🥇 GitHub OAuth এবং Dex ব্যবহার করে Kubernetes-এ প্রমাণীকরণ

আমি আপনার নজরে Dex, dex-k8s-authenticator এবং GitHub ব্যবহার করে কুবারনেটস ক্লাস্টারে অ্যাক্সেস তৈরি করার জন্য একটি টিউটোরিয়াল উপস্থাপন করছি।

রাশিয়ান ভাষার কুবারনেটস চ্যাট ইন থেকে স্থানীয় মেম৷ Telegram

ভূমিকা

আমরা উন্নয়ন এবং QA দলের জন্য গতিশীল পরিবেশ তৈরি করতে Kubernetes ব্যবহার করি। তাই আমরা তাদের ড্যাশবোর্ড এবং kubectl উভয়ের জন্য ক্লাস্টারে অ্যাক্সেস দিতে চাই। ওপেনশিফটের বিপরীতে, ভ্যানিলা কুবারনেটসের স্থানীয় প্রমাণীকরণ নেই, তাই আমরা এর জন্য তৃতীয় পক্ষের সরঞ্জাম ব্যবহার করি।

এই কনফিগারেশনে আমরা ব্যবহার করি:

dex-k8s-প্রমাণকারী — kubectl কনফিগারেশন তৈরির জন্য ওয়েব অ্যাপ্লিকেশন
Dex — OpenID সংযোগ প্রদানকারী
GitHub - শুধুমাত্র কারণ আমরা আমাদের কোম্পানিতে GitHub ব্যবহার করি

আমরা Google OIDC ব্যবহার করার চেষ্টা করেছি, কিন্তু দুর্ভাগ্যবশত আমরা ফেল তাদের গ্রুপ দিয়ে শুরু করতে, তাই GitHub-এর সাথে একীকরণ আমাদের জন্য বেশ উপযুক্ত। গ্রুপ ম্যাপিং ছাড়া, গ্রুপ ভিত্তিক RBAC নীতি তৈরি করা সম্ভব হবে না।

সুতরাং, কীভাবে আমাদের কুবারনেটস অনুমোদন প্রক্রিয়া একটি ভিজ্যুয়াল উপস্থাপনায় কাজ করে:

অনুমোদন প্রক্রিয়া

একটু বিস্তারিত এবং পয়েন্ট দ্বারা পয়েন্ট:

ব্যবহারকারী dex-k8s-প্রমাণকারীতে লগ ইন করে (login.k8s.example.com)
dex-k8s-প্রমাণকারী অনুরোধটি ডেক্সের কাছে ফরোয়ার্ড করে (dex.k8s.example.com)
ডেক্স গিটহাব লগইন পৃষ্ঠায় পুনঃনির্দেশ করে
GitHub প্রয়োজনীয় অনুমোদন তথ্য তৈরি করে এবং ডেক্সে ফেরত দেয়
Dex প্রাপ্ত তথ্য dex-k8s-প্রমাণকারীকে দেয়
ব্যবহারকারী GitHub থেকে একটি OIDC টোকেন পায়
dex-k8s-authenticator kubeconfig এ টোকেন যোগ করে
kubectl KubeAPIServer-এ টোকেন পাস করে
KubeAPIServer পাস করা টোকেনের উপর ভিত্তি করে kubectl-এ অ্যাক্সেস ফেরত দেয়
ব্যবহারকারী kubectl থেকে অ্যাক্সেস পায়

প্রস্তুতিমূলক কর্ম

অবশ্যই, আমাদের ইতিমধ্যে একটি কুবারনেটস ক্লাস্টার ইনস্টল করা আছে (k8s.example.com), এবং পূর্বে ইনস্টল করা HELM এর সাথেও আসে। GitHub (super-org) এ আমাদের একটি সংস্থাও রয়েছে।
আপনার যদি HELM না থাকে তবে এটি ইনস্টল করুন খুব সহজ.

