Header Cert Authenticationの基本構成例 - Plugin

基本構成例

serviceで有効にする

routeで有効にする

グローバルに有効にする

以下の例では、header-cert-authプラグインをserviceで有効にするための一般的な設定をご紹介します。

Kong Admin API

Konnect API

Kubernetes

Declarative (YAML)

Konnect Terraform

次のリクエストを行います。

curl -X POST http://localhost:8001/services/{serviceName|Id}/plugins \
    --header "accept: application/json" \
    --header "Content-Type: application/json" \
    --data '
    {
  "name": "header-cert-auth",
  "config": {
    "ca_certificates": [
      "0D769DE8-7CC0-4541-989B-F9C23E20054C"
    ],
    "certificate_header_name": "ssl-client-cert",
    "certificate_header_format": "base64_encoded",
    "secure_source": false
  }
}
    '

SERVICE_NAME

IDを、このプラグイン構成の対象となるサービスの idまたはnameに置き換えてください。

独自のアクセストークン、リージョン、コントロールプレーンID、サービスIDを代入して、次のリクエストを行ってください。

curl -X POST \
https://{us|eu}.api.konghq.com/v2/control-planes/{controlPlaneId}/core-entities/services/{serviceId}/plugins \
    --header "accept: application/json" \
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer TOKEN" \
    --data '{"name":"header-cert-auth","config":{"ca_certificates":["0D769DE8-7CC0-4541-989B-F9C23E20054C"],"certificate_header_name":"ssl-client-cert","certificate_header_format":"base64_encoded","secure_source":false}}'

地域固有のURLと個人アクセストークンの詳細については、 Konnect API referenceをご参照ください。

まず、KongPlugin リソースを作成します：

echo "
apiVersion: configuration.konghq.com/v1
kind: KongPlugin
metadata:
  name: header-cert-auth-example
plugin: header-cert-auth
config:
  ca_certificates:
  - 0D769DE8-7CC0-4541-989B-F9C23E20054C
  certificate_header_name: ssl-client-cert
  certificate_header_format: base64_encoded
  secure_source: false
" | kubectl apply -f -

次に、次のようにserviceに注釈を付けて、KongPluginリソースをイングレスに適用します。

kubectl annotate service SERVICE_NAME konghq.com/plugins=header-cert-auth-example

SERVICE_NAMEを、このプラグイン構成が対象とするサービスの名前に置き換えます。 kubectl get serviceを実行すると、利用可能なイングレスを確認できます。

注： KongPluginリソースは一度だけ定義するだけで、ネームスペース内の任意のサービス、コンシューマー、またはルートに適用できます。プラグインをクラスター全体で利用可能にしたい場合は、KongPluginの代わりにKongClusterPluginとしてリソースを作成してください。

このセクションを宣言型構成ファイルに追加します。

plugins:
- name: header-cert-auth
  service: SERVICE_NAME|ID
  config:
    ca_certificates:
    - 0D769DE8-7CC0-4541-989B-F9C23E20054C
    certificate_header_name: ssl-client-cert
    certificate_header_format: base64_encoded
    secure_source: false

SERVICE_NAME

IDを、このプラグイン構成の対象となるサービスの idまたはnameに置き換えてください。

前提条件： パーソナルアクセストークンの設定

terraform {
  required_providers {
    konnect = {
      source  = "kong/konnect"
    }
  }
}

provider "konnect" {
  personal_access_token = "kpat_YOUR_TOKEN"
  server_url            = "https://us.api.konghq.com/"
}

Kong Konnectゲートウェイプラグインを作成するには、Terraform 構成に以下を追加します。

resource "konnect_gateway_plugin_header_cert_auth" "my_header_cert_auth" {
  enabled = true

  config = {
    ca_certificates = ["0D769DE8-7CC0-4541-989B-F9C23E20054C"]
    certificate_header_name = "ssl-client-cert"
    certificate_header_format = "base64_encoded"
    secure_source = false
  }

  control_plane_id = konnect_gateway_control_plane.my_konnect_cp.id
  service = {
    id = konnect_gateway_service.my_service.id
  }
}

