opa

    下述示例代码展示了如何通过 APISIX 向 OPA 服务发送数据:

    上述代码具体释义如下:

    • type 代表请求类型(如 httpstream);
    • request 则需要在 typehttp 时使用,包含基本的请求信息(如 URL、头信息等);
    • var 包含关于请求连接的基本信息(如 IP、端口、请求时间戳等);
    • routeserviceconsumer 包含的数据与 APISIX 中存储的数据相同,只有当这些对象上配置了 opa 插件时才会发送。

    下述示例代码展示了 OPA 服务对 APISIX 发送请求后的响应数据:

    1. {
    2.     "result": {
    3.         "allow": true,
    4.         "reason": "test",
    5.         "headers": {
    6.             "an": "header"
    7.         },
    8.         "status_code": 401
    9.     }
    10. }

    上述响应中的代码释义如下:

    • allow 配置是必不可少的,它表示请求是否允许通过 APISIX 进行转发;
    • reasonheadersstatus_code 是可选的,只有当你配置一个自定义响应时才会返回这些选项信息,具体使用方法可查看后续测试用例。

    首先启动 OPA 环境:

    1. docker run -d --name opa -p 8181:8181 openpolicyagent/opa:0.35.0 run -s
    1. curl -X PUT '127.0.0.1:8181/v1/policies/example1' \
    2.     -H 'Content-Type: text/plain' \
    3.     -d 'package example1
    5. import input.request
    7. default allow = false
    9. allow {
    10.     # HTTP method must GET
    11.     request.method == "GET"
    12. }'

    然后在指定路由上配置 插件:

    1. curl -X PUT 'http://127.0.0.1:9080/apisix/admin/routes/r1' \
    2.     -H 'X-API-KEY: <api-key>' \
    3.     -H 'Content-Type: application/json' \
    4.     -d '{
    5.     "plugins": {
    6.         "opa": {
    7.             "host": "http://127.0.0.1:8181",
    8.             "policy": "example1"
    9.         }
    10.     },
    11.     "upstream": {
    12.         "nodes": {
    13.             "httpbin.org:80": 1
    14.         },
    15.         "type": "roundrobin"
    16.     }
    17. }'

    使用如下命令进行测试:

    1. curl -i -X GET 127.0.0.1:9080/get

    如果尝试向不同的端点发出请求,会出现请求失败的状态:

    1. curl -i -X POST 127.0.0.1:9080/post
    1. HTTP/1.1 403 FORBIDDEN

    除了基础用法外,你还可以为更复杂的使用场景配置自定义响应,参考示例如下:

    1. curl -X PUT '127.0.0.1:8181/v1/policies/example2' \
    2.     -H 'Content-Type: text/plain' \
    3.     -d 'package example2
    5. import input.request
    7. default allow = false
    9. allow {
    10.     request.method == "GET"
    11. }
    13. # custom response body (Accepts a string or an object, the object will respond as JSON format)
    14. reason = "test" {
    15.     not allow
    16. }
    18. # custom response header (The data of the object can be written in this way)
    19. headers = {
    20.     "Location": "http://example.com/auth"
    21. } {
    22.     not allow
    23. }
    25. # custom response status code
    26. status_code = 302 {

    同时,你可以将 opa 插件的策略参数调整为 example2,然后发出请求进行测试:

    1. curl -i -X GET 127.0.0.1:9080/get
    1. HTTP/1.1 200 OK
    1. HTTP/1.1 302 FOUND
    2. Location: http://example.com/auth
    4. test

    如果你的 OPA 服务需要根据 APISIX 的某些数据(如 Route 和 Consumer 的详细信息)来进行后续操作时,则可以通过配置插件来实现。

    下述示例展示了一个简单的 echo 策略,它将原样返回 APISIX 发送的数据:

    1. curl -X PUT '127.0.0.1:8181/v1/policies/echo' \
    2.     -H 'Content-Type: text/plain' \
    3.     -d 'package echo
    5. allow = false
    6. reason = input'

    现在就可以在路由上配置插件来发送 APISIX 数据:

    1. curl -X PUT 'http://127.0.0.1:9080/apisix/admin/routes/r1' \
    2.     -H 'X-API-KEY: <api-key>' \
    3.     -H 'Content-Type: application/json' \
    4.     -d '{
    5.     "uri": "/*",
    6.     "plugins": {
    7.         "opa": {
    8.             "host": "http://127.0.0.1:8181",
    9.             "policy": "echo",
    10.             "with_route": true
    11.         }
    12.     },
    13.     "upstream": {
    14.         "nodes": {
    15.             "httpbin.org:80": 1
    16.         },
    17.         "type": "roundrobin"
    18.     }
    19. }'

    此时如果你提出一个请求,则可以通过自定义响应看到来自路由的数据:

    1. curl -X GET 127.0.0.1:9080/get
    1. {
    2.     "type": "http",
    3.     "request": {
    4.         xxx
    5.     },
    6.     "var": {
    7.         xxx
    8.     },
    9.     "route": {
    10.         xxx
    11.     }

    当你需要禁用 opa 插件时,可以通过以下命令删除相应的 JSON 配置,APISIX 将会自动重新加载相关配置,无需重启服务: