আমরা Keycloak ব্যবহার করে Kubernetes-এ ActiveDirectory অনুমোদন দেই

এই নিবন্ধটি ইতিমধ্যে প্রসারিত করার লক্ষ্যে লেখা হয়েছিল বিদ্যমান, কিন্তু সংযোগের বৈশিষ্ট্যগুলি সম্পর্কে বিশেষভাবে Microsoft ActiveDirectory-এর সাথে কথা বলে এবং এটিকে পরিপূরক করে।

এই নিবন্ধে আমি আপনাকে বলব কিভাবে ইনস্টল এবং কনফিগার করবেন:

• চাবিকাঠি একটি ওপেন সোর্স প্রকল্প। যা অ্যাপ্লিকেশনের জন্য একটি একক এন্ট্রি পয়েন্ট প্রদান করে। LDAP এবং OpenID সহ অনেক প্রোটোকলের সাথে কাজ করে, যা আমাদের আগ্রহের বিষয়।
• চাবিকাঠি দারোয়ান — একটি বিপরীত প্রক্সি অ্যাপ্লিকেশন যা আপনাকে কীক্লোকের মাধ্যমে অনুমোদন সংহত করতে দেয়।
• গ্যাংওয়ে — একটি অ্যাপ্লিকেশন যা kubectl-এর জন্য একটি কনফিগারেশন তৈরি করে যার সাহায্যে আপনি OpenID এর মাধ্যমে লগ ইন করতে এবং Kubernetes API-এর সাথে সংযোগ করতে পারেন।

কুবারনেটে অনুমতি কীভাবে কাজ করে।

আমরা আরবিএসি ব্যবহার করে ব্যবহারকারী/গোষ্ঠীর অধিকারগুলি পরিচালনা করতে পারি, এটি সম্পর্কে ইতিমধ্যেই একগুচ্ছ নিবন্ধ তৈরি করা হয়েছে, আমি এই বিষয়ে বিস্তারিত আলোচনা করব না। সমস্যা হল আপনি ব্যবহারকারীর অধিকার সীমাবদ্ধ করতে RBAC ব্যবহার করতে পারেন, কিন্তু কুবারনেটস ব্যবহারকারীদের সম্পর্কে কিছুই জানেন না। দেখা যাচ্ছে যে Kubernetes-এ আমাদের একটি ইউজার ডেলিভারি মেকানিজম দরকার। এটি করার জন্য, আমরা Kuberntes OpenID-তে একটি প্রদানকারী যোগ করব, যা নির্দেশ করবে যে এই ধরনের একজন ব্যবহারকারী সত্যিই বিদ্যমান, এবং কুবারনেটস নিজেই তাকে অধিকার দেবে।

প্রশিক্ষণ

• আপনার একটি কুবারনেটস ক্লাস্টার বা মিনিকুবের প্রয়োজন হবে
• সক্রিয় ডিরেক্টরি
• ডোমেন:
  keycloak.example.org
  kubernetes-dashboard.example.org
  gangway.example.org
• ডোমেন বা স্ব-স্বাক্ষরিত শংসাপত্রের জন্য শংসাপত্র

কিভাবে একটি স্ব-স্বাক্ষরিত শংসাপত্র তৈরি করতে হয় সে সম্পর্কে আমি বিশদে যাব না; আপনাকে 2টি শংসাপত্র তৈরি করতে হবে, এটি হল রুট (সার্টিফিকেশন কর্তৃপক্ষ) এবং *.example.org ডোমেনের জন্য ক্লায়েন্ট ওয়াইল্ডকার্ড

আপনি শংসাপত্রগুলি গ্রহণ/লেখার পরে, আপনাকে কুবারনেটে ক্লায়েন্ট শংসাপত্র যোগ করতে হবে; এটি করার জন্য, এটির জন্য একটি গোপনীয়তা তৈরি করুন:

kubectl create secret tls tls-keycloak --cert=example.org.crt --key=example.org.pem

পরবর্তীতে আমরা এটি আমাদের ইনগ্রেস কন্ট্রোলারের জন্য ব্যবহার করব

কীক্লোক ইনস্টলেশন

আমি সিদ্ধান্ত নিয়েছি যে সবচেয়ে সহজ উপায় হল এর জন্য প্রস্তুত সমাধানগুলি ব্যবহার করা, যেমন হেলম চার্ট।

সংগ্রহস্থল ইনস্টল করুন এবং এটি আপডেট করুন:

helm repo add codecentric https://codecentric.github.io/helm-charts
helm repo update

নিম্নলিখিত বিষয়বস্তু সহ একটি keycloak.yml ফাইল তৈরি করুন:

keycloak.yml

keycloak:
  # Имя администратора
  username: "test_admin"
  # Пароль администратор  
  password: "admin"
  # Эти флаги нужны что бы позволить загружать в Keycloak скрипты прямо через web морду. Это нам 
  понадобиться что бы починить один баг, о котором ниже.
  extraArgs: "-Dkeycloak.profile.feature.script=enabled -Dkeycloak.profile.feature.upload_scripts=enabled" 
  # Включаем ingress, указываем имя хоста и сертификат который мы предварительно сохранили в secrets
  ingress:
    enabled: true 
    path: /
    annotations:
      kubernetes.io/ingress.class: nginx
      ingress.kubernetes.io/affinity: cookie
    hosts:
      - keycloak.example.org
    tls:
    - hosts:
        - keycloak.example.org
      secretName: tls-keycloak
  # Keycloak для своей работы требует базу данных, в тестовых целях я разворачиваю Postgresql прямо в Kuberntes, в продакшене так лучше не делать!
  persistence:
    deployPostgres: true
    dbVendor: postgres

postgresql:
  postgresUser: keycloak
  postgresPassword: ""
  postgresDatabase: keycloak
  persistence:
    enabled: true

ফেডারেশন সেটআপ

এরপরে, ওয়েব ইন্টারফেসে যান keycloak.example.org

বাম কোণায় ক্লিক করুন রাজত্ব যোগ করুন

চাবি
মূল্য

নাম
কুবেরনেটস

প্রদর্শন নাম
Kubernetes

ব্যবহারকারীর ইমেল নিশ্চিতকরণ পরীক্ষা অক্ষম করুন:
ক্লায়েন্ট স্কোপ -> ইমেল -> ম্যাপারস -> ইমেল যাচাই করা (মুছুন)

আমরা ActiveDirectory থেকে ব্যবহারকারীদের আমদানি করার জন্য একটি ফেডারেশন স্থাপন করছি, আমি নীচে স্ক্রিনশট রেখে দেব, আমি মনে করি এটি আরও পরিষ্কার হবে।

ব্যবহারকারী ফেডারেশন —> প্রদানকারী যোগ করুন... —> ldap

ফেডারেশন সেটআপ


যদি সবকিছু ঠিকঠাক থাকে, তাহলে বোতাম টিপুন সমস্ত ব্যবহারকারীকে সিঙ্ক্রোনাইজ করুন আপনি ব্যবহারকারীদের সফল আমদানি নির্দেশ করে একটি বার্তা দেখতে পাবেন।

পরবর্তীতে আমাদের গ্রুপ ম্যাপ করতে হবে

ব্যবহারকারী ফেডারেশন -> ldap_localhost -> ম্যাপার -> তৈরি করুন

একটি ম্যাপার তৈরি করা হচ্ছে

ক্লায়েন্ট সেটআপ

আপনাকে একটি ক্লায়েন্ট তৈরি করতে হবে, কীক্লোকের পরিপ্রেক্ষিতে এটি একটি অ্যাপ্লিকেশন যা এটি দ্বারা অনুমোদিত হবে। আমি স্ক্রিনশটটিতে লাল রঙে গুরুত্বপূর্ণ পয়েন্টগুলি হাইলাইট করব।

ক্লায়েন্ট -> তৈরি করুন

ক্লায়েন্ট সেটআপ

গোষ্ঠীগুলির জন্য একটি স্কূপ তৈরি করা যাক:

ক্লায়েন্ট স্কোপ -> তৈরি করুন

একটি সুযোগ তৈরি করা

এবং তাদের জন্য একটি ম্যাপার সেট আপ করুন:

ক্লায়েন্ট স্কোপ -> গ্রুপ -> ম্যাপার -> তৈরি করুন

ম্যাপার

আমরা ডিফল্ট ক্লায়েন্ট স্কোপে আমাদের গ্রুপের ম্যাপিং যোগ করি:

