Dapr 集成 Open Policy Agent 实现 接口的访问控制

最新推荐文章于 2023-02-08 21:00:00 发布
最新推荐文章于 2023-02-08 21:00:00 发布
阅读量372 收藏
点赞数
分类专栏: 程序员 Java 计算机 文章标签: kubernetes java 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73257876/article/details/126990617
版权
本文介绍了如何在大型项目中利用Dapr的Open Policy Agent(OPA)中间件实施复杂的访问控制策略。OPA是一个开源策略引擎,用于微服务、API网关、Kubernetes等系统的策略管理,通过Rego语言实现策略与代码分离。通过OPA,可以统一各个组件的策略,降低系统耦合度。文中还展示了在Dapr Http服务中如何使用OPA进行授权控制的例子。
摘要由CSDN通过智能技术生成

大型项目中基本都包含有复杂的访问控制策略,特别是在一些多租户场景中,例如Kubernetes中就支持RBAC,ABAC等多种授权类型。Dapr 的 中间件 Open Policy Agent 将 Rego/OPA策略 应用到传入的Dapr HTTP请求中。

Open Policy Agent

Open Policy Agent(简称OPA)是一个开源的策略引擎,托管于CNCF,通常用来做在微服务、API网关、Kubernetes、CI/CD等系统中做策略管理。

OPA将策略从代码中分离出来,按照官网的说法OPA实现了 策略即代码 ,通过Rego声明式语言实现决策逻辑,当系统需要做出策略时,只需携带请求查询OPA即可,OPA会返回决策结果。

OPA 通过评估查询输入并对照策略和数据来生成决策。OPA 和 Rego 是不分领域的,所以你可以在策略中描述几乎任何事件。比如:

