Apache APISIX 集成 Open Policy Agent

最新推荐文章于 2025-06-03 09:00:35 发布
最新推荐文章于 2025-06-03 09:00:35 发布
阅读量576 收藏
点赞数 1
CC 4.0 BY-SA版权
文章标签: apache java 开发语言 网关
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ApacheAPISIX/article/details/123095393
本文介绍了如何将 Apache APISIX 与 Open Policy Agent (OPA) 集成,利用 OPA 的策略引擎能力进行身份认证与准入控制。通过在 Apache APISIX 中配置 OPA 插件,实现了动态调用 OPA 策略进行请求处理。文章详细阐述了搭建测试环境、创建路由和启用插件的步骤,以及关闭插件的方法,帮助读者理解如何在实际操作中解耦后端服务的认证授权。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Open Policy Agent(OPA)是一个开源的轻量级通用策略引擎,可以代替软件中内置的策略功能模块,帮助用户实现服务与策略引擎的解耦。得益于 OPA 完善的生态系统,用户可以很容易地集成 OPA 和其他服务,例如程序库、HTTP API 等。

如下图所示,OPA 首先通过策略语言 Rego 描述策略;然后通过 JSON 存储策略数据,之后用户就可以发送查询请求。收到查询请求后,OPA 将结合策略、数据和用户输入的查询请求内容生成策略决策,并将决策发送至服务。

在这里插入图片描述

插件介绍

Apache APISIX 提供了一个 opa 插件,用户可以使用这个插件,便捷地将 OPA 提供的策略能力引入到 Apache APISIX,实现灵活的身份认证与准入控制功能。

opa 插件配置在路由上后,Apache APISIX 会在处理响应请求时,将请求信息、连接信息等组装成 JSON 数据,并将其发送到策略决策 API 地址。只要在 OPA 中部署的策略符合 Apache APISIX 设定的数据规范,就可以实现如通过请求、拒绝请求、自定义状态码、自定义响应头、自定义响应头等功能。

本文以 HTTP API 为例为大家介绍 opa 插件,并详细说明如何将 Apache APISIX 与 OPA 进行集成,实现后端服务的认证授权解耦。

如何使用

步骤一:搭建测试环境

  1. 使用 Docker 构建 OPA 服务。
# 使用 Docker 运行 OPA
docker run -d --name opa -p 8181:8181 openpolicyagent/opa:0.35.0 run -s
  1. 创建 example 策略。

                

                
                
        

    

  


        

            

                      
                        最低0.47元/天 解锁文章
                          
                      
            

        


    



                



	

		

			

				
					
Apisix安全(五)』探索Apache APISIX身份认证插件:从基础到实战

				
			

			

				

					老陈聊架构
				

				

					03-27
					
					2146
					
				

			

		

		

			
				
🌐 本文深入探讨了Apache APISIX在现代微服务架构中实现API安全的关键环节——身份认证。文章首先强调了API网关在连接API消费者和提供者中的作用,并介绍了APISIX支持的多种身份授权插件,如Key Authentication、Basic Authentication、JWT Authentication等。

			
		

	



                

            
              



	

		

			

				
					
Apache APISIX 集成 HashiCorp Vault,增强后端生态系统

				
			

			

				

					OyLinux的博客
				

				

					09-23
					
					118
					
				

			

		

		

			
				
通过以上配置,我们成功集成Apache APISIX和HashiCorp Vault,并且可以在APISIX的路由规则中使用Vault插件来获取敏感数据。这样的集成可以增强APISIX的后端生态系统,并提供更强大的安全性和敏感数据管理功能。当APISIX收到匹配该路由规则的请求时,它将使用Vault插件从Vault中获取相应的敏感数据。在上述配置中,我们将Vault插件添加到名为"my-route"的路由规则中,并配置它从Vault中读取数据。设置为你的Vault服务器的地址,将。

			
		

	



              


  
              

                


	

		

			

				
					
Apache APISIX 入门指南:从零开始部署你的云原生API网关

					
最新发布

				
			

			

				

					gitblog_01163的博客
				

				

					06-03
					
					366
					
				

			

		

		

			
				
Apache APISIX 入门指南:从零开始部署你的云原生API网关

    
        
            apisix
            The Cloud-Native API Gateway
            
                
                项目地址: https://gitcode.com/gh_mirrors/ap/api...

			
		

	





	

		

			

				
					
云原生网关Apache APISIX

				
			

			

				

					qq_39408435的博客
				

				

					06-06
					
					3800
					
				

			

		

		

			
				
Apache APISIX 是一个动态、实时、高性能的云原生 API 网关,提供了负载均 衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功 能。可以使用 Apache APISIX 处理传统的南北向流量,也可以处理服务间的东 西向流量。同时,它也支持作为 K8s Ingress Controller 来使用。

			
		

	



		

			
		



	

		

			

				
					
KubeSphere中集成ApiSix

				
			

			

				

					Java_fenxiang的博客
				

				

					10-06
					
					1238
					
				

			

		

		

			
				
一、Apache APISIX 介绍Apache APISIX 是一款开源的高性能、动态云原生网关,由深圳支流科技有限公司于 2019 年捐赠给 Apache 基金会,当前已经成为 Apache 基金会的顶级开源项目,也是 GitHub 上最活跃的网关项目。Apache APISIX 当前已经覆盖了 API 网关,LB,K...

			
		

	





	

		

			

				
					
APISIX集成统一鉴权中心

				
			

			

				

					雨中深巷的油纸伞
				

				

					12-12
					
					1108
					
				

			

		

		

			
				
这里使用forward-auth作为身份认证插件,具体的配置方法可以查看官网 https://apisix.apache.org/docs/apisix/plugins/forward-auth/Apisix提供了很多插件,通过鉴权插件,并配合自定义服务接口,可以很好实现网关层面的统一鉴权,认证还是可以走统一认证中心。也可以和其他子服务共用一个,但是必须是一个单独的apisix路由接口。将刚刚创建好的鉴权服务路由接口,配置在插件中,并启动该插件。与普通创建路由一致,可以参考其他创建路由具体步骤。

			
		

	





	

		

			

				
					
Apache APISIX 介绍

				
			

			

				

					ding43930053的专栏
				

				

					07-02
					
					647
					
				

			

		

		

			
				
定义:Apache APISIX是一个提供丰富流量管理功能的云原生API网关。功能:包括负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等。应用场景:既可以处理传统的南北向流量(客户端到服务器的流量),也可以处理服务间的东西向流量(服务与服务之间的通信流量)。Apache APISIX以其动态、实时、高性能的特点,以及丰富的流量管理功能,在云原生应用中扮演着重要角色。无论是处理传统的南北向流量,还是微服务架构中的东西向流量,Apache APISIX都能提供高效、灵活的解决方案。

			
		

	





	

		

			

				
					
Apache APISIX 2.12.0 版本发布, 新功能更适配新一年

				
			

			

				

					ApacheAPISIX的博客
				

				

					01-27
					
					1315
					
				

			

		

		

			
				
继 2.11.0 版本发布之后,Apache APISIX 也在即将到来的新春佳节,为大家带来 2022 年第一个带有新功能的版本。在此也算携手新版本给大家拜个早年了!
新功能:更多的 Serverless 集成
还记得在上个版本里,Apache APISIX 增加了对 Azure Function 的支持。而这次新版本中也是用意满满,在功能上又加入了对更多 Serverless 厂商的支持。
如今用户也可以在 Apache APISIX 中结合 AWS Lambda 和 Apache OpenWhisk,

			
		

	





	

		

			

				
					
Apache APISIX 社区双周报 | 功能亮点更新进行中

				
			

			

				

					ApacheAPISIX的博客
				

				

					12-21
					
					388
					
				

			

		

		

			
				
12 月 26 日(周日),Apache APISIX 社区将联合 Apache RocketMQ 社区为大家带来更多实践内容的线上分享。想要了解更多应用实践内容,一起来参与此次的线上 Meetup 吧!

