Réamhrá ar Údarú Kubernetes Consal Hashicorp

Sin ceart, tar éis scaoileadh Consal Hashicorp 1.5.0 ag tús mhí na Bealtaine 2019, sa Chonsal is féidir leat feidhmchláir agus seirbhísí atá ar siúl i Kubernetes a údarú ó dhúchas.

Sa rang teagaisc seo cruthóimid céim ar chéim POC (Cruthúnas coincheapa, PoC) ag léiriú an ghné nua seo. Táthar ag súil go mbeidh eolas bunúsach agat ar Kubernetes agus ar Chonsal Hashicorp. Cé gur féidir leat aon ardán néil nó timpeallacht ar an áitreabh a úsáid, úsáidfimid Cloud Platform Google sa rang teagaisc seo.

Athbhreithniú a dhéanamh ar

Má théann muid go dtí Doiciméadú Consal maidir lena mhodh údaraithe, gheobhaidh muid forbhreathnú tapa ar a chuspóir agus cás úsáide, chomh maith le roinnt sonraí teicniúla agus forbhreathnú ginearálta ar an loighic. Molaim go mór é a léamh uair amháin ar a laghad roimh dul ar aghaidh, mar beidh mé ag míniú agus ag coganta ar an iomlán anois.

Léaráid 1: Forbhreathnú oifigiúil ar an modh údaraithe Consal

Breathnaímid isteach doiciméadú le haghaidh modh údaraithe sonrach Kubernetes.

Cinnte, tá eolas úsáideach ann, ach níl aon treoir ann maidir le conas é a úsáid i ndáiríre. Mar sin, cosúil le haon duine ciallmhar, sciúrsálann tú an tIdirlíon le haghaidh treorach. Agus ansin ... Theipeann ort. Tarlaíonn sé. A ligean ar a shocrú seo.

Sula dtéann muid ar aghaidh chuig ár POC a chruthú, déanaimis dul ar ais chuig an forbhreathnú ar mhodhanna údaraithe Consal (Léaráid 1) agus é a bheachtú i gcomhthéacs Kubernetes.

ailtireacht

Sa rang teagaisc seo, cruthóimid freastalaí Consal ar mheaisín ar leith a dhéanfaidh cumarsáid le braisle Kubernetes leis an gcliant Consal atá suiteáilte. Cruthóimid ár bhfeidhmchlár caochadán ansin sa phod agus úsáidfimid ár modh údaraithe cumraithe chun léamh ónár stór eochair/luacha Consal.

Sonraíonn an léaráid thíos an ailtireacht atá á cruthú againn sa rang teagaisc seo, chomh maith leis an loighic taobh thiar den mhodh údaraithe, a mhíneofar níos déanaí.

Léaráid 2: Forbhreathnú ar Mhodh Údaraithe Kubernetes

Nóta tapa: ní gá don fhreastalaí Consal maireachtáil lasmuigh de bhraisle Kubernetes le go n-oibreoidh sé seo. Ach tá, is féidir leis é a dhéanamh ar an mbealach seo agus go.

Mar sin, ag tógáil léaráid forbhreathnú an Chonsail (Léaráid 1) agus ag cur Kubernetes i bhfeidhm air, faigheann muid an léaráid thuas (Léaráid 2), agus is é seo a leanas an loighic anseo:

1. Beidh cuntas seirbhíse ag gabháil le gach pod ina mbeidh comhartha JWT ginte agus ar a dtabharfar Kubernetes. Cuirtear an comhartha seo isteach sa pod freisin de réir réamhshocraithe.
2. Cuireann ár bhfeidhmchlár nó seirbhís taobh istigh den pod tús le hordú logáil isteach chuig ár gcliant Consal. Áireoidh an t-iarratas logáil isteach ár n-chomhartha agus ár n-ainm freisin cruthaithe go speisialta modh údaraithe (cineál Kubernetes). Freagraíonn an chéim seo #2 do chéim 1 den léaráid Consal (Scéim 1).
3. Cuirfidh ár gcliant Consal an t-iarratas seo ar aghaidh chuig ár bhfreastalaí Consal ansin.
4. Draíocht! Seo nuair a fhíoraíonn an freastalaí Consal barántúlacht an iarratais, bailíonn sé faisnéis faoi chéannacht na hiarrata agus ina gcuirtear i gcomparáid é le haon rialacha réamhshainithe gaolmhara. Anseo thíos tá léaráid eile chun é seo a léiriú. Freagraíonn an chéim seo do chéimeanna 3, 4 agus 5 de léaráid forbhreathnú an Chonsail (Léaráid 1).
5. Gineann ár bhfreastalaí Consal comhartha Consail le ceadanna de réir ár rialacha modh údaraithe sonraithe (a shainigh muid) maidir le céannacht an iarrthóra. Seolfaidh sé an comhartha sin ar ais ansin. Freagraíonn sé seo do chéim 6 den léaráid Consal (Léaráid 1).
6. Cuireann ár gcliant Consal an comhartha ar aghaidh chuig an iarratas nó an tseirbhís iarrthach.

