Autentificate in Kubernetes cù GitHub OAuth è Dex

Prestu à a vostra attenzione un tutoriale per generà accessu à un cluster Kubernetes cù Dex, dex-k8s-authenticator è GitHub.

Autentificate in Kubernetes cù GitHub OAuth è Dex
Meme locale da u chat Kubernetes in lingua russa n'ambasciata

Introduzione

Utilizemu Kubernetes per creà ambienti dinamichi per u sviluppu è a squadra di QA. Allora vulemu dà accessu à u cluster sia per u dashboard sia per kubectl. A cuntrariu di OpenShift, vanilla Kubernetes ùn hà micca l'autentificazione nativa, cusì usemu strumenti di terzu per questu.

In questa cunfigurazione usemu:

Avemu pruvatu à aduprà Google OIDC, ma sfurtunatamenti noi fallutu per principià cù i gruppi, cusì l'integrazione cù GitHub ci hè abbastanza bè. Senza mapping di gruppu, ùn serà micca pussibule di creà pulitiche RBAC basate nantu à i gruppi.

Allora, cumu funziona u nostru prucessu d'autorizazione Kubernetes in una rappresentazione visuale:

Autentificate in Kubernetes cù GitHub OAuth è Dex
Prucessu d'autorizazione

Un pocu di più dettagliu è puntu per puntu:

  1. L'utente accede à dex-k8s-authenticator (login.k8s.example.com)
  2. dex-k8s-authenticator trasmette a dumanda à Dex (dex.k8s.example.com)
  3. Dex redirige à a pagina di login di GitHub
  4. GitHub genera l'infurmazioni necessarii di l'autorizazione è a torna à Dex
  5. Dex passa l'infurmazioni ricevute à dex-k8s-authenticator
  6. L'utilizatore riceve un token OIDC da GitHub
  7. dex-k8s-authenticator aghjusta un token à kubeconfig
  8. kubectl passa u token à KubeAPIServer
  9. KubeAPIServer torna l'accessu à kubectl basatu annantu à u token passatu
  10. L'utilizatore hà accessu da kubectl

Attività preparatorii

Di sicuru, avemu digià stallatu un cluster Kubernetes (k8s.example.com), è vene ancu cù HELM preinstallatu. Avemu ancu una urganizazione in GitHub (super-org).
Se ùn avete micca HELM, installate assai simplici.

Prima avemu bisognu di cunfigurà GitHub.

Andà à a pagina di paràmetri di l'urganizazione, (https://github.com/organizations/super-org/settings/applications) è crea una nova applicazione (App OAuth Autorizzata):
Autentificate in Kubernetes cù GitHub OAuth è Dex
Crià una nova applicazione in GitHub

Riempite i campi cù l'URL necessarii, per esempiu:

  • URL di a pagina iniziale: https://dex.k8s.example.com
  • URL di callback d'autorizazione: https://dex.k8s.example.com/callback

Attenti cù i ligami, hè impurtante ùn perde micca slashes.

In risposta à una forma cumpleta, GitHub generà Client ID и Client secret, mantene in un locu sicuru, seranu utili per noi (per esempiu, avemu aduprà Vault per guardà i sicreti):

Client ID: 1ab2c3d4e5f6g7h8
Client secret: 98z76y54x32w1

Preparate i registri DNS per i subdominii login.k8s.example.com и dex.k8s.example.com, è ancu i certificati SSL per l'ingressu.

Creemu certificati SSL:

cat <<EOF | kubectl create -f -
apiVersion: certmanager.k8s.io/v1alpha1
kind: Certificate
metadata:
  name: cert-auth-dex
  namespace: kube-system
spec:
  secretName: cert-auth-dex
  dnsNames:
    - dex.k8s.example.com
  acme:
    config:
    - http01:
        ingressClass: nginx
      domains:
      - dex.k8s.example.com
  issuerRef:
    name: le-clusterissuer
    kind: ClusterIssuer
---
apiVersion: certmanager.k8s.io/v1alpha1
kind: Certificate
metadata:
  name: cert-auth-login
  namespace: kube-system
spec:
  secretName: cert-auth-login
  dnsNames:
    - login.k8s.example.com
  acme:
    config:
    - http01:
        ingressClass: nginx
      domains:
      - login.k8s.example.com
  issuerRef:
    name: le-clusterissuer
    kind: ClusterIssuer
EOF
kubectl describe certificates cert-auth-dex -n kube-system
kubectl describe certificates cert-auth-login -n kube-system