			
		

	





	

		

			

				
					
云原生之容器编排实践-OpenEuler23.09离线安装Kubernetes与KubeSphere

				
			

			

				

					Heartsuit的博客
				

				

					09-28
					
					1407
					
				

			

		

		

			
				
本文介绍了如何在 OpenEuler 23.09 操作系统上离线安装 Kubernetes 和 KubeSphere 。首先,需要在一台联网的机器上下载所需的镜像和软件包,制作成离线安装包。然后,在离线环境的虚拟机上,通过配置和安装依赖组件,准备安装环境。接着,使用 KubeKey工具初始化本地镜像仓库 Harbor ,并创建所需的 Harbor 项目。最后,通过 KubeKey 配置文件,指定 Harbor 认证信息和私有镜像仓库地址,完成 Kubernetes 集群和 KubeSphere 的离线安装。

			
		

	





	

		

			

				
					
Apache APISIX 集成 HashiCorp Vault,生态系统再添一员

				
			

			

				

					ApacheAPISIX的博客
				

				

					02-23
					
					625
					
				

			

		

		

			
				
本文演示了如何将 Vault 与 Apache APISIX 的jwt-auth插件集成,在为服务提供高并发低延迟的卓越性能的同时,为服务的安全保驾护航。

			
		

	





	

		

			

				
					
Apache APISIX 快速入门

				
			

			

				

					西京刀客
				

				

					02-09
					
					1383
					
				

			

		

		

			
				
Apache APISIXApache 软件基金会下的顶级项目,它是一个具有动态、实时、高性能等特点的云原生 API 网关

			
		

	





	

		

			

				
					
Apache APISIX快速入门

				
			

			

				

					neweastsun的专栏
				

				

					12-11
					
					1626
					
				

			

		

		

			
				
本文将介绍Apache APISIX,这是一个开源API网关,可以处理速率限制选项,并且可以轻松地完全控制外部流量对内部后端API服务的访问。我们将看看是什么使它从其他网关服务中脱颖而出。我们还将详细讨论如何开始使用Apache APISIX网关。在深入讨论这个主题之前,让我们先讨论一下API网关

			
		

	





	

		

			

				
					
Apache APISIX 2.10.0 正式发布,带来第一个 LTS 版本!

				
			

			

				

					ApacheAPISIX的博客
				

				

					10-16
					
					517
					
				

			

		

		

			
				
Apache APISIX 2.10 版本正式发布!???? 这是Apache APISIX 首个 LTS 版本,同时支持 10+ 个新功能和新插件。快速阅读了解 2.10.0 版本的新特性吧!里程碑第一个 LTS 版本对于 Apache APISIX 来说,本次发布的 2.10.0 是一个具有里程碑意义的版本,因为 Apache APISIX 2.10.0 是我们的第一个 LTS (Long Time Support)的版本。我们会在 Apache APISIX 2.10.0 的基础上发布后续的

			
		

	





	

		

			

				
					
API 网关 Apache APISIX 集成 CNCF OpenFunction

				
			

			

				

					ApacheAPISIX的博客
				

				

					10-12
					
					587
					
				

			

		

		

			
				
本文为大家介绍了 Apache APISIX插件的功能与使用步骤,更多关于插件说明和完整配置列表,可以参考官方文档。目前,APISIX 社区也在开发其他 Serverless 插件以便与更多云服务进行集成。如果你对此类集成项目感兴趣,也欢迎随时在中发起讨论,或通过邮件列表进行交流。

			
		

	





	

		

			

				
					
Apache APISIX不编写任何代码的情况下,简单实现一个 API 实践

				
			

			

				

					u012181546的博客
				

				

					12-02
					
					740
					
				

			

		

		

			
				
创建一个成熟的 RESTful API 是一项巨大的投资。你可以通过 PostgREST 将数据库暴露在 CRUD API 中来快速测试一个简单的 API。但是,这样的体系结构不适用于实际生产。要想使其更具实践性,就需要在 PostgREST 前设置一个 facade、一个反向代理,或者更好的 API 网关Apache APISIX 作为云原生 API 网关,提供了广泛的特性,从流量处理到认证授权和可观测性等。有了 APISIX,你就可以用较低的成本快速验证你的 API 需求。

			
		

	





	

		

			

				
					
Apache APISIX v2.14.1 探索性版本发布,进军更多领域

				
			

