3.4. 권한 부여 정책을 사용하여 계층 7(L7) 기능 확인

프로세스

1. 선택 사항: 다음 명령을 실행하여 AuthorizationPolicy 리소스가 없는 경우 생성합니다.

   $ oc apply -f - <<EOF
   apiVersion: security.istio.io/v1
   kind: AuthorizationPolicy
   metadata:
     name: productpage-waypoint
     namespace: info
   spec:
     targetRefs:
     - kind: Service
       group: ""
       name: productpage
     action: ALLOW
     rules:
     - from:
       - source:
           principals:
           - cluster.local/ns/default/sa/curl
       to:
       - operation:
           methods: ["GET"]
   EOF

   Copy to Clipboard Toggle word wrap

2. 평가 서비스와 같은 허용 목록에 포함되지 않은 서비스가 다음 명령을 실행하여 액세스 권한이 거부되었는지 확인합니다.

   $ oc exec "$(
     kubectl get pod \
       -l app=ratings \
       -n info \
       -o jsonpath='{.items[0].metadata.name}'
   )" \
   -c ratings \
   -n info -- \
   curl -sS productpage:9080/productpage

   Copy to Clipboard Toggle word wrap

   ratings 서비스가 권한 부여 정책의 허용 목록에 포함되어 있지 않기 때문에 요청이 거부됩니다. default/ curl 서비스 계정을 사용하는 curl 포드만 productpage 서비스에 액세스할 수 있습니다.

3. 다음 명령을 실행하여 curl 서비스가 GET 요청으로 productpage 서비스에 액세스할 수 있는지 확인합니다.

   oc exec "$(
     kubectl get pod \
       -l app=curl \
       -n default \
       -o jsonpath='{.items[0].metadata.name}'
   )" \
   -c curl \
   -n default -- \
   curl -sS http://productpage.info:9080/productpage | grep -o "<title>.*</title>"

   Copy to Clipboard Toggle word wrap

   curl 서비스가 권한 부여 정책 규칙을 충족하기 때문에 요청이 성공합니다. cluster.local/ns/default/sa/curl 주체를 사용하고 정책에서 허용하는 GET 작업을 수행합니다. 페이지 제목을 포함하는 성공적인 응답은 waypoint 프록시가 L7 권한 부여 규칙을 올바르게 적용하고 유효한 트래픽을 허용하는지 확인합니다.