ClusterIssuer cù titulu le-clusterissuer duverebbe esse digià, ma se no, creanu cù HELM:

helm install --namespace kube-system -n cert-manager stable/cert-manager
cat << EOF | kubectl create -f -
apiVersion: certmanager.k8s.io/v1alpha1
kind: ClusterIssuer
metadata:
  name: le-clusterissuer
  namespace: kube-system
spec:
  acme:
    server: https://acme-v02.api.letsencrypt.org/directory
    email: [email protected]
    privateKeySecretRef:
      name: le-clusterissuer
    http01: {}
EOF

Cunfigurazione KubeAPIServer

Per chì kubeAPIServer funziona, avete bisognu di cunfigurà OIDC è aghjurnà u cluster:

kops edit cluster
...
  kubeAPIServer:
    anonymousAuth: false
    authorizationMode: RBAC
    oidcClientID: dex-k8s-authenticator
    oidcGroupsClaim: groups
    oidcIssuerURL: https://dex.k8s.example.com/
    oidcUsernameClaim: email
kops update cluster --yes
kops rolling-update cluster --yes

Usemu kops per implementà clusters, ma questu funziona in modu simile altri gestori di cluster.

Cunfigurazione Dex è dex-k8s-authenticator

Perchè Dex funziona, avete bisognu di avè un certificatu è una chjave da u maestru Kubernetes, andemu da quì:

sudo cat /srv/kubernetes/ca.{crt,key}
-----BEGIN CERTIFICATE-----
AAAAAAAAAAABBBBBBBBBBCCCCCC
-----END CERTIFICATE-----
-----BEGIN RSA PRIVATE KEY-----
DDDDDDDDDDDEEEEEEEEEEFFFFFF
-----END RSA PRIVATE KEY-----

Clonemu u repository dex-k8s-authenticator:

git clone [email protected]:mintel/dex-k8s-authenticator.git
cd dex-k8s-authenticator/

Utilizendu i schedarii di valori, pudemu cunfigurà in modu flessibile e variabili per i nostri Grafici HELM.

Descrivimu a cunfigurazione per Dex:

cat << EOF > values-dex.yml
global:
  deployEnv: prod
tls:
  certificate: |-
    -----BEGIN CERTIFICATE-----
    AAAAAAAAAAABBBBBBBBBBCCCCCC
    -----END CERTIFICATE-----
  key: |-
    -----BEGIN RSA PRIVATE KEY-----
    DDDDDDDDDDDEEEEEEEEEEFFFFFF
    -----END RSA PRIVATE KEY-----
ingress:
  enabled: true
  annotations:
    kubernetes.io/ingress.class: nginx
    kubernetes.io/tls-acme: "true"
  path: /
  hosts:
    - dex.k8s.example.com
  tls:
    - secretName: cert-auth-dex
      hosts:
        - dex.k8s.example.com
serviceAccount:
  create: true
  name: dex-auth-sa
config: |
  issuer: https://dex.k8s.example.com/
  storage: # https://github.com/dexidp/dex/issues/798
    type: sqlite3
    config:
      file: /var/dex.db
  web:
    http: 0.0.0.0:5556
  frontend:
    theme: "coreos"
    issuer: "Example Co"
    issuerUrl: "https://example.com"
    logoUrl: https://example.com/images/logo-250x25.png
  expiry:
    signingKeys: "6h"
    idTokens: "24h"
  logger:
    level: debug
    format: json
  oauth2:
    responseTypes: ["code", "token", "id_token"]
    skipApprovalScreen: true
  connectors:
  - type: github
    id: github
    name: GitHub
    config:
      clientID: $GITHUB_CLIENT_ID
      clientSecret: $GITHUB_CLIENT_SECRET
      redirectURI: https://dex.k8s.example.com/callback
      orgs:
      - name: super-org
        teams:
        - team-red
  staticClients:
  - id: dex-k8s-authenticator
    name: dex-k8s-authenticator
    secret: generatedLongRandomPhrase
    redirectURIs:
      - https://login.k8s.example.com/callback/
envSecrets:
  GITHUB_CLIENT_ID: "1ab2c3d4e5f6g7h8"
  GITHUB_CLIENT_SECRET: "98z76y54x32w1"
EOF