Is féidir lenár bhfeidhmchlár nó seirbhís an comhartha Consal seo a úsáid anois chun cumarsáid a dhéanamh lenár sonraí Consal, mar a chinneann pribhléidí an chomhartha.

Nochtar an draíocht!

Dóibh siúd agaibh nach bhfuil sásta le coinín as hata agus ar mian leo a fháil amach conas a oibríonn sé... lig dom "a thaispeáint duit cé chomh domhain poll coinín'.

Mar a luadh níos luaithe, is é ár gcéim "draíochta" (Fíor 2: Céim 4) an áit a fhíordheimhníonn an freastalaí Consal an t-iarratas, a bhailíonn faisnéis faoin iarratas, agus a chuireann sé i gcomparáid le haon rialacha réamhshainithe gaolmhara. Freagraíonn an chéim seo do chéimeanna 3, 4 agus 5 de léaráid forbhreathnú an Chonsail (Léaráid 1). Anseo thíos tá léaráid (Léaráid 3), a bhfuil sé mar aidhm léi a thaispeáint go soiléir cad atá ag tarlú i ndáiríre faoi ​​na cochall modh údaraithe sonrach Kubernetes.

Léaráid 3: Nochtar an draíocht!

1. Mar phointe tosaigh, cuireann ár gcliant Consal an t-iarratas logáil isteach ar aghaidh chuig ár bhfreastalaí Consal le comhartha cuntais Kubernetes agus ainm shampla sonrach an mhodh údaraithe a cruthaíodh níos luaithe. Freagraíonn an chéim seo le céim 3 sa mhíniú ciorcad roimhe seo.
2. Anois ní mór don fhreastalaí Consal (nó an ceannaire) barántúlacht an chomhartha a fuarthas a fhíorú. Mar sin, rachaidh sé i gcomhairle le braisle Kubernetes (tríd an gcliant Consal) agus, leis na ceadanna cuí, gheobhaidh muid amach an bhfuil an comhartha fíor agus cé leis a mbaineann sé.
3. Seoltar an t-iarratas bailíochtaithe ar ais chuig an gceannaire Consal ansin, agus féachann an freastalaí Consal suas an t-ásc modh údaraithe leis an ainm sonraithe ón iarratas logáil isteach (agus cineál Kubernetes).
4. Aithníonn an ceannaire consal an modh údaraithe sonraithe ásc (má aimsítear é) agus léann sé an tsraith rialacha ceangailteacha a ghabhann leis. Léann sé na rialacha seo ansin agus cuireann sé i gcomparáid iad leis na tréithe aitheantais fíoraithe.
5. TA-dah! A ligean ar bogadh ar aghaidh go dtí céim 5 sa mhíniú ciorcad roimhe seo.

Rith freastalaí Consal ar mheaisín fíorúil rialta

As seo amach, beidh mé ag tabhairt treoracha den chuid is mó ar conas an POC seo a chruthú, go minic i bpointí urchair, gan míniúcháin iomlána ar phianbhreith. Chomh maith leis sin, mar a luadh níos luaithe, úsáidfidh mé GCP chun an bonneagar go léir a chruthú, ach is féidir leat an bonneagar céanna a chruthú in aon áit eile.

• Tosaigh an meaisín fíorúil (mar shampla / freastalaí).