以下の例では、header-cert-authプラグインをrouteで有効にするための一般的な設定をご紹介します。

Kong Admin API

Konnect API

Kubernetes

Declarative (YAML)

Konnect Terraform

次のリクエストを行います。

curl -X POST http://localhost:8001/routes/{routeName|Id}/plugins \
    --header "accept: application/json" \
    --header "Content-Type: application/json" \
    --data '
    {
  "name": "header-cert-auth",
  "config": {
    "ca_certificates": [
      "0D769DE8-7CC0-4541-989B-F9C23E20054C"
    ],
    "certificate_header_name": "ssl-client-cert",
    "certificate_header_format": "base64_encoded",
    "secure_source": false
  }
}
    '

ROUTE_NAME

IDを、このプラグイン構成が対象とするルートのid またはnameに置き換えてください。

独自のアクセストークン、リージョン、コントロールプレーン（CP）ID、ルートIDを代入して、次のリクエストをしてください。

curl -X POST \
https://{us|eu}.api.konghq.com/v2/control-planes/{controlPlaneId}/core-entities/routes/{routeId}/plugins \
    --header "accept: application/json" \
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer TOKEN" \
    --data '{"name":"header-cert-auth","config":{"ca_certificates":["0D769DE8-7CC0-4541-989B-F9C23E20054C"],"certificate_header_name":"ssl-client-cert","certificate_header_format":"base64_encoded","secure_source":false}}'

地域固有のURLと個人アクセストークンの詳細については、 Konnect API referenceをご参照ください。

まず、KongPlugin リソースを作成します：

echo "
apiVersion: configuration.konghq.com/v1
kind: KongPlugin
metadata:
  name: header-cert-auth-example
plugin: header-cert-auth
config:
  ca_certificates:
  - 0D769DE8-7CC0-4541-989B-F9C23E20054C
  certificate_header_name: ssl-client-cert
  certificate_header_format: base64_encoded
  secure_source: false
" | kubectl apply -f -

次に、次のようにingressに注釈を付けて、KongPluginリソースをイングレスに適用します。

kubectl annotate ingress INGRESS_NAME konghq.com/plugins=header-cert-auth-example

INGRESS_NAMEを、このプラグイン構成がターゲットとするイングレス名に置き換えます。 kubectl get ingressを実行すると、利用可能なイングレスを確認できます。

注： KongPluginリソースは一度だけ定義するだけで、ネームスペース内の任意のサービス、コンシューマー、またはルートに適用できます。プラグインをクラスター全体で利用可能にしたい場合は、KongPluginの代わりにKongClusterPluginとしてリソースを作成してください。

このセクションを宣言型構成ファイルに追加します。

plugins:
- name: header-cert-auth
  route: ROUTE_NAME|ID
  config:
    ca_certificates:
    - 0D769DE8-7CC0-4541-989B-F9C23E20054C
    certificate_header_name: ssl-client-cert
    certificate_header_format: base64_encoded
    secure_source: false

ROUTE_NAME

IDを、このプラグイン構成が対象とするルートのid またはnameに置き換えてください。

前提条件： パーソナルアクセストークンの設定

terraform {
  required_providers {
    konnect = {
      source  = "kong/konnect"
    }
  }
}

provider "konnect" {
  personal_access_token = "kpat_YOUR_TOKEN"
  server_url            = "https://us.api.konghq.com/"
}

Kong Konnectゲートウェイプラグインを作成するには、Terraform 構成に以下を追加します。

resource "konnect_gateway_plugin_header_cert_auth" "my_header_cert_auth" {
  enabled = true

  config = {
    ca_certificates = ["0D769DE8-7CC0-4541-989B-F9C23E20054C"]
    certificate_header_name = "ssl-client-cert"
    certificate_header_format = "base64_encoded"
    secure_source = false
  }

  control_plane_id = konnect_gateway_control_plane.my_konnect_cp.id
  route = {
    id = konnect_gateway_route.my_route.id
  }
}