  • 哪些用户可以访问哪些资源。
  • 哪些子网允许出口流量进入。
  • 工作负载必须部署到哪个集群。
  • 哪些注册表可以下载二进制文件。
  • 容器可以用哪些操作系统的能力来执行。
最低0.47元/天 解锁文章
七包辣条
关注
专栏目录
.Net 7 轻松上手Dapr之服务调用
m88997766的博客
04-01 165
对于Dapr ,在项目中也有用过一段时间,优缺点并存,但是瑕不掩瑜,目前随着版本的迭代和第三方团队对它的支持也使得我们用得更加得心应手,所以借此也回顾一下Dapr的相关知识以及分享一下项目中用到的第三方库MASA.Framework 对Dapr的完美支持。然后本文只是个人学习与分享,不喜勿喷,谢谢! Dapr 是 Distributed Application Runtime (分布式应用运行时)的缩写。 Dapr是一种可移植的,serverless的,事件驱动的运行时,它使开发人员可以轻松构建弹性,无状态
如何与 Dapr 集成打造 Apache APISIX 网关控制器
ApacheAPISIX的博客
11-25 1779
本质上,Apache APISIX 控制器将配置相同标准 Dapr annotations 以注入 daprd sidecar。通过公开这个 sidecar,将允许外部应用程序与集群中启用 Dapr 的应用程序进行通信。下图为实际项目中的架构流程:基本项目概览Apache APISIX Ingress在 K8s 生态中,Ingress 作为表示 K8s 流量入口的一种资源,想要让其生效,就需要有一个 Ingress Controller 去监听 K8s 中的 Ingress 资源,并对这些资源进行相应规则的
API访问控制设计
weixin_30699443的博客
09-01 244
References ● OAuth 2.0 for native apps: https://datatracker.ietf.org/doc/rfc8252/ ● OAuth 2.0 for browser-based apps best current practice: https://datatracker.ietf.org/doc/draft-ietf-oauth-brows...
Open Policy AgentKubernetes中的应用
Docker的专栏
12-27 1625
Open Policy Agent(OPA)是CNCF(云原生计算基金会)下开源的通用策略引擎。OPA提供了一种高级声明式的语言(Rego),简化了策略规则的定义,以此来减轻软件中决策的...
访问控制系统的设计——Esoft-ACL
东方驴
07-09 2049
Esoft-ACL 介绍 1?????? 前言 我在开发Esoft-XPCMS及Esoft-myOffice1.0过程中,对访问控制系统的设计偏向个性化,即系统的每一个应用都有自己的权限控制体系,如Esoft-XPCMS的新闻发布、产品发布都有自己的权限控制体系,Esoft-myOffice中的论坛帖子管理、电子公告管理等也有自己的权限控制体系,当要往Esoft-myOffice中加入新的应用子系
Open Policy Agent(OPA) 【1】介绍
爱死亡机器人
05-17 1823
介绍 开放策略代理(OPA,发音为“ oh-pa”)是一个开放源代码的通用策略引擎,它统一了整个堆栈中的策略执行。OPA提供了一种高级的声明性语言,使您可以将策略指定为代码和简单的API,以减轻软件决策的负担。您可以使用OPA在微服务Kubernetes,CI / CD管道,API网关等中实施策略。 阅读此页面以了解OPA策略语言(Rego)中的核心概念,以及如何下载,运行和集成OPA。 OPA使政策决策与政策执行脱钩。当您的软件需要制定策略决策时,它会查询 OPA并提供结构化数据(例如JSON)作为输入
daprbundle v1.10.0 - dapr 离线安装包 - daprbundle-linux-amd64.tar.gz
02-20
daprbundle v1.10.0 是一个针对 Dapr 的离线安装包,特别设计用于在无法直接访问互联网或需要快速部署 Dapr 的环境中使用。Dapr(Distributed Application Runtime)是一个开源的云原生运行时,它使得构建可移植、...
win10下dapr离线安装
12-13
dapr版本 CLI version: 1.9.1 Runtime version: 1.9.5 docker版本 Server: Docker Desktop 4.15.0 (93002) 一、下载文件 二、将文件解压后放在c:\dapr 下,并增加环境变量path 三、安装 1.打开powershell,输入 ...
awesome-dapr:很棒的Dapr应用程序运行时相关工具的详尽列表
04-06
精选的Dapr应用程序运行时相关存储库,文章的精选列表。 内容 官方项目 -Dapr,分布式应用程序运行时。 -Dapr是一种可移植的,事件驱动的运行时,用于跨云和边缘构建分布式应用程序。 用于...
Dapr分布式应用运行时详解及实列.docx
08-24
3. **语言无关的API**:Dapr通过HTTP/gRPC接口暴露其功能,允许任何语言或框架的应用程序无缝集成。目前,Dapr官方支持Go、Node.js、Python、.NET、Java、C++、PHP、Rust和JavaScript等语言的SDK。 4. **主要特性**...
opa-java-spring-client:用于与开放策略代理一起工作的简单Spring客户端
05-14
opa-java-spring-client 该存储库包含一个Spring组件,供在Spring应用程序中使用,用于向与OPA(开放策略代理)API兼容的PDP(策略决策点)发出策略评估请求。 如果您不熟悉OPA,请单击了解更多信息。 配置属性 您可以通过在application.properties中设置以下属性来配置PDP客户端组件: pdp.enable=true pdp.allowOnFailure=false pdp.port=8181 pdp.hostname=localhost pdp.policy.path=/mypolicy pdp.readTimeout.milliseconds=5000 pdp.connectionTimeout.milliseconds=5000 pdp.retry.maxAttempts=2 pdp.retry.backoff.millis
Go-OpenPolicyAgent(OPA)
08-14
Open Policy Agent (OPA)是一个开源的通用策略引擎,可在整个堆栈中实现统一的,上下文感知策略实施。
Kubernetes安全之Open Policy Agent
qq_44005305的博客
01-11 661
无论是在业务开发还是在业务直接的访问,很多时候,Policy实现都与具体的服务耦合在一起,这导致 Policy 很难被单独抽象描述和灵活变更(比如动态加载新的规则)。而且,不同的服务对 Policy 有着不同的描述,比如采用 JSON、YAML 或其他 DSL,这样很难进一步将 Policy 以代码的形式进行管理(Policy As Code)。因此,为了更灵活和一致的架构,我们必须将 Policy 的决策过程从具体的服务接耦出去,这也是 OPA 整体架构的核心理念。
接口访问权限控制案例
腾蛟起凤吕学士
12-27 512
记录一下 接口访问权限设计的案例。
Open Policy Agent (OPA) 【3】实战
爱死亡机器人
05-17 1080
介绍 Practice - Install OPA gatekeeper.yaml 下载 root@master:~/cks/opa# k create -f gatekeeper.yaml namespace/gatekeeper-system created Warning: apiextensions.k8s.io/v1beta1 CustomResourceDefinition is deprecated in v1.16+, unavailable in v1.22+; use api
微服务 安装 Dapr Dapr快速入门 建立一个简单的Dapr项目
weixin_44871102的博客
07-22 1804
微服务 安装 Dapr Dapr快速入门 建立一个简单的Dapr项目
Dapr牵手.NET学习笔记:状态管理之docker-compose发布
dotNET跨平台
09-27 784
Dapr牵手.NET学习笔记:想入非非的服务调用Dapr牵手.NET学习笔记:跨物理机负载均衡服务调用Dapr牵手.NET学习笔记:用docker-compose部署服务说明:为了给出de...
使用Dapr和.NET 6.0进行微服务实战:Dapr简介
寒冰屋的专栏
02-08 1849
本文是《使用Dapr和.NET 6.0进行微服务实战》的第2篇Dapr简介部分,大致包括:了解Dapr,探索Dapr核心组件,设置Dapr环境,构建Dapr简单示例,闲话不说,我们开始系列旅程吧。
基于.net 6 & Orleans & Dapr 的 开发框架:Phenix Framework 7
phenixヾ的专栏
10-27 1069
Phenix Framework 7 for .net 6 & Orleans & Dapr 发布地址: https://github.com/phenixiii/Phenix.NET7 20190522 1,发布轻量级的持久化引擎,支持Oracle、MySQL,封装ADO.NET,可同时操作多个数据库,提供分库分表策略的持久化方法 2,提供数据库的数据字典的查看方法,示例见Demo.Ph...
springboot集成dapr
最新发布
08-12
要在Spring Boot中集成Dapr,你可以按照以下步骤进行操作: 1. 首先,将DaprJava SDK添加到项目的依赖中。在pom.xml文件中添加以下依赖项: ```xml <groupId>io.dapr <artifactId>dapr-client <version>...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值