Kini nga artikulo gisulat aron sa pagpalapad sa na
Niini nga artikulo isulti ko kanimo kung giunsa ang pag-install ug pag-configure:
- keycloak usa ka open source nga proyekto. Nga naghatag usa ka punto sa pagsulod alang sa mga aplikasyon. Naglihok uban sa daghang mga protocol, lakip ang LDAP ug OpenID diin kami interesado.
- tigbantay sa ganghaan sa keycloak - reverse proxy nga aplikasyon nga nagtugot kanimo sa pag-integrate sa pagtugot pinaagi sa Keycloak.
- gangway - usa ka aplikasyon nga nagmugna og config para sa kubectl diin ikaw maka log in ug makakonektar sa Kubernetes API pinaagi sa OpenID.
Giunsa pagtrabaho ang mga pagtugot sa Kubernetes.
Mahimo namon madumala ang mga katungod sa user / grupo gamit ang RBAC, usa ka hugpong sa mga artikulo ang nahimo na bahin niini, dili ko kini hisgotan sa detalye. Ang problema mao nga mahimo nimong gamiton ang RBAC aron mapugngan ang mga katungod sa tiggamit, apan ang Kubernetes walaβy nahibal-an bahin sa mga tiggamit. Mogawas nga nanginahanglan kami usa ka mekanismo sa pagpadala sa gumagamit sa Kubernetes. Aron mahimo kini, magdugang kami usa ka provider sa Kuberntes OpenID, nga mag-ingon nga ang ingon nga tiggamit naglungtad gyud, ug ang Kubernetes mismo ang maghatag kaniya sa mga katungod.
Training
- Kinahanglan nimo ang Kubernetes cluster o minikube
- Active Directory
- Mga natad:
keycloak.example.org
kubernetes-dashboard.example.org
gangway.example.org - Sertipiko alang sa mga domain o gipirmahan sa kaugalingon nga sertipiko
Dili ko maghunahuna kung giunsa paghimo ang usa ka sertipiko nga gipirmahan sa kaugalingon, kinahanglan nimo nga maghimo 2 nga mga sertipiko, kini ang gamut (Certificate Authority) ug kliyente sa wildcard alang sa *.example.org nga domain
Pagkahuman nimo makadawat / mag-isyu sa mga sertipiko, ang kliyente kinahanglan idugang sa Kubernetes, alang niini naghimo kami usa ka sekreto alang niini:
kubectl create secret tls tls-keycloak --cert=example.org.crt --key=example.org.pem
Sunod, atong gamiton kini alang sa atong Ingress controller.
Pag-instalar sa Keycloak
Nakahukom ko nga ang labing kadali nga paagi mao ang paggamit sa mga andam nga solusyon alang niini, nga mao ang mga tsart sa timon.
I-install ang repository ug i-update kini:
helm repo add codecentric https://codecentric.github.io/helm-charts
helm repo update
Paghimo og keycloak.yml file nga adunay mosunod nga sulod:
keycloak.yml
keycloak:
# ΠΠΌΡ Π°Π΄ΠΌΠΈΠ½ΠΈΡΡΡΠ°ΡΠΎΡΠ°
username: "test_admin"
# ΠΠ°ΡΠΎΠ»Ρ Π°Π΄ΠΌΠΈΠ½ΠΈΡΡΡΠ°ΡΠΎΡ
password: "admin"
# ΠΡΠΈ ΡΠ»Π°Π³ΠΈ Π½ΡΠΆΠ½Ρ ΡΡΠΎ Π±Ρ ΠΏΠΎΠ·Π²ΠΎΠ»ΠΈΡΡ Π·Π°Π³ΡΡΠΆΠ°ΡΡ Π² Keycloak ΡΠΊΡΠΈΠΏΡΡ ΠΏΡΡΠΌΠΎ ΡΠ΅ΡΠ΅Π· web ΠΌΠΎΡΠ΄Ρ. ΠΡΠΎ Π½Π°ΠΌ
ΠΏΠΎΠ½Π°Π΄ΠΎΠ±ΠΈΡΡΡΡ ΡΡΠΎ Π±Ρ ΠΏΠΎΡΠΈΠ½ΠΈΡΡ ΠΎΠ΄ΠΈΠ½ Π±Π°Π³, ΠΎ ΠΊΠΎΡΠΎΡΠΎΠΌ Π½ΠΈΠΆΠ΅.