• Cruthaigh riail don bhalla dóiteáin (grúpa slándála in AWS):
• Is maith liom an t-ainm meaisín céanna a shannadh don riail agus don chlib líonra araon, sa chás seo "skywiz-consul-server-poc".
• Aimsigh seoladh IP do ríomhaire áitiúil agus cuir leis an liosta seoltaí IP foinse é ionas gur féidir linn rochtain a fháil ar an gcomhéadan úsáideora (UI).
• Port oscailte 8500 le haghaidh Chomhéadain. Cliceáil Cruthaigh. Athróimid an balla dóiteáin seo arís go luath [nasc].
• Cuir riail balla dóiteáin leis an ásc. Téigh ar ais go dtí an painéal VM ar Fhreastalaí Consal agus cuir “skywiz-consul-server-poc” leis an réimse clibeanna líonra. Cliceáil Sábháil.

• Suiteáil Consal ar mheaisín fíorúil, seiceáil anseo. Cuimhnigh go bhfuil leagan Consal uait ≥ 1.5 [nasc]
• A ligean ar a chruthú Consal nód amháin - is é an chumraíocht mar seo a leanas.

groupadd --system consul
useradd -s /sbin/nologin --system -g consul consul
mkdir -p /var/lib/consul
chown -R consul:consul /var/lib/consul
chmod -R 775 /var/lib/consul
mkdir /etc/consul.d
chown -R consul:consul /etc/consul.d

• Le haghaidh treoir níos mionsonraithe ar shuiteáil Consal agus bunú braisle de 3 nóid, féach anseo.
• Cruthaigh comhad /etc/consul.d/agent.json mar seo a leanas [nasc]:

### /etc/consul.d/agent.json
{
 "acl" : {
 "enabled": true,
 "default_policy": "deny",
 "enable_token_persistence": true
 }
}

• Tosaigh ár bhfreastalaí Consal:

consul agent 
-server 
-ui 
-client 0.0.0.0 
-data-dir=/var/lib/consul 
-bootstrap-expect=1 
-config-dir=/etc/consul.d

• Ba cheart duit braon aschuir a fheiceáil agus "... nuashonrú bactha ag ACLs" sa deireadh.
• Faigh seoladh IP seachtrach an fhreastalaí Consal agus oscail brabhsálaí leis an seoladh IP seo ar phort 8500. Bí cinnte go n-osclaíonn an Chomhéadain.
• Bain triail as eochair/péire luacha a chur leis. Caithfidh botún a bheith ann. Tá sé seo amhlaidh toisc gur lódálamar an freastalaí Consal le ACL agus díchumasaíodh na rialacha go léir.
• Téigh ar ais go dtí do bhlaosc ar an bhfreastalaí Consal agus cuir tús leis an bpróiseas sa chúlra nó ar bhealach éigin eile chun é a reáchtáil agus cuir isteach na rudaí seo a leanas:

consul acl bootstrap

• Faigh an luach "SecretID" agus fill ar an Chomhéadain. Sa chluaisín ACL, cuir isteach ID rúnda an chomhartha a chóipeáil tú díreach. Cóipeáil SecretID áit éigin eile, beidh sé ag teastáil uainn níos déanaí.
• Anois cuir eochair/péire luach leis. Don POC seo, cuir an méid seo a leanas leis: eochair: “custom-ns/test_key”, luach: “Tá mé san fhillteán saincheaptha-ns!”

Ag seoladh braisle Kubernetes dár n-iarratas leis an gcliant Consal mar Daemonset

• Cruthaigh braisle K8s (Kubernetes). Cruthóimid é sa chrios céanna leis an bhfreastalaí le haghaidh rochtain níos tapúla, agus mar sin is féidir linn an subnet céanna a úsáid chun nascadh go héasca le seoltaí IP inmheánacha. Tabharfaimid "skywiz-app-with-consul-client-poc" air.