			

				

					ApacheAPISIX的博客
				

				

					05-31
					
					838
					
				

			

		

		

			
				
距离上次 APISIX v2.13 LTS 版本发布已经有两个多月的时间,以往每次 APISIX 的小版本发布,都会为大家带来新功能。然而 APISIX v2.14.1 版本发布的功能,将紧跟技术前沿,为大家带来了诸多探索性的新功能,并为 APISIX v3 版本的发布投石问路,欢迎大家探索这些新功能。
接下来我们先看下 APISIX 支持了哪些探索性的新功能。

基于 WebSocket 的 pubsub 代理框架
在 APISIX v2.14.1 版本之前,无论是代理 gRPC 请求还是普通的 HTTP

			
		

	





	

		

			

				
					
Apache APISIX 入门与实践

				
			

			

				

					m0_37932830的博客
				

				

					05-15
					
					2275
					
				

			

		

		

			
				
Apache APISIX 入门与实践

			
		

	





	

		

			

				
					
体验 Apache APISIX

				
			

			

				

					engchina的专栏
				

				

					04-03
					
					720
					
				

			

		

		

			
				
体验 Apache APISIX

			
		

	





	

		

			

				
					
kubesphere apisix

				
			

			

				

					01-01
				

			

		

		

			
				
### KubeSphere 与 Apache APISIX集成

#### 集成概述
Apache APISIX 是一个高性能、可扩展的微服务 API 网关,而 KubeSphere 则是一个企业级容器平台,提供多租户管理、可观测性和应用生命周期管理等功能。两者结合可以显著提升云原生环境下的开发效率和服务治理能力。

#### 安装准备
为了使现有的 Kubernetes 集群能够被 KubeSphere 所管理并顺利部署 Apache APISIX 及其 Ingress Controller[^1],建议先完成如下准备工作:

- 确认当前使用的 Kubernetes 版本兼容最新版本的 KubeSphere;
- 准备好 Helm 工具用于安装官方发布的 chart 包;
- 如果计划利用 Prometheus 对网关性能做监控,则需提前设置好相应的告警规则以及可视化工具如 Grafana;

#### 正确配置APISIX Ingress Controller
对于希望在线上环境中快速启用 APISIX 功能的企业来说,在 Docker 中构建和运行 APISIX Ingress Controller 就显得尤为重要[^3]。具体操作包括但不限于创建必要的命名空间、加载镜像文件至私有仓库、编写自定义资源定义(CRDs),并通过 kubectl apply 命令提交给集群。

#### 实现Istio等方案集成
当涉及到与其他服务网格技术比如 Istio 的对接时,掌握一些特定技巧可以使整个过程更加顺畅[^2]。例如调整路由策略来匹配不同框架间的数据流模式,或是借助 EnvoyFilter 来增强流量拦截效果等等。

#### 添加OPA插件支持细粒度权限控制
随着安全需求日益增长,引入 OPA (Open Policy Agent) 成为一种趋势。它允许管理员制定复杂的访问决策逻辑,并将其应用于各个 API 请求之上[^4]。这不仅有助于保护敏感接口免受未授权调用的影响,同时也简化了跨团队协作中的合规性管理工作。

#### 导入Grafana模板优化运维体验
考虑到实际应用场景中可能遇到的各种挑战,推荐采用预先设计好的仪表板样式——即从官方网站获取最新的 Apache APISIX Grafana Template 文件后直接上传到目标节点下[^5]。如此一来便能迅速获得一套完整的健康状态监测体系,帮助 DevOps 更加直观地理解系统内部运作情况。

```yaml
apiVersion: v1
kind: Namespace
metadata:
  name: apisix-ingress-controller
---
apiVersion: apps/v1
kind: Deployment
metadata:
  namespace: apisix-ingress-controller
spec:
  replicas: 1
  selector:
    matchLabels:
      app: apisix-ingress-controller
  template:
    metadata:
      labels:
        app: apisix-ingress-controller
    spec:
      containers:
      - name: controller
        image: "docker.io/apache/apisix-ingress-controller"
```

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
API7.ai 技术团队

			
你的鼓励将是我创作的最大动力

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值