È per dex-k8s-authenticator:

cat << EOF > values-auth.yml
global:
  deployEnv: prod
dexK8sAuthenticator:
  clusters:
  - name: k8s.example.com
    short_description: "k8s cluster"
    description: "Kubernetes cluster"
    issuer: https://dex.k8s.example.com/
    k8s_master_uri: https://api.k8s.example.com
    client_id: dex-k8s-authenticator
    client_secret: generatedLongRandomPhrase
    redirect_uri: https://login.k8s.example.com/callback/
    k8s_ca_pem: |
      -----BEGIN CERTIFICATE-----
      AAAAAAAAAAABBBBBBBBBBCCCCCC
      -----END CERTIFICATE-----
ingress:
  enabled: true
  annotations:
    kubernetes.io/ingress.class: nginx
    kubernetes.io/tls-acme: "true"
  path: /
  hosts:
    - login.k8s.example.com
  tls:
    - secretName: cert-auth-login
      hosts:
        - login.k8s.example.com
EOF

Installa Dex è dex-k8s-authenticator:

helm install -n dex --namespace kube-system --values values-dex.yml charts/dex
helm install -n dex-auth --namespace kube-system --values values-auth.yml charts/dex-k8s-authenticator

Cuntrollamu a funziunalità di i servizii (Dex deve rinvià u codice 400, è dex-k8s-authenticator deve rinvià u codice 200):

curl -sI https://dex.k8s.example.com/callback | head -1
HTTP/2 400
curl -sI https://login.k8s.example.com/ | head -1
HTTP/2 200

Cunfigurazione RBAC

Creemu un ClusterRole per u gruppu, in u nostru casu cù accessu di sola lettura:

cat << EOF | kubectl create -f -
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: cluster-read-all
rules:
  -
    apiGroups:
      - ""
      - apps
      - autoscaling
      - batch
      - extensions
      - policy
      - rbac.authorization.k8s.io
      - storage.k8s.io
    resources:
      - componentstatuses
      - configmaps
      - cronjobs
      - daemonsets
      - deployments
      - events
      - endpoints
      - horizontalpodautoscalers
      - ingress
      - ingresses
      - jobs
      - limitranges
      - namespaces
      - nodes
      - pods
      - pods/log
      - pods/exec
      - persistentvolumes
      - persistentvolumeclaims
      - resourcequotas
      - replicasets
      - replicationcontrollers
      - serviceaccounts
      - services
      - statefulsets
      - storageclasses
      - clusterroles
      - roles
    verbs:
      - get
      - watch
      - list
  - nonResourceURLs: ["*"]
    verbs:
      - get
      - watch
      - list
  - apiGroups: [""]
    resources: ["pods/exec"]
    verbs: ["create"]
EOF

Creemu una cunfigurazione per ClusterRoleBinding:

cat <<EOF | kubectl create -f -
apiVersion: rbac.authorization.k8s.io/v1beta1
kind: ClusterRoleBinding
metadata:
  name: dex-cluster-auth
  namespace: kube-system
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-read-all
subjects:
  kind: Group
  name: "super-org:team-red"
EOF

Avà simu pronti per a prova.

Testi

Andà à a pagina di login (https://login.k8s.example.com) è accede cù u vostru contu GitHub:

Autentificate in Kubernetes cù GitHub OAuth è Dex
Pagina di login

Autentificate in Kubernetes cù GitHub OAuth è Dex
Pagina di login rediretta à GitHub

Autentificate in Kubernetes cù GitHub OAuth è Dex
 Segui l'istruzzioni generati per avè accessu

Dopu à copia-incolla da a pagina web, pudemu usà kubectl per gestisce i nostri risorse di cluster:

kubectl get po
NAME                READY   STATUS    RESTARTS   AGE
mypod               1/1     Running   0          3d

kubectl delete po mypod
Error from server (Forbidden): pods "mypod" is forbidden: User "[email protected]" cannot delete pods in the namespace "default"

È funziona, tutti l'utilizatori di GitHub in a nostra urganizazione ponu vede risorse è log in pods, ma ùn anu micca diritti per cambià.

Source: www.habr.com

Add a comment