Oracle Cloud Infrastructureドキュメント

kubectlを使用したアクセス・ポリシーの管理

kubectlコマンドを使用すると、サービス・メッシュ・アクセス・ポリシーを作成、更新、移動、リスト、表示および削除できます。次のトピックでは、kubectlを使用してこれらの操作を管理する方法について説明します。

アクセス・ポリシーに必要なIAMポリシー

アクセス・ポリシーを使用するには、管理者がポリシー(IAM)で必要なタイプのアクセス権を付与する必要があります。コンソール、REST API、SDK、CLI、Kubernetes kubectlまたはその他のツールのいずれを使用している場合でも、適切な権限が必要です。

アクションによって権限が拒否または認可されていないメッセージが生成される場合は、管理者にいくつかの設定を確認してください。管理者は、適切なタイプのアクセス権が付与され、正しいコンパートメントが指定されていることを確認する必要があります。

たとえば、グループMeshAdminsのユーザーがコンパートメントsales-app内のすべてのアクセス・ポリシーを作成、更新および削除できるようにするには:

Allow group MeshAdmins to manage mesh-access-policies in compartment sales-app

各リソースのサービス・メッシュIAMポリシー・リファレンスの詳細は、サービス・メッシュIAMポリシーを参照してください。

サービス・メッシュに必要なすべてのIAMポリシーを設定するステップバイステップ・ガイドは、サービス・メッシュに必要なポリシーの設定を参照してください

アクセス・ポリシーのKubernetes構成オプションの表示

Kubernetes CLIアクセス・ポリシーYAML構成オプションを表示するには、カスタム・リソース定義(CRD)を表示します。次のコマンドを使用します:

kubectl describe crd accesspolicies.servicemesh.oci.oracle.com

CRDでは、spec:schema:openAPIV3Schema:properties:specの下のYAML構成ファイルで使用されているフィールドが表示されます。CRD出力には、フィールド・タイプ、範囲および制限に関する情報も含まれます。次の項では、YAML構成ファイルの例を示します。

アクセス・ポリシーの作成、更新または移動

アクセス・ポリシーを作成するには、kubectl applyコマンドを使用します。次に例を示します。

kubectl apply -f access-policy.yaml

アクセス・ポリシーの作成に使用するサンプルyaml構成ファイルは次のとおりです。

apiVersion: servicemesh.oci.oracle.com/v1beta1
kind: AccessPolicy
metadata:
  name: <sample-access-policy>      # Access Policy name
  namespace: <sample-namespace>
spec:
  compartmentId: ocid1.compartment.oc1..aaa...
  name: sample-ap     # Access Policy name inside the mesh
  description: This Access Policy
  mesh:
    ref:
      name: <sample-mesh>
  rules:
    - action: ALLOW
      source:
        virtualService:
          ref:
            name: <vs-sample-page>
      destination:
        allVirtualServices: {}
    - action: ALLOW
      source:
        ingressGateway:
          ref:
            name: <sample-ingress-gateway>
      destination:
        virtualService:
          ref:
            name: <vs-sample-page>
kubectlを使用してアクセス・ポリシーを更新するには:
  1. 構成ファイルを必要に応じて変更します。
  2. ファイルを保存します。
  3. applyコマンドを再度実行します。
アクセス・ポリシーを別のコンパートメントに移動するには:
  1. コンパートメントOCIDをターゲット・コンパートメントの値に更新します。
  2. ファイルを保存します。
  3. applyコマンドを再度実行します。

アクセス・ポリシーのリストの取得

ネームスペースでアクセス・ポリシーのリストを取得するには、次のコマンドを使用します: 

kubectl get accesspolicies -n <namespace>

アクセス・ポリシーの表示

ネームスペース内の特定のアクセス・ポリシーの詳細を表示するには、次のコマンドを使用します。

kubectl describe accesspolicy <name> -n <namespace>

アクセス・ポリシーの削除

ネームスペース内の特定のアクセス・ポリシーを削除するには、次のコマンドを使用します。

kubectl delete accesspolicy <name> -n <namespace>