extraArgs: "-Dkeycloak.profile.feature.script=enabled -Dkeycloak.profile.feature.upload_scripts=enabled"
# ΠΠΊΠ»ΡΡΠ°Π΅ΠΌ ingress, ΡΠΊΠ°Π·ΡΠ²Π°Π΅ΠΌ ΠΈΠΌΡ Ρ
ΠΎΡΡΠ° ΠΈ ΡΠ΅ΡΡΠΈΡΠΈΠΊΠ°Ρ ΠΊΠΎΡΠΎΡΡΠΉ ΠΌΡ ΠΏΡΠ΅Π΄Π²Π°ΡΠΈΡΠ΅Π»ΡΠ½ΠΎ ΡΠΎΡ
ΡΠ°Π½ΠΈΠ»ΠΈ Π² secrets
ingress:
enabled: true
path: /
annotations:
kubernetes.io/ingress.class: nginx
ingress.kubernetes.io/affinity: cookie
hosts:
- keycloak.example.org
tls:
- hosts:
- keycloak.example.org
secretName: tls-keycloak
# Keycloak Π΄Π»Ρ ΡΠ²ΠΎΠ΅ΠΉ ΡΠ°Π±ΠΎΡΡ ΡΡΠ΅Π±ΡΠ΅Ρ Π±Π°Π·Ρ Π΄Π°Π½Π½ΡΡ
, Π² ΡΠ΅ΡΡΠΎΠ²ΡΡ
ΡΠ΅Π»ΡΡ
Ρ ΡΠ°Π·Π²ΠΎΡΠ°ΡΠΈΠ²Π°Ρ Postgresql ΠΏΡΡΠΌΠΎ Π² Kuberntes, Π² ΠΏΡΠΎΠ΄Π°ΠΊΡΠ΅Π½Π΅ ΡΠ°ΠΊ Π»ΡΡΡΠ΅ Π½Π΅ Π΄Π΅Π»Π°ΡΡ!
persistence:
deployPostgres: true
dbVendor: postgres
postgresql:
postgresUser: keycloak
postgresPassword: ""
postgresDatabase: keycloak
persistence:
enabled: true
Pag-setup sa Federation
Sunod, adto sa web interface
Pag-klik sa wala nga suok Idugang ang gingharian
Key
bili
ngalan
mga kubernetes
Ipakita ang Ngalan
Kubernetes
I-disable ang pag-verify sa email sa user:
Mga sakup sa kliyente -> Email -> Mga Mapper -> Gipamatud-an ang email (Pagtangtang)
Nagtukod kami og federation aron sa pag-import sa mga tiggamit gikan sa ActiveDirectory, akong ibilin ang mga screenshot sa ubos, sa akong hunahuna kini mahimong mas klaro.
User federation -> Add provider⦠-> ldap
Pag-setup sa Federation
Kung maayo ang tanan, pagkahuman sa pagpindot sa buton I-synchronize ang tanan nga tiggamit imong makita ang usa ka mensahe mahitungod sa malampuson nga import sa mga tiggamit.
Sunod kinahanglan namon nga mapa ang among mga grupo
User federation -> ldap_localhost -> Mappers -> Create
Paghimo og mapper
Pag-setup sa kliyente
Kinahanglan nga maghimo usa ka kliyente, sa termino sa Keycloak, kini usa ka aplikasyon nga awtorisado gikan kaniya. Akong i-highlight ang mga importanteng punto sa screenshot nga pula.