প্রথমে আমাদের GitHub সেট আপ করতে হবে।

প্রতিষ্ঠান সেটিংস পৃষ্ঠায় যান, (https://github.com/organizations/super-org/settings/applications) এবং একটি নতুন অ্যাপ্লিকেশন তৈরি করুন (অনুমোদিত OAuth অ্যাপ):

গিটহাবে একটি নতুন অ্যাপ্লিকেশন তৈরি করা হচ্ছে

প্রয়োজনীয় URL দিয়ে ক্ষেত্রগুলি পূরণ করুন, উদাহরণস্বরূপ:

হোমপেজ URL: https://dex.k8s.example.com
অনুমোদন কলব্যাক URL: https://dex.k8s.example.com/callback

লিঙ্কগুলির সাথে সতর্ক থাকুন, স্ল্যাশগুলি না হারানো গুরুত্বপূর্ণ।

একটি সম্পূর্ণ ফর্মের প্রতিক্রিয়াতে, GitHub তৈরি করবে Client ID и Client secret, তাদের একটি নিরাপদ জায়গায় রাখুন, তারা আমাদের কাজে লাগবে (উদাহরণস্বরূপ, আমরা ব্যবহার করি খিলান গোপনীয়তা সংরক্ষণের জন্য):

Client ID: 1ab2c3d4e5f6g7h8
Client secret: 98z76y54x32w1

সাবডোমেনের জন্য DNS রেকর্ড প্রস্তুত করুন login.k8s.example.com и dex.k8s.example.com, সেইসাথে প্রবেশের জন্য SSL শংসাপত্র।

আসুন SSL সার্টিফিকেট তৈরি করি:

cat <<EOF | kubectl create -f -
apiVersion: certmanager.k8s.io/v1alpha1
kind: Certificate
metadata:
  name: cert-auth-dex
  namespace: kube-system
spec:
  secretName: cert-auth-dex
  dnsNames:
    - dex.k8s.example.com
  acme:
    config:
    - http01:
        ingressClass: nginx
      domains:
      - dex.k8s.example.com
  issuerRef:
    name: le-clusterissuer
    kind: ClusterIssuer
---
apiVersion: certmanager.k8s.io/v1alpha1
kind: Certificate
metadata:
  name: cert-auth-login
  namespace: kube-system
spec:
  secretName: cert-auth-login
  dnsNames:
    - login.k8s.example.com
  acme:
    config:
    - http01:
        ingressClass: nginx
      domains:
      - login.k8s.example.com
  issuerRef:
    name: le-clusterissuer
    kind: ClusterIssuer
EOF
kubectl describe certificates cert-auth-dex -n kube-system
kubectl describe certificates cert-auth-login -n kube-system

শিরোনাম সহ ক্লাস্টার ইস্যুয়ার le-clusterissuer ইতিমধ্যেই বিদ্যমান থাকা উচিত, কিন্তু যদি না থাকে তবে এটি HELM ব্যবহার করে তৈরি করুন:

helm install --namespace kube-system -n cert-manager stable/cert-manager
cat << EOF | kubectl create -f -
apiVersion: certmanager.k8s.io/v1alpha1
kind: ClusterIssuer
metadata:
  name: le-clusterissuer
  namespace: kube-system
spec:
  acme:
    server: https://acme-v02.api.letsencrypt.org/directory
    email: [email protected]
    privateKeySecretRef:
      name: le-clusterissuer
    http01: {}
EOF

KubeAPIServer কনফিগারেশন

kubeAPIServer কাজ করার জন্য, আপনাকে OIDC কনফিগার করতে হবে এবং ক্লাস্টার আপডেট করতে হবে:

kops edit cluster
...
  kubeAPIServer:
    anonymousAuth: false
    authorizationMode: RBAC
    oidcClientID: dex-k8s-authenticator
    oidcGroupsClaim: groups
    oidcIssuerURL: https://dex.k8s.example.com/
    oidcUsernameClaim: email
kops update cluster --yes
kops rolling-update cluster --yes

আমরা ব্যাবহার করি লাথি ক্লাস্টার স্থাপনের জন্য, কিন্তু এটি একইভাবে কাজ করে অন্যান্য ক্লাস্টার ম্যানেজার.

