl -s -o /dev/null -w "HTTP %{http_code}\n" -X POST http://productpage.info.svc.cluster.local:9080/productpage'

6. 다음 명령을 실행하여 info 네임스페이스의 평가 Pod와 같은 다른 서비스의 GET 요청이 RBAC: access denied 에서도 거부되었는지 확인합니다.

   $ oc exec "$(oc get pod -l app=ratings -n info \
   -o jsonpath='{.items[0].metadata.name}')" \
   -c ratings -n info \
   -- curl -sS productpage:9080/productpage

7. 다음 명령을 실행하여 리소스를 정리합니다.

   1. 다음 명령을 실행하여 curl 애플리케이션을 삭제합니다.

      $ oc delete -n curl -f https://raw.githubusercontent.com/openshift-service-mesh/istio/refs/heads/master/samples/curl/curl.yaml

   2. 다음 명령을 실행하여 curl 네임스페이스를 삭제합니다.

      $ oc delete namespace curl