在ASM中使用OPA定義細(xì)粒度訪問控制
服務(wù)網(wǎng)格ASM集成了開放策略代理(OPA)插件,通過OPA定義訪問控制策略,可以使您的應(yīng)用實現(xiàn)細(xì)粒度的訪問控制。
前提條件
創(chuàng)建ASM實例,并添加集群到ASM實例。具體操作,請參見創(chuàng)建ASM實例和添加集群到ASM實例。
說明如果您的ASM實例為v1.8.6.41-gb1d8f288-aliyun及以上版本,您可以動態(tài)更新OPA策略。具體操作,請參見在ASM中實現(xiàn)動態(tài)更新OPA策略。
背景信息
作為由CNCF托管的一個孵化項目,開放策略代理(OPA)是一個策略引擎,可用于為您的應(yīng)用程序?qū)崿F(xiàn)細(xì)粒度的訪問控制。OPA作為通用策略引擎,可以與微服務(wù)一起部署為獨立服務(wù)。為了保護應(yīng)用程序,必須先授權(quán)對微服務(wù)的每個請求,然后才能對其進行處理。為了檢查授權(quán),微服務(wù)對OPA進行API調(diào)用,以確定請求是否被授權(quán)。
步驟一:啟用OPA插件
登錄ASM控制臺。
在左側(cè)導(dǎo)航欄,選擇。
在網(wǎng)格管理頁面,找到待配置的實例,單擊實例的名稱或在操作列中單擊管理。
在基本信息頁面單擊右上角的功能設(shè)置。
在功能設(shè)置更新頁面中選中啟用OPA插件。
單擊確定。
在基本信息頁面可以看到OPA插件的狀態(tài)變?yōu)?b data-tag="uicontrol" id="uicontrol-2ru-3na-otc" class="uicontrol">開啟。
步驟二:部署OPA配置項
部署業(yè)務(wù)Pod之前,需要部署OPA配置文件和OPA策略的配置項Configmap。
通過kubectl連接到ASM實例中新添加的ACK集群,執(zhí)行以下命令,部署OPA配置文件。
kubectl apply -n {替換成實際的namespace} -f - <<EOF apiVersion: v1 kind: ConfigMap metadata: name: opa-istio-config data: config.yaml: | plugins: envoy_ext_authz_grpc: addr: :9191 path: istio/authz/allow EOF通過kubectl連接到ASM實例中新添加的ACK集群,執(zhí)行以下命令,部署OPA策略。
kubectl apply -n {替換成實際的namespace} -f - <<EOF apiVersion: v1 kind: ConfigMap metadata: name: opa-policy data: policy.rego: | ###以下為示例策略定義,需要替換成實際的策略定義。 package istio.authz import input.attributes.request.http as http_request default allow = false allow { roles_for_user[r] required_roles[r] } roles_for_user[r] { r := user_roles[user_name][_] } required_roles[r] { perm := role_perms[r][_] perm.method = http_request.method perm.path = http_request.path } user_name = parsed { [_, encoded] := split(http_request.headers.authorization, " ") [parsed, _] := split(base64url.decode(encoded), ":") } user_roles = { "guest1": ["guest"], "admin1": ["admin"] } role_perms = { "guest": [ {"method": "GET", "path": "/productpage"}, ], "admin": [ {"method": "GET", "path": "/productpage"}, {"method": "GET", "path": "/api/v1/products"}, ], } EOFuser_roles:為用戶授予角色權(quán)限。本例設(shè)置guest1擁有g(shù)uest角色權(quán)限,admin1擁有admin角色權(quán)限。
role_perms:設(shè)置角色擁有的權(quán)限。本文設(shè)置guest角色可以通過/productpage訪問應(yīng)用,admin角色可以通過/productpage和/api/v1/products訪問應(yīng)用。
步驟三:注入OPA代理
部署示例應(yīng)用Bookinfo到ASM實例,確認(rèn)每個POD都注入了OPA代理。
部署示例應(yīng)用Bookinfo到ASM實例,請參見部署應(yīng)用到ASM實例。
定義相應(yīng)的Istio虛擬服務(wù)和入口網(wǎng)關(guān),請參見使用Istio資源實現(xiàn)版本流量路由。
檢查每個應(yīng)用是否都注入OPA代理。
- 登錄容器服務(wù)管理控制臺。
- 在控制臺左側(cè)導(dǎo)航欄,單擊集群。
- 在集群列表頁面,單擊目標(biāo)集群名稱或者目標(biāo)集群右側(cè)操作列下的詳情。
- 在集群管理頁左側(cè)導(dǎo)航欄,選擇。
在容器組頁面,從命名空間下拉列表中選擇default,單擊目標(biāo)應(yīng)用容器組的名稱。
在容器頁簽下可以看到容器被注入了Sidecar代理(istio-proxy)和OPA代理(opa-istio)。依次檢查每個應(yīng)用的容器,確保每個容器都被注入了Sidecar代理和OPA代理。
執(zhí)行結(jié)果
以上配置的OPA策略限制了對BookInfo的訪問,定義如下所示。
執(zhí)行以下命令,可以看到guest1被授予guest角色,并且可以使用帶有/productpage的URL訪問應(yīng)用,但不能使用帶有/v1/api/products的URL訪問應(yīng)用。
curl -X GET http://<入口網(wǎng)關(guān)服務(wù)的IP地址>/productpage --user guest1:password -I預(yù)期輸出:
HTTP/1.1 200 OKcurl -X GET http://<入口網(wǎng)關(guān)服務(wù)的IP地址>/api/v1/products --user guest1:password -I預(yù)期輸出:
HTTP/1.1 403 Forbidden執(zhí)行以下命令,可以看到admin1被授予admin角色,并且可以使用帶有/productpage和/v1/api/products的URL訪問應(yīng)用。
curl -X GET http://<入口網(wǎng)關(guān)服務(wù)的IP地址>/productpage --user admin1:password -I預(yù)期輸出:
HTTP/1.1 200 OKcurl -X GET http://<入口網(wǎng)關(guān)服務(wù)的IP地址>/api/v1/products --user admin1:password -I預(yù)期輸出:
HTTP/1.1 200 OK根據(jù)以上結(jié)果,可以看到OPA定義訪問控制策略是成功的。