🥇હાશિકોર્પ કોન્સ્યુલના કુબરનેટ્સ ઓથોરાઇઝેશનનો પરિચય

તે સાચું છે, પ્રકાશન પછી હાશિકોર્પ કોન્સલ 1.5.0 મે 2019 ની શરૂઆતમાં, કોન્સ્યુલમાં તમે કુબરનેટ્સમાં સ્થાનિક રીતે ચાલતી એપ્લિકેશનો અને સેવાઓને અધિકૃત કરી શકો છો.

આ ટ્યુટોરીયલમાં આપણે સ્ટેપ બાય સ્ટેપ બનાવીશું પીઓસી (પ્રૂફ ઓફ કોન્સેપ્ટ, PoC) આ નવી સુવિધાનું નિદર્શન કરે છે. તમારી પાસે કુબરનેટ્સ અને હાશિકોર્પના કોન્સ્યુલનું મૂળભૂત જ્ઞાન હોવાની અપેક્ષા છે. જ્યારે તમે કોઈપણ ક્લાઉડ પ્લેટફોર્મ અથવા ઓન-પ્રિમિસીસ પર્યાવરણનો ઉપયોગ કરી શકો છો, આ ટ્યુટોરીયલમાં અમે Google ના ક્લાઉડ પ્લેટફોર્મનો ઉપયોગ કરીશું.

ઝાંખી

જો આપણે જઈએ તેની અધિકૃતતા પદ્ધતિ પર કોન્સ્યુલ દસ્તાવેજીકરણ, અમે તેના હેતુ અને ઉપયોગના કેસની ઝડપી ઝાંખી, તેમજ કેટલીક તકનીકી વિગતો અને તર્કની સામાન્ય ઝાંખી મેળવીશું. હું આગળ વધતા પહેલા ઓછામાં ઓછા એક વખત તેને વાંચવાની ખૂબ ભલામણ કરું છું, કારણ કે હવે હું તે બધું સમજાવીશ અને ચાવીશ.

આકૃતિ 1: કોન્સ્યુલ અધિકૃતતા પદ્ધતિની સત્તાવાર ઝાંખી

ચાલો અંદર જોઈએ ચોક્કસ Kubernetes અધિકૃતતા પદ્ધતિ માટે દસ્તાવેજીકરણ.

ચોક્કસ, ત્યાં ઉપયોગી માહિતી છે, પરંતુ તે બધાનો વાસ્તવમાં કેવી રીતે ઉપયોગ કરવો તે અંગે કોઈ માર્ગદર્શિકા નથી. તેથી, કોઈપણ સમજદાર વ્યક્તિની જેમ, તમે માર્ગદર્શન માટે ઈન્ટરનેટનો ઉપયોગ કરો છો. અને પછી... તમે નિષ્ફળ થશો. તે થાય છે. ચાલો આને ઠીક કરીએ.

અમે અમારા POC બનાવવા પર આગળ વધીએ તે પહેલાં, ચાલો કોન્સ્યુલની અધિકૃતતા પદ્ધતિઓ (ડાયાગ્રામ 1) ની ઝાંખી પર પાછા જઈએ અને તેને કુબરનેટ્સના સંદર્ભમાં સુધારીએ.

સ્થાપત્ય

આ ટ્યુટોરીયલમાં, અમે એક અલગ મશીન પર કોન્સ્યુલ સર્વર બનાવીશું જે કોન્સ્યુલ ક્લાયન્ટ ઇન્સ્ટોલ કરેલા કુબરનેટ્સ ક્લસ્ટર સાથે વાતચીત કરશે. પછી અમે પોડમાં અમારી ડમી એપ્લિકેશન બનાવીશું અને અમારી કોન્સુલ કી/વેલ્યુ સ્ટોરમાંથી વાંચવા માટે અમારી ગોઠવેલી અધિકૃતતા પદ્ધતિનો ઉપયોગ કરીશું.

નીચેનો આકૃતિ આ ટ્યુટોરીયલમાં આપણે જે આર્કિટેક્ચર બનાવી રહ્યા છીએ તેની વિગતો આપે છે, તેમજ ઓથોરાઈઝેશન પદ્ધતિ પાછળનો તર્ક પણ છે, જે પછીથી સમજાવવામાં આવશે.

ડાયાગ્રામ 2: કુબરનેટ્સ ઓથોરાઇઝેશન મેથડ વિહંગાવલોકન

એક ઝડપી નોંધ: આ કામ કરવા માટે કોન્સલ સર્વરને કુબરનેટ્સ ક્લસ્ટરની બહાર રહેવાની જરૂર નથી. પણ હા, તે આ રીતે અને તે રીતે કરી શકે છે.

તેથી, કોન્સ્યુલ ઓવરવ્યુ ડાયાગ્રામ (ડાયાગ્રામ 1) ને લઈને અને તેના પર કુબરનેટ્સ લાગુ કરવાથી, અમને ઉપરનો આકૃતિ મળે છે (ડાયાગ્રામ 2), અને અહીંનો તર્ક નીચે મુજબ છે:

દરેક પોડ તેની સાથે જોડાયેલ એક સેવા ખાતું હશે જેમાં કુબરનેટ્સ દ્વારા જનરેટ કરાયેલ અને જાણીતું JWT ટોકન હશે. આ ટોકન પણ મૂળભૂત રીતે પોડમાં દાખલ કરવામાં આવે છે.
પોડની અંદર અમારી એપ્લિકેશન અથવા સેવા અમારા કોન્સ્યુલ ક્લાયન્ટને લોગિન આદેશ શરૂ કરે છે. લોગિન વિનંતીમાં અમારા ટોકન અને નામનો પણ સમાવેશ થશે ખાસ બનાવેલ છે અધિકૃતતા પદ્ધતિ (કુબરનેટ્સ પ્રકાર). આ પગલું #2 કોન્સલ ડાયાગ્રામ (સ્કીમ 1) ના પગલું 1 ને અનુરૂપ છે.
અમારા કોન્સ્યુલ ક્લાયંટ પછી આ વિનંતી અમારા કોન્સ્યુલ સર્વરને ફોરવર્ડ કરશે.
મેજિક! આ તે છે જ્યાં કોન્સ્યુલ સર્વર વિનંતીની અધિકૃતતાની ચકાસણી કરે છે, વિનંતીની ઓળખ વિશેની માહિતી એકત્રિત કરે છે અને તેની તુલના કોઈપણ સંબંધિત પૂર્વવ્યાખ્યાયિત નિયમો સાથે કરે છે. આને સમજાવવા માટે નીચે અન્ય આકૃતિ છે. આ પગલું કોન્સલ ઓવરવ્યુ ડાયાગ્રામ (ડાયાગ્રામ 3) ના પગલાં 4, 5 અને 1 ને અનુરૂપ છે.
અમારું કોન્સ્યુલ સર્વર વિનંતીકર્તાની ઓળખ સંબંધિત અમારા નિર્દિષ્ટ અધિકૃતતા પદ્ધતિ નિયમો (જે અમે વ્યાખ્યાયિત કર્યું છે) અનુસાર પરવાનગીઓ સાથે કન્સ્યુલ ટોકન જનરેટ કરે છે. તે પછી તે ટોકન પાછું મોકલશે. આ કોન્સલ ડાયાગ્રામ (ડાયાગ્રામ 6) ના સ્ટેપ 1 ને અનુરૂપ છે.
અમારા કોન્સ્યુલ ક્લાયન્ટ વિનંતી કરતી અરજી અથવા સેવાને ટોકન ફોરવર્