• Mar nóta taobh, seo teagaisc maith a tháinig mé trasna agus mé ag bunú braisle POC Consal le Consul Connect.
• Beimid ag baint úsáide as cairt helm Hashicorp freisin le comhad luachanna sínte.
• Suiteáil agus cumraigh Helm. Céimeanna cumraíochta:

kubectl create serviceaccount tiller --namespace kube-system
kubectl create clusterrolebinding tiller-admin-binding 
   --clusterrole=cluster-admin --serviceaccount=kube-system:tiller
./helm init --service-account=tiller
./helm update

• chairt stiúrtha: https://www.consul.io/docs/platform/k8s/helm.html
• Bain úsáid as an gcomhad luacha seo a leanas (nóta is mó a dhíchumasaigh mé):

### poc-helm-consul-values.yaml
global:
 enabled: false
 image: "consul:latest"
# Expose the Consul UI through this LoadBalancer
ui:
 enabled: false
# Allow Consul to inject the Connect proxy into Kubernetes containers
connectInject:
 enabled: false
# Configure a Consul client on Kubernetes nodes. GRPC listener is required for Connect.
client:
 enabled: true
 join: ["<PRIVATE_IP_CONSUL_SERVER>"]
 extraConfig: |
{
  "acl" : {
 "enabled": true,   
 "default_policy": "deny",   
 "enable_token_persistence": true 
  }
}
# Minimal Consul configuration. Not suitable for production.
server:
 enabled: false
# Sync Kubernetes and Consul services
syncCatalog:
 enabled: false

• Cuir cairt stiúrtha i bhfeidhm:

./helm install -f poc-helm-consul-values.yaml ./consul-helm - name skywiz-app-with-consul-client-poc

• Nuair a dhéanann sé iarracht rith, beidh ceadanna ag teastáil ón bhfreastalaí Consal, mar sin cuirimis iad.
• Tabhair faoi deara an “Raon Seoladh Pod” atá suite ar an deais braisle agus déan tagairt siar go dtí ár riail balla dóiteáin “skywiz-consul-server-poc”.
• Cuir an raon seoltaí don pod leis an liosta seoltaí IP agus calafoirt oscailte 8301 agus 8300.

• Téigh go dtí an Chomhéadain Consal agus tar éis cúpla nóiméad feicfidh tú ár mbraisle le feiceáil sa chluaisín nóid.

Modh Údaraithe a Chumrú trí Chonsal a Chomhtháthú le Kubernetes

• Fill ar bhlaosc an fhreastalaí Consal agus easpórtáil an comhartha a shábháil tú níos luaithe:

export CONSUL_HTTP_TOKEN=<SecretID>

• Beidh faisnéis ónár mbraisle Kubernetes ag teastáil uainn chun sampla de mhodh an údair a chruthú:
• kubernetes-óstach

kubectl get endpoints | grep kubernetes

• kubernetes-seirbhís-cuntas-jwt

kubectl get sa <helm_deployment_name>-consul-client -o yaml | grep "- name:"
kubectl get secret <secret_name_from_prev_command> -o yaml | grep token:

• Tá an comhartha ionchódaithe base64, mar sin díchriptigh ag baint úsáide as an uirlis is fearr leat [nasc]
• kubernetes-ca-cert

kubectl get secret <secret_name_from_prev_command> -o yaml | grep ca.crt:

• Glac an teastas “ca.crt” (tar éis díchódaithe base64) agus scríobh isteach sa chomhad “ca.crt” é.
• Anois cuir modh an údair ar an toirt, ag cur na luachanna a fuair tú díreach in ionad na sealbhóirí áite.

consul acl auth-method create 
-type "kubernetes" 
-name "auth-method-skywiz-consul-poc" 
-description "This is an auth method using kubernetes for the cluster skywiz-app-with-consul-client-poc" 
-kubernetes-host "<k8s_endpoint_retrieved earlier>" 
[email protected] 
-kubernetes-service-account-
jwt="<decoded_token_retrieved_earlier>"

• Ansin caithfimid riail a chruthú agus í a cheangal leis an ról nua. Don chuid seo is féidir leat Consal UI a úsáid, ach úsáidfimid an líne ordaithe.
• Scríobh riail

### kv-custom-ns-policy.hcl
key_prefix "custom-ns/" {
 policy = "write"
}

• Cuir an riail i bhfeidhm

consul acl policy create 
-name kv-custom-ns-policy 
-description "This is an example policy for kv at custom-ns/" 
-rules @kv-custom-ns-policy.hcl

• Faigh ID na rialach a chruthaigh tú díreach ón aschur.
• Cruthaigh ról le riail nua.

consul acl role create 
-name "custom-ns-role" 
-description "This is an example role for custom-ns namespace" 
-policy-id <policy_id>