ডেক্স কনফিগারেশন এবং dex-k8s-প্রমাণকারী

ডেক্সের কাজ করার জন্য, আপনার কুবারনেটস মাস্টারের কাছ থেকে একটি শংসাপত্র এবং একটি কী থাকতে হবে, আসুন সেখান থেকে এটি নিয়ে আসি:

sudo cat /srv/kubernetes/ca.{crt,key}
-----BEGIN CERTIFICATE-----
AAAAAAAAAAABBBBBBBBBBCCCCCC
-----END CERTIFICATE-----
-----BEGIN RSA PRIVATE KEY-----
DDDDDDDDDDDEEEEEEEEEEFFFFFF
-----END RSA PRIVATE KEY-----

dex-k8s-authenticator সংগ্রহস্থল ক্লোন করা যাক:

git clone [email protected]:mintel/dex-k8s-authenticator.git
cd dex-k8s-authenticator/

মান ফাইল ব্যবহার করে, আমরা নমনীয়ভাবে আমাদের জন্য ভেরিয়েবল কনফিগার করতে পারি HELM চার্ট.

আসুন ডেক্সের জন্য কনফিগারেশন বর্ণনা করি:

cat << EOF > values-dex.yml
global:
  deployEnv: prod
tls:
  certificate: |-
    -----BEGIN CERTIFICATE-----
    AAAAAAAAAAABBBBBBBBBBCCCCCC
    -----END CERTIFICATE-----
  key: |-
    -----BEGIN RSA PRIVATE KEY-----
    DDDDDDDDDDDEEEEEEEEEEFFFFFF
    -----END RSA PRIVATE KEY-----
ingress:
  enabled: true
  annotations:
    kubernetes.io/ingress.class: nginx
    kubernetes.io/tls-acme: "true"
  path: /
  hosts:
    - dex.k8s.example.com
  tls:
    - secretName: cert-auth-dex
      hosts:
        - dex.k8s.example.com
serviceAccount:
  create: true
  name: dex-auth-sa
config: |
  issuer: https://dex.k8s.example.com/
  storage: # https://github.com/dexidp/dex/issues/798
    type: sqlite3
    config:
      file: /var/dex.db
  web:
    http: 0.0.0.0:5556
  frontend:
    theme: "coreos"
    issuer: "Example Co"
    issuerUrl: "https://example.com"
    logoUrl: https://example.com/images/logo-250x25.png
  expiry:
    signingKeys: "6h"
    idTokens: "24h"
  logger:
    level: debug
    format: json
  oauth2:
    responseTypes: ["code", "token", "id_token"]
    skipApprovalScreen: true
  connectors:
  - type: github
    id: github
    name: GitHub
    config:
      clientID: $GITHUB_CLIENT_ID
      clientSecret: $GITHUB_CLIENT_SECRET
      redirectURI: https://dex.k8s.example.com/callback
      orgs:
      - name: super-org
        teams:
        - team-red
  staticClients:
  - id: dex-k8s-authenticator
    name: dex-k8s-authenticator
    secret: generatedLongRandomPhrase
    redirectURIs:
      - https://login.k8s.example.com/callback/
envSecrets:
  GITHUB_CLIENT_ID: "1ab2c3d4e5f6g7h8"
  GITHUB_CLIENT_SECRET: "98z76y54x32w1"
EOF

এবং dex-k8s-প্রমাণকারীর জন্য:

cat << EOF > values-auth.yml
global:
  deployEnv: prod
dexK8sAuthenticator:
  clusters:
  - name: k8s.example.com
    short_description: "k8s cluster"
    description: "Kubernetes cluster"
    issuer: https://dex.k8s.example.com/
    k8s_master_uri: https://api.k8s.example.com
    client_id: dex-k8s-authenticator
    client_secret: generatedLongRandomPhrase
    redirect_uri: https://login.k8s.example.com/callback/
    k8s_ca_pem: |
      -----BEGIN CERTIFICATE-----
      AAAAAAAAAAABBBBBBBBBBCCCCCC
      -----END CERTIFICATE-----
ingress:
  enabled: true
  annotations:
    kubernetes.io/ingress.class: nginx
    kubernetes.io/tls-acme: "true"
  path: /
  hosts:
    - login.k8s.example.com
  tls:
    - secretName: cert-auth-login
      hosts:
        - login.k8s.example.com
EOF