ক্লায়েন্ট -> কুবারনেটস -> ক্লায়েন্ট স্কোপ -> ডিফল্ট ক্লায়েন্ট স্কোপ
নির্বাচন গ্রুপ в উপলব্ধ ক্লায়েন্ট স্কোপ, টিপুন নির্বাচিত যোগ করুন

আমরা গোপন (এবং এটি কোথাও লিখে) পাই যা আমরা কীক্লোকে অনুমোদনের জন্য ব্যবহার করব:

ক্লায়েন্ট -> kubernetes -> শংসাপত্র -> গোপন
এটি সেটআপ সম্পূর্ণ করে, কিন্তু আমার একটি ত্রুটি ছিল যখন, সফল অনুমোদনের পরে, আমি একটি 403 ত্রুটি পেয়েছি৷ বাগ রিপোর্ট.

ঠিক করুন:

ক্লায়েন্ট স্কোপ -> ভূমিকা -> ম্যাপার -> তৈরি করুন

ম্যাপার

স্ক্রিপ্ট কোড

// add current client-id to token audience
token.addAudience(token.getIssuedFor());

// return token issuer as dummy result assigned to iss again
token.getIssuer();

কুবারনেটস কনফিগার করা হচ্ছে

সাইট থেকে আমাদের মূল শংসাপত্র কোথায় অবস্থিত এবং OIDC প্রদানকারী কোথায় অবস্থিত তা আমাদের নির্দেশ করতে হবে।
এটি করতে, ফাইলটি সম্পাদনা করুন /etc/kubernetes/manifests/kube-apiserver.yaml

kube-apiserver.yaml

...
spec:
  containers:
  - command:
    - kube-apiserver
...
    - --oidc-ca-file=/var/lib/minikube/certs/My_Root.crt
    - --oidc-client-id=kubernetes
    - --oidc-groups-claim=groups
    - --oidc-issuer-url=https://keycloak.example.org/auth/realms/kubernetes
    - --oidc-username-claim=email
...

ক্লাস্টারে kubeadm কনফিগারেশন আপডেট করুন:

kubeadm কনফিগারেশন

kubectl edit -n kube-system configmaps kubeadm-config

...
data:
  ClusterConfiguration: |
    apiServer:
      extraArgs:
        oidc-ca-file: /var/lib/minikube/certs/My_Root.crt
        oidc-client-id: kubernetes
        oidc-groups-claim: groups
        oidc-issuer-url: https://keycloak.example.org/auth/realms/kubernetes
        oidc-username-claim: email
...

প্রমাণ-প্রক্সি সেট করা হচ্ছে

আপনার ওয়েব অ্যাপ্লিকেশন রক্ষা করতে, আপনি কীক্লোক গেটকিপার ব্যবহার করতে পারেন। এই বিপরীত প্রক্সিটি পৃষ্ঠাটি দেখানোর আগে ব্যবহারকারীকে অনুমোদন করবে তা ছাড়াও, এটি শিরোনামে আপনার সম্পর্কে তথ্য শেষ অ্যাপ্লিকেশনে প্রেরণ করবে। সুতরাং, যদি আপনার অ্যাপ্লিকেশন OpenID সমর্থন করে, ব্যবহারকারী অবিলম্বে অনুমোদিত হয়. কুবারনেটস ড্যাশবোর্ডের উদাহরণ দেখি

Kubernetes ড্যাশবোর্ড ইনস্টল করা হচ্ছে

helm install stable/kubernetes-dashboard --name dashboard -f values_dashboard.yaml

values_dashboard.yaml

enableInsecureLogin: true
service:
  externalPort: 80
rbac:
  clusterAdminRole: true
  create: true
serviceAccount:
  create: true
  name: 'dashboard-test'

অ্যাক্সেস অধিকার সেট করা:

আসুন একটি ClusterRoleBinding তৈরি করি যা DataOPS গ্রুপের ব্যবহারকারীদের জন্য ক্লাস্টার অ্যাডমিন অধিকার (স্ট্যান্ডার্ড ClusterRole ক্লাস্টার-অ্যাডমিন) দেবে।

kubectl apply -f rbac.yaml

rbac.yaml

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: dataops_group
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: Group
  name: DataOPS