• Anois déanfaimid ár ról nua a nascadh le cás mhodh an údaráis. Tabhair faoi deara go gcinnfidh an bhratach "roghnóra" an bhfaighidh ár n-iarratas logáil isteach an ról seo. Seiceáil anseo le haghaidh roghanna roghnóir eile: https://www.consul.io/docs/acl/auth-methods/kubernetes.html#trusted-identity-attributes

consul acl binding-rule create 
-method=auth-method-skywiz-consul-poc 
-bind-type=role 
-bind-name='custom-ns-role' 
-selector='serviceaccount.namespace=="custom-ns"'

Ar deireadh cumraíochtaí

Cearta rochtana

• Cruthaigh cearta rochtana. Ní mór dúinn cead a thabhairt don Chonsal chun aitheantas an chomhartha cuntais seirbhíse K8s a fhíorú agus a aithint.
• Scríobh an méid seo a leanas chuig an gcomhad [nasc]:

###skywiz-poc-consul-server_rbac.yaml
---
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
 name: review-tokens
 namespace: default
subjects:
- kind: ServiceAccount
 name: skywiz-app-with-consul-client-poc-consul-client
 namespace: default
roleRef:
 kind: ClusterRole
 name: system:auth-delegator
 apiGroup: rbac.authorization.k8s.io
---
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
 name: service-account-getter
 namespace: default
rules:
- apiGroups: [""]
 resources: ["serviceaccounts"]
 verbs: ["get"]
---
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
 name: get-service-accounts
 namespace: default
subjects:
- kind: ServiceAccount
 name: skywiz-app-with-consul-client-poc-consul-client
 namespace: default
roleRef:
 kind: ClusterRole
 name: service-account-getter
 apiGroup: rbac.authorization.k8s.io

• Cruthaímid cearta rochtana

kubectl create -f skywiz-poc-consul-server_rbac.yaml

Ceangal le Cliant Consal

• Mar a tugadh faoi deara anseoTá roinnt roghanna ann maidir le nascadh le daemonset, ach bogfaimid ar aghaidh chuig an réiteach simplí seo a leanas:
• Cuir an comhad seo a leanas i bhfeidhm [nasc].

### poc-consul-client-ds-svc.yaml
apiVersion: v1
kind: Service
metadata:
 name: consul-ds-client
spec:
 selector:
   app: consul
   chart: consul-helm
   component: client
   hasDNS: "true"
   release: skywiz-app-with-consul-client-poc
 ports:
 - protocol: TCP
   port: 80
   targetPort: 8500

• Ansin bain úsáid as an ordú insuite seo a leanas chun configmap a chruthú [nasc]. Tabhair faoi deara le do thoil go bhfuil muid ag tagairt d'ainm ár seirbhíse, cuir in ionad é más gá.

cat <<EOF | kubectl apply -f -
apiVersion: v1
kind: ConfigMap
metadata:
 labels:
   addonmanager.kubernetes.io/mode: EnsureExists
 name: kube-dns
 namespace: kube-system
data:
 stubDomains: |
   {"consul": ["$(kubectl get svc consul-ds-client -o jsonpath='{.spec.clusterIP}')"]}
EOF

Modh an údar a thástáil

Anois, a ligean ar a fheiceáil ar an draíocht i ngníomh!

• Cruthaigh roinnt fillteán eochrach eile leis an eochair ardleibhéil chéanna (i.e. /sample_key) agus luach de do rogha féin. Polasaithe agus róil chuí a chruthú do phríomhbhealaí nua. Déanfaimid na ceangail níos déanaí.

Tástáil ainmspáis saincheaptha:

• Cruthaimis ár n-ainmspás féin:

kubectl create namespace custom-ns

• Déanaimis pod a chruthú inár n-ainmspás nua. Scríobh cumraíocht an phota.