Mga kliyente -> Paghimo
Pag-setup sa kliyente
Maghimo kita og scoupe para sa mga grupo:
Mga Saklaw sa Kliyente -> Paghimo
Paghimo og scope
Ug pagbutang ug mapper alang kanila:
Mga Saklaw sa Kliyente -> mga grupo -> Mga Mapper -> Paghimo
Mapper
Idugang ang pagmapa sa among mga grupo sa Default Client Scopes:
Mga Kliyente β> kubernetes β> Mga Saklaw sa Kliyente β> Default nga Saklaw sa Kliyente
Pagpili mga grupo Π² Anaa nga mga Kasangkaran sa Kliyentei-klik Idugang ang pinili
Nakuha namon ang sekreto (ug isulat kini sa hilo) nga among gamiton alang sa pagtugot sa Keycloak:
Mga kliyente -> kubernetes -> Mga Kredensyal -> Sekreto
Nakompleto niini ang setup, apan naa koy sayop sa dihang, human sa malampusong pagtugot, nakadawat ko og sayop 403.
ayo:
Mga Saklaw sa Kliyente -> mga tahas -> Mga Mapper -> Paghimo
Mga Mapper
Kodigo sa Iskrip
// add current client-id to token audience
token.addAudience(token.getIssuedFor());
// return token issuer as dummy result assigned to iss again
token.getIssuer();
Pag-configure sa Kubernetes
Kinahanglan namong ipiho kung asa nahimutang ang among root certificate gikan sa site, ug asa nahimutang ang OIDC provider.
Aron mahimo kini, usba ang file /etc/kubernetes/manifests/kube-apiserver.yaml
kube-apiserver.yaml
...
spec:
containers:
- command:
- kube-apiserver
...
- --oidc-ca-file=/var/lib/minikube/certs/My_Root.crt
- --oidc-client-id=kubernetes
- --oidc-groups-claim=groups
- --oidc-issuer-url=https://keycloak.example.org/auth/realms/kubernetes
- --oidc-username-claim=email
...
I-update ang kubeadm config sa cluster:
kubeadmconfig
kubectl edit -n kube-system configmaps kubeadm-config
...
data:
ClusterConfiguration: |
apiServer:
extraArgs:
oidc-ca-file: /var/lib/minikube/certs/My_Root.crt
oidc-client-id: kubernetes
oidc-groups-claim: groups
oidc-issuer-url: https://keycloak.example.org/auth/realms/kubernetes
oidc-username-claim: email
...
Pagbutang ug auth-proxy
Mahimo nimong gamiton ang keycloak gatekeeper aron mapanalipdan ang imong aplikasyon sa web. Dugang pa sa kamatuoran nga kining reverse proxy magtugot sa user sa dili pa ipakita ang panid, ipasa usab niini ang impormasyon bahin kanimo ngadto sa end application sa mga header. Busa, kung ang imong aplikasyon nagsuporta sa OpenID, nan ang user awtorisado dayon. Tagda ang pananglitan sa Kubernetes Dashboard
Pag-instalar sa Kubernetes Dashboard
helm install stable/kubernetes-dashboard --name dashboard -f values_dashboard.yaml
values_dashboard.yaml
enableInsecureLogin: true
service:
externalPort: 80
rbac:
clusterAdminRole: true
create: true
serviceAccount:
create: true
name: 'dashboard-test'
Pagbutang sa mga katungod sa pag-access:
Magbuhat ta ug ClusterRoleBinding nga maghatag ug cluster admin rights (standard ClusterRole cluster-admin) para sa mga user sa DataOPS group.
