8.16. 根据没有浏览器 Cookie 或无效的 Cookie 值向特定池发送请求
您可以使用 OpenShift (RHOSO)负载均衡服务(octavia)上的 Red Hat OpenStack Services 将未经身份验证的 Web 客户端请求重定向到包含一个或多个身份验证服务器的不同池。第 7 层(L7)策略决定传入的请求是否缺少身份验证 Cookie,或者包含具有特定值的身份验证 Cookie。
在本例中,任何缺少浏览器 cookie(auth_token
)或 auth_token
的值为 INVALID
的 Web 客户端请求都会被重定向到包含身份验证服务器的替代池。
此流程提供了如何使用浏览器 Cookie 执行 L7 应用程序路由的示例,且不会解决安全问题。
先决条件
-
管理员已为您创建一个项目,并为您提供了一个
clouds.yaml
文件来访问云。 python-openstackclient
软件包驻留在您的工作站上。$ dnf list installed python-openstackclient
一个 TLS 终止的 HTTPS 负载均衡器 (
lb1
),它有一个监听器 (listener1
) 和一个池 (pool1
)。如需更多信息,请参阅创建 TLS 终止的 HTTPS 负载均衡器。
- 安全身份验证服务器验证 Web 用户的第二个网络服务(neutron)子网。
流程
确认为您的云设置了系统
OS_CLOUD
变量:$ echo $OS_CLOUD my_cloud
如果需要,重置变量:
$ export OS_CLOUD=my_other_cloud
作为替代方案,您可以在每次运行
openstack
命令时添加--os-cloud <cloud_name
> 选项指定云名称。在负载平衡器(
lb1
)上创建第二个池(login_pool
)。注意括号内的值是此流程中示例命令中使用的示例值。将这些示例值替换为适合您的站点的值。
Example
$ openstack loadbalancer pool create --name login_pool \ --lb-algorithm ROUND_ROBIN --loadbalancer lb1 --protocol HTTP
向第二个池中添加一个成员,在身份验证子网(
secure_subnet
))中的身份验证服务器(192.0.2.10
)。Example
在本例中,后端服务器
192.0.2.10
名为member1
:$ openstack loadbalancer member create --name member1 \ --address 192.0.2.10 --protocol-port 80 --subnet-id secure_subnet \ login_pool
在监听器 (
listener1
) 上创建一个 L7 策略 (policy1
) 。策略必须包含操作(REDIRECT_TO_POOL
),并指向第二个池(login_pool
)。Example
$ openstack loadbalancer l7policy create --action REDIRECT_TO_POOL \ --redirect-pool login_pool --name policy1 listener1
向策略(
policy1
)添加一个 L7 规则,它使用任何值搜索浏览器 Cookie (auth_token
),并在 Cookie 不存在时匹配。Example
$ openstack loadbalancer l7rule create --compare-type REGEX \ --key auth_token --type COOKIE --value '.*' --invert policy1
在监听器 (
listener1
) 上创建第二个 L7 策略(policy2
)。策略必须包含操作(REDIRECT_TO_POOL
),并指向第二个池(login_pool
)。Example
$ openstack loadbalancer l7policy create --action REDIRECT_TO_POOL \ --redirect-pool login_pool --name policy2 listener1
向第二个策略(
policy2
)添加 L7 规则,该规则将搜索浏览器 Cookie (auth_token
),并在 Cookie 值等于字符串INVALID
时匹配。Example
$ openstack loadbalancer l7rule create --compare-type EQUAL_TO \ --key auth_token --type COOKIE --value INVALID policy2
验证
-
运行
openstack loadbalancer l7policy list
命令,并验证存在策略policy1
和policy2
。 运行
openstack loadbalancer l7rule list <l7policy>
命令,并验证policy1
是否存在带有REGEX
的compare_type
规则,以及policy2
的带有compare_type
为EQUAL_TO
的规则。Example
$ openstack loadbalancer l7rule list policy1 $ openstack loadbalancer l7rule list policy2