###poc-ubuntu-custom-ns.yaml
apiVersion: v1
kind: Pod
metadata:
 name: poc-ubuntu-custom-ns
 namespace: custom-ns
spec:
 containers:
 - name: poc-ubuntu-custom-ns
   image: ubuntu
   command: ["/bin/bash", "-ec", "sleep infinity"]
 restartPolicy: Never

• Cruthaigh faoi:

kubectl create -f poc-ubuntu-custom-ns.yaml

• Nuair a bheidh an coimeádán ag rith, téigh ann agus cuir curl a shuiteáil.

kubectl exec poc-ubuntu-custom-ns -n custom-ns -it /bin/bash
apt-get update && apt-get install curl -y

• Anois seolfaimid iarratas logáil isteach chuig Consal ag baint úsáide as an modh údaraithe a chruthaigh muid níos luaithe [nasc].
• Chun an comhartha iontrála a fheiceáil ó do chuntas seirbhíse:

cat /run/secrets/kubernetes.io/serviceaccount/token

• Scríobh an méid seo a leanas chuig comhad laistigh den choimeádán:

### payload.json
{
 "AuthMethod": "auth-method-test",
 "BearerToken": "<jwt_token>"
}

• Logáil isteach!

curl 
--request POST 
--data @payload.json 
consul-ds-client.default.svc.cluster.local/v1/acl/login

• Chun na céimeanna thuas a chur i gcrích in aon líne amháin (toisc go mbeidh tástálacha iolracha á rith againn), is féidir leat na rudaí seo a leanas a dhéanamh:

echo "{ 
"AuthMethod": "auth-method-skywiz-consul-poc", 
"BearerToken": "$(cat /run/secrets/kubernetes.io/serviceaccount/token)" 
}" 
| curl 
--request POST 
--data @- 
consul-ds-client.default.svc.cluster.local/v1/acl/login

• Oibríonn! Ar a laghad ba chóir. Anois tóg an SecretID agus déan iarracht rochtain a fháil ar an eochair/luach ar cheart dúinn rochtain a fháil air.

curl 
consul-ds-client.default.svc.cluster.local/v1/kv/custom-ns/test_key --header “X-Consul-Token: <SecretID_from_prev_response>”

• Is féidir leat "Luach" a dhíchódú base64 agus a fheiceáil go bhfuil sé ag teacht leis an luach in custom-ns/test_key san Chomhéadain. Dá mbainfeá úsáid as an luach céanna thuas sa rang teagaisc seo, is é an luach ionchódaithe a bheadh ​​agat ná IkknbSBpbiB0aGUgY3VzdG9tLW5zIGZvbGRlciEi.

Tástáil chuntas seirbhíse úsáideora:

• Cruthaigh Cuntas Seirbhíse saincheaptha leis an ordú seo a leanas [nasc].

kubectl apply -f - <<EOF
apiVersion: v1
kind: ServiceAccount
metadata:
 name: custom-sa
EOF

• Cruthaigh comhad cumraíochta nua don phod. Tabhair faoi deara le do thoil gur chuir mé suiteáil curl san áireamh chun saothair a shábháil :)

###poc-ubuntu-custom-sa.yaml
apiVersion: v1
kind: Pod
metadata:
 name: poc-ubuntu-custom-sa
 namespace: default
spec:
 serviceAccountName: custom-sa
 containers:
 - name: poc-ubuntu-custom-sa
   image: ubuntu
   command: ["/bin/bash","-ec"]
   args: ["apt-get update && apt-get install curl -y; sleep infinity"]
 restartPolicy: Never

• Tar éis sin, reáchtáil bhlaosc taobh istigh den choimeádán.

kubectl exec -it poc-ubuntu-custom-sa /bin/bash

• Logáil isteach!

echo "{ 
"AuthMethod": "auth-method-skywiz-consul-poc", 
"BearerToken": "$(cat /run/secrets/kubernetes.io/serviceaccount/token)" 
}" 
| curl 
--request POST 
--data @- 
consul-ds-client.default.svc.cluster.local/v1/acl/login

• Cead diúltaithe. Ó, rinneamar dearmad rialacha nua a chur leis ceangailteach leis na ceadanna cuí, déanaimis é sin anois.

Déan na céimeanna roimhe seo thuas arís:
a) Cruthaigh Beartas comhionann don réimír “custom-sa/”.
b) Cruthaigh Ról, cuir “custom-sa-role” air
c) An Beartas a cheangal leis an Ról.