kubectl apply -f rbac.yaml
rbac.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
name: dataops_group
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: ClusterRole
name: cluster-admin
subjects:
- apiGroup: rbac.authorization.k8s.io
kind: Group
name: DataOPS
I-install ang keycloak gatekeeper:
helm repo add gabibbo97 https://gabibbo97.github.io/charts/
helm repo update
helm install gabibbo97/keycloak-gatekeeper --version 2.1.0 --name keycloak-gatekeeper -f values_proxy.yaml
values_proxy.yaml
# ΠΠΊΠ»ΡΡΠ°Π΅ΠΌ ingress
ingress:
enabled: true
annotations:
kubernetes.io/ingress.class: nginx
path: /
hosts:
- kubernetes-dashboard.example.org
tls:
- secretName: tls-keycloak
hosts:
- kubernetes-dashboard.example.org
# ΠΠΎΠ²ΠΎΡΠΈΠΌ Π³Π΄Π΅ ΠΌΡ Π±ΡΠ΄Π΅ΠΌ Π°Π²ΡΠΎΡΠΈΠ·ΠΎΠ²ΡΠ²Π°ΡΡΡΡ Ρ OIDC ΠΏΡΠΎΠ²Π°ΠΉΠ΄Π΅ΡΠ°
discoveryURL: "https://keycloak.example.org/auth/realms/kubernetes"
# ΠΠΌΡ ΠΊΠ»ΠΈΠ΅Π½ΡΠ° ΠΊΠΎΡΠΎΡΠΎΠ³ΠΎ ΠΌΡ ΡΠΎΠ·Π΄Π°Π»ΠΈ Π² Keycloak
ClientID: "kubernetes"
# Secret ΠΊΠΎΡΠΎΡΡΠΉ Ρ ΠΏΡΠΎΡΠΈΠ» Π·Π°ΠΏΠΈΡΠ°ΡΡ
ClientSecret: "c6ec03b8-d0b8-4cb6-97a0-03becba1d727"
# ΠΡΠ΄Π° ΠΏΠ΅ΡΠ΅Π½Π°ΠΏΡΠ°Π²ΠΈΡΡ Π² ΡΠ»ΡΡΠ°Π΅ ΡΡΠΏΠ΅ΡΠ½ΠΎΠΉ Π°Π²ΡΠΎΡΠΈΠ·Π°ΡΠΈΠΈ. Π€ΠΎΡΠΌΠ°Ρ <SCHEMA>://<SERVICE_NAME>.><NAMESAPCE>.<CLUSTER_NAME>
upstreamURL: "http://dashboard-kubernetes-dashboard.default.svc.cluster.local"
# ΠΡΠΎΠΏΡΡΠΊΠ°Π΅ΠΌ ΠΏΡΠΎΠ²Π΅ΡΠΊΡ ΡΠ΅ΡΡΠΈΡΠΈΠΊΠ°ΡΠ°, Π΅ΡΠ»ΠΈ Ρ Π½Π°Ρ ΡΠ°ΠΌΠΎΠΏΠΎΠ΄ΠΏΠΈΡΠ°Π½Π½ΡΠΉ
skipOpenidProviderTlsVerify: true
# ΠΠ°ΡΡΡΠΎΠΉΠΊΠ° ΠΏΡΠ°Π² Π΄ΠΎΡΡΡΠΏΠ°, ΠΏΡΡΠΊΠ°Π΅ΠΌ Π½Π° Π²ΡΠ΅ path Π΅ΡΠ»ΠΈ ΠΌΡ Π² Π³ΡΡΠΏΠΏΠ΅ DataOPS
rules:
- "uri=/*|groups=DataOPS"
Human niana, sa diha nga ikaw mosulay sa pag-adto sa
pag-instalar sa gangway
Alang sa kasayon, mahimo nimong idugang ang usa ka gangway nga makamugna og config file para sa kubectl, uban ang tabang diin kita makasulod sa Kubernetes ubos sa atong user.