কীক্লোক গেটকিপার ইনস্টল করা হচ্ছে:

helm repo add gabibbo97 https://gabibbo97.github.io/charts/
helm repo update
helm install gabibbo97/keycloak-gatekeeper --version 2.1.0 --name keycloak-gatekeeper -f values_proxy.yaml

values_proxy.yaml

# Включаем ingress
ingress:
  enabled: true
  annotations:
    kubernetes.io/ingress.class: nginx
  path: /
  hosts:
    - kubernetes-dashboard.example.org
  tls:
   - secretName: tls-keycloak
     hosts:
       - kubernetes-dashboard.example.org

# Говорим где мы будем авторизовываться у OIDC провайдера
discoveryURL: "https://keycloak.example.org/auth/realms/kubernetes"
# Имя клиента которого мы создали в Keycloak
ClientID: "kubernetes"
# Secret который я просил записать
ClientSecret: "c6ec03b8-d0b8-4cb6-97a0-03becba1d727"
# Куда перенаправить в случае успешной авторизации. Формат <SCHEMA>://<SERVICE_NAME>.><NAMESAPCE>.<CLUSTER_NAME>
upstreamURL: "http://dashboard-kubernetes-dashboard.default.svc.cluster.local"
# Пропускаем проверку сертификата, если у нас самоподписанный
skipOpenidProviderTlsVerify: true
# Настройка прав доступа, пускаем на все path если мы в группе DataOPS
rules:
  - "uri=/*|groups=DataOPS"

এর পরে, আপনি যখন লগ ইন করার চেষ্টা করবেন kubernetes-dashboard.example.org, কীক্লোকে একটি পুনঃনির্দেশ ঘটবে এবং অনুমোদন সফল হলে, আমাদের ইতিমধ্যে লগ ইন করা ড্যাশবোর্ডে নিয়ে যাওয়া হবে।

গ্যাংওয়ে ইনস্টলেশন

সুবিধার জন্য, আপনি একটি গ্যাংওয়ে যোগ করতে পারেন যা kubectl-এর জন্য একটি কনফিগার ফাইল তৈরি করবে, যার সাহায্যে আমরা আমাদের ব্যবহারকারীর অধীনে Kubernetes-এ প্রবেশ করব।

helm install --name gangway stable/gangway -f values_gangway.yaml

values_gangway.yaml

gangway:
  # Произвольное имя кластера
  clusterName: "my-k8s"
  # Где у нас OIDC провайдер
  authorizeURL: "https://keycloak.example.org/auth/realms/kubernetes/protocol/openid-connect/auth"
  tokenURL: "https://keycloak.example.org/auth/realms/kubernetes/protocol/openid-connect/token"
  audience: "https://keycloak.example.org/auth/realms/kubernetes/protocol/openid-connect/userinfo"
  # Теоритически сюда можно добавить groups которые мы замапили
  scopes: ["openid", "profile", "email", "offline_access"]
  redirectURL: "https://gangway.example.org/callback"
  # Имя клиента
  clientID: "kubernetes"
  # Секрет
  clientSecret: "c6ec03b8-d0b8-4cb6-97a0-03becba1d727"
  # Если оставить дефолтное значние, то за имя пользователя будет братья <b>Frist name</b> <b>Second name</b>, а при "sub" его логин
  usernameClaim: "sub"
  # Доменное имя или IP адресс API сервера
  apiServerURL: "https://192.168.99.111:8443"

# Включаем Ingress
ingress:
  enabled: true
  annotations:
    kubernetes.io/ingress.class: nginx
    nginx.ingress.kubernetes.io/proxy-buffer-size: "64k"
  path: /
  hosts:
  - gangway.example.org
  tls:
  - secretName: tls-keycloak
    hosts:
      - gangway.example.org

# Если используем самоподписанный сертификат, то его(открытый корневой сертификат) надо указать.
trustedCACert: |-
 -----BEGIN CERTIFICATE-----
 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
 -----END CERTIFICATE-----

এটা এই মত কিছু দেখায়. আপনাকে অবিলম্বে একটি কনফিগার ফাইল ডাউনলোড করতে এবং কমান্ডের একটি সেট ব্যবহার করে এটি তৈরি করতে দেয়:

উত্স: www.habr.com