• Cruthaigh Ceangaltán Riail (ní féidir ach ó cli/api). Tabhair faoi deara an bhrí éagsúil atá le bratach an roghnóir.

consul acl binding-rule create 
-method=auth-method-skywiz-consul-poc 
-bind-type=role 
-bind-name='custom-sa-role' 
-selector='serviceaccount.name=="custom-sa"'

• Logáil isteach arís ón gcoimeádán "poc-ubuntu-custom-sa". Rath!
• Seiceáil ár rochtain ar an gcosán saincheaptha-sa/ eochair.

curl 
consul-ds-client.default.svc.cluster.local/v1/kv/custom-sa/test_key --header “X-Consul-Token: <SecretID>”

• Is féidir leat a chinntiú freisin nach dtugann an comhartha seo rochtain ar kv in "custom-ns/". Déan an t-ordú thuas arís tar éis an réimír "custom-ns" a chur in ionad "custom-sa".
  Cead diúltaithe.

Sampla forleagan:

• Is fiú a thabhairt faoi deara go gcuirfear gach léarscáil ceangailteach rialacha leis an comhartha leis na cearta seo.
• Tá ár gcoimeádán "poc-ubuntu-custom-sa" san ainmspás réamhshocraithe - mar sin déanaimis é a úsáid le haghaidh rialacha ceangailteach eile.
• Déan na céimeanna roimhe seo arís:
  a) Cruthaigh Beartas comhionann don phríomhréimír “réamhshocraithe/”.
  b) Cruthaigh Ról, ainmnigh “réamhshocraithe-ról” é
  c) An Beartas a cheangal leis an Ról.
• Cruthaigh Ceangaltán Riail (ní féidir ach ó cli/api)

consul acl binding-rule create 
-method=auth-method-skywiz-consul-poc 
-bind-type=role 
-bind-name='default-ns-role' 
-selector='serviceaccount.namespace=="default"'

• Téigh ar ais chuig ár gcoimeádán "poc-ubuntu-custom-sa" agus déan iarracht rochtain a fháil ar an gcosán kv "réamhshocraithe/".
• Cead diúltaithe.
  Is féidir leat na dintiúir sonraithe do gach comhartha san Chomhéadain a fheiceáil faoi ACL > Comharthaí. Mar is féidir leat a fheiceáil, níl ach “custom-sa-ról” amháin ag gabháil lenár chomhartha reatha. Gineadh an comhartha atá á úsáid againn faoi láthair nuair a logáileamar isteach agus ní raibh ach aon cheangal rialacha amháin a bhí ag teacht leis an tráth sin. Caithfimid logáil isteach arís agus an comhartha nua a úsáid.
• Bí cinnte gur féidir leat léamh ó na cosáin kv "custom-sa/" agus "réamhshocraithe/" araon.
  Rath!
  Tá sé seo amhlaidh toisc go meaitseálann ár “poc-ubuntu-custom-sa” na ceangail rialacha “custom-sa” agus “default-ns”.

Conclúid

mgmt comhartha TTL?

Tráth na scríbhneoireachta seo, níl aon bhealach comhtháite ann chun an TTL le haghaidh comharthaí a ghineann an modh údaraithe seo a chinneadh. Deis iontach a bheadh ​​ann uathoibriú slán údaraithe Consal a sholáthar.

Tá rogha ann comhartha a chruthú de láimh le TTL:

• https://www.consul.io/docs/acl/acl-system.html#acl-tokens
  Am Éaga - An t-am ag a ndéanfar an comhartha seo a chúlghairm. (Roghnach; curtha leis i gConsal 1.5.0)
• Níl ann ach le haghaidh cruthú/nuashonraithe láimhe amháin https://www.consul.io/api/acl/tokens.html#expirationtime

Táthar ag súil go mbeidh muid in ann go luath amach anseo a rialú conas a ghintear comharthaí (de réir riail nó modh údaraithe) agus cuir TTL leis.

Go dtí sin, moltar duit críochphointe logála a úsáid i do loighic.

• https://www.consul.io/api/acl/acl.html#logout-from-auth-method
• https://www.consul.io/docs/acl/acl-auth-methods.html#overall-login-process

Léigh ailt eile ar ár mblag freisin:

• Cad a d’eascair as an aistriú ó ClickHouse gan údarú go ClickHouse le húdarú?
• Conas il-phíblínte a rith ag baint úsáide as GitLab CI/CD
• Trí Seifteanna Simplí chun Íomhánna Docker a Laghdú
• Traefik mar rialtóir Ingress do K8S
• Cúltaca ar líon mór tionscadal gréasáin ilchineálach
• Telegram bot do Redmine. Conas an saol a shimpliú duit féin agus do dhaoine eile

Foinse: will.com