helm install --name gangway stable/gangway -f values_gangway.yaml
values_gangway.yaml
gangway:
# ΠΡΠΎΠΈΠ·Π²ΠΎΠ»ΡΠ½ΠΎΠ΅ ΠΈΠΌΡ ΠΊΠ»Π°ΡΡΠ΅ΡΠ°
clusterName: "my-k8s"
# ΠΠ΄Π΅ Ρ Π½Π°Ρ OIDC ΠΏΡΠΎΠ²Π°ΠΉΠ΄Π΅Ρ
authorizeURL: "https://keycloak.example.org/auth/realms/kubernetes/protocol/openid-connect/auth"
tokenURL: "https://keycloak.example.org/auth/realms/kubernetes/protocol/openid-connect/token"
audience: "https://keycloak.example.org/auth/realms/kubernetes/protocol/openid-connect/userinfo"
# Π’Π΅ΠΎΡΠΈΡΠΈΡΠ΅ΡΠΊΠΈ ΡΡΠ΄Π° ΠΌΠΎΠΆΠ½ΠΎ Π΄ΠΎΠ±Π°Π²ΠΈΡΡ groups ΠΊΠΎΡΠΎΡΡΠ΅ ΠΌΡ Π·Π°ΠΌΠ°ΠΏΠΈΠ»ΠΈ
scopes: ["openid", "profile", "email", "offline_access"]
redirectURL: "https://gangway.example.org/callback"
# ΠΠΌΡ ΠΊΠ»ΠΈΠ΅Π½ΡΠ°
clientID: "kubernetes"
# Π‘Π΅ΠΊΡΠ΅Ρ
clientSecret: "c6ec03b8-d0b8-4cb6-97a0-03becba1d727"
# ΠΡΠ»ΠΈ ΠΎΡΡΠ°Π²ΠΈΡΡ Π΄Π΅ΡΠΎΠ»ΡΠ½ΠΎΠ΅ Π·Π½Π°ΡΠ½ΠΈΠ΅, ΡΠΎ Π·Π° ΠΈΠΌΡ ΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°ΡΠ΅Π»Ρ Π±ΡΠ΄Π΅Ρ Π±ΡΠ°ΡΡΡ <b>Frist name</b> <b>Second name</b>, Π° ΠΏΡΠΈ "sub" Π΅Π³ΠΎ Π»ΠΎΠ³ΠΈΠ½
usernameClaim: "sub"
# ΠΠΎΠΌΠ΅Π½Π½ΠΎΠ΅ ΠΈΠΌΡ ΠΈΠ»ΠΈ IP Π°Π΄ΡΠ΅ΡΡ API ΡΠ΅ΡΠ²Π΅ΡΠ°
apiServerURL: "https://192.168.99.111:8443"
# ΠΠΊΠ»ΡΡΠ°Π΅ΠΌ Ingress
ingress:
enabled: true
annotations:
kubernetes.io/ingress.class: nginx
nginx.ingress.kubernetes.io/proxy-buffer-size: "64k"
path: /
hosts:
- gangway.example.org
tls:
- secretName: tls-keycloak
hosts:
- gangway.example.org
# ΠΡΠ»ΠΈ ΠΈΡΠΏΠΎΠ»ΡΠ·ΡΠ΅ΠΌ ΡΠ°ΠΌΠΎΠΏΠΎΠ΄ΠΏΠΈΡΠ°Π½Π½ΡΠΉ ΡΠ΅ΡΡΠΈΡΠΈΠΊΠ°Ρ, ΡΠΎ Π΅Π³ΠΎ(ΠΎΡΠΊΡΡΡΡΠΉ ΠΊΠΎΡΠ½Π΅Π²ΠΎΠΉ ΡΠ΅ΡΡΠΈΡΠΈΠΊΠ°Ρ) Π½Π°Π΄ΠΎ ΡΠΊΠ°Π·Π°ΡΡ.
trustedCACert: |-
-----BEGIN CERTIFICATE-----
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
-----END CERTIFICATE-----
Murag mao ni. Nagtugot kanimo sa pag-download dayon sa config file ug paghimo niini gamit ang usa ka set sa mga sugo:
Source: www.habr.com