Dex এবং dex-k8s-প্রমাণকারী ইনস্টল করুন:

helm install -n dex --namespace kube-system --values values-dex.yml charts/dex
helm install -n dex-auth --namespace kube-system --values values-auth.yml charts/dex-k8s-authenticator

আসুন পরিষেবাগুলির কার্যকারিতা পরীক্ষা করি (ডেক্সের কোড 400 ফেরত দেওয়া উচিত, এবং dex-k8s-প্রমাণকারীকে কোড 200 ফেরত দেওয়া উচিত):

curl -sI https://dex.k8s.example.com/callback | head -1
HTTP/2 400
curl -sI https://login.k8s.example.com/ | head -1
HTTP/2 200

RBAC কনফিগারেশন

আমরা গ্রুপের জন্য একটি ClusterRole তৈরি করি, আমাদের ক্ষেত্রে শুধুমাত্র-পঠন অ্যাক্সেস সহ:

cat << EOF | kubectl create -f -
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: cluster-read-all
rules:
  -
    apiGroups:
      - ""
      - apps
      - autoscaling
      - batch
      - extensions
      - policy
      - rbac.authorization.k8s.io
      - storage.k8s.io
    resources:
      - componentstatuses
      - configmaps
      - cronjobs
      - daemonsets
      - deployments
      - events
      - endpoints
      - horizontalpodautoscalers
      - ingress
      - ingresses
      - jobs
      - limitranges
      - namespaces
      - nodes
      - pods
      - pods/log
      - pods/exec
      - persistentvolumes
      - persistentvolumeclaims
      - resourcequotas
      - replicasets
      - replicationcontrollers
      - serviceaccounts
      - services
      - statefulsets
      - storageclasses
      - clusterroles
      - roles
    verbs:
      - get
      - watch
      - list
  - nonResourceURLs: ["*"]
    verbs:
      - get
      - watch
      - list
  - apiGroups: [""]
    resources: ["pods/exec"]
    verbs: ["create"]
EOF

আসুন ClusterRoleBinding এর জন্য একটি কনফিগারেশন তৈরি করি:

cat <<EOF | kubectl create -f -
apiVersion: rbac.authorization.k8s.io/v1beta1
kind: ClusterRoleBinding
metadata:
  name: dex-cluster-auth
  namespace: kube-system
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-read-all
subjects:
  kind: Group
  name: "super-org:team-red"
EOF

এখন আমরা পরীক্ষার জন্য প্রস্তুত।

পরীক্ষা

লগইন পৃষ্ঠায় যান (https://login.k8s.example.com) এবং আপনার GitHub অ্যাকাউন্ট ব্যবহার করে লগ ইন করুন:

লগইন পৃষ্ঠায়

লগইন পৃষ্ঠা গিটহাবে পুনঃনির্দেশিত হয়েছে

অ্যাক্সেস পেতে উত্পন্ন নির্দেশাবলী অনুসরণ করুন

ওয়েব পৃষ্ঠা থেকে কপি-পেস্ট করার পরে, আমরা আমাদের ক্লাস্টার সংস্থানগুলি পরিচালনা করতে kubectl ব্যবহার করতে পারি:

kubectl get po
NAME                READY   STATUS    RESTARTS   AGE
mypod               1/1     Running   0          3d

kubectl delete po mypod
Error from server (Forbidden): pods "mypod" is forbidden: User "[email protected]" cannot delete pods in the namespace "default"

এবং এটি কাজ করে, আমাদের সংস্থার সমস্ত GitHub ব্যবহারকারীরা সংস্থান দেখতে এবং পডগুলিতে লগ ইন করতে পারে, কিন্তু তাদের পরিবর্তন করার অধিকার তাদের নেই।

উত্স: www.habr.com

GitHub OAuth এবং Dex এর সাথে Kubernetes প্রমাণীকরণ