どのサービス、ルート、コンシューマー、コンシューマーグループにも関連しないプラグインは_global_とみなされ、すべてのリクエストで実行されます。

自己管理型のKong Gateway Enterpriseでは、プラグインは特定のワークスペース内のすべてのエンティティに適用されます。
セルフマネージドKong Gateway (OSS)では、プラグインは環境全体に適用されます。
Konnectでは、プラグインは特定のコントロールプレーン（CP）内のすべてのエンティティに適用されます。

詳しくはプラグインリファレンスとプラグインの優先順位のセクションをご覧ください。

以下の例では、Header Cert Authenticationプラグインをグローバルに有効にするための典型的な設定をいくつかご紹介します。

Kong Admin API

Konnect API

Kubernetes

Declarative (YAML)

Konnect Terraform

次のリクエストを行います。

curl -X POST http://localhost:8001/plugins/ \
    --header "accept: application/json" \
    --header "Content-Type: application/json" \
    --data '
    {
  "name": "header-cert-auth",
  "config": {
    "ca_certificates": [
      "0D769DE8-7CC0-4541-989B-F9C23E20054C"
    ],
    "certificate_header_name": "ssl-client-cert",
    "certificate_header_format": "base64_encoded",
    "secure_source": false
  }
}
    '

独自のアクセストークン、リージョン、コントロールプレーン（CP）IDを代入して、次のリクエストをしてください。

curl -X POST \
https://{us|eu}.api.konghq.com/v2/control-planes/{controlPlaneId}/core-entities/plugins/ \
    --header "accept: application/json" \
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer TOKEN" \
    --data '{"name":"header-cert-auth","config":{"ca_certificates":["0D769DE8-7CC0-4541-989B-F9C23E20054C"],"certificate_header_name":"ssl-client-cert","certificate_header_format":"base64_encoded","secure_source":false}}'

地域固有のURLと個人アクセストークンの詳細については、 Konnect API referenceをご参照ください。

KongClusterPlugin作成するリソースを作成し、グローバルとしてラベル付けします。

apiVersion: configuration.konghq.com/v1
kind: KongClusterPlugin
metadata:
  name: <global-header-cert-auth>
  annotations:
    kubernetes.io/ingress.class: kong
  labels:
    global: "true"
config:
  ca_certificates:
  - 0D769DE8-7CC0-4541-989B-F9C23E20054C
  certificate_header_name: ssl-client-cert
  certificate_header_format: base64_encoded
  secure_source: false
plugin: header-cert-auth

宣言型構成ファイルにpluginsエントリを追加します。

plugins:
- name: header-cert-auth
  config:
    ca_certificates:
    - 0D769DE8-7CC0-4541-989B-F9C23E20054C
    certificate_header_name: ssl-client-cert
    certificate_header_format: base64_encoded
    secure_source: false

前提条件： パーソナルアクセストークンの設定

terraform {
  required_providers {
    konnect = {
      source  = "kong/konnect"
    }
  }
}

provider "konnect" {
  personal_access_token = "kpat_YOUR_TOKEN"
  server_url            = "https://us.api.konghq.com/"
}

Kong Konnectゲートウェイプラグインを作成するには、Terraform 構成に以下を追加します。

resource "konnect_gateway_plugin_header_cert_auth" "my_header_cert_auth" {
  enabled = true

  config = {
    ca_certificates = ["0D769DE8-7CC0-4541-989B-F9C23E20054C"]
    certificate_header_name = "ssl-client-cert"
    certificate_header_format = "base64_encoded"
    secure_source = false
  }

  control_plane_id = konnect_gateway_control_plane.my_konnect_cp.id
}

前へ Header Cert Authentication設定

次へ Add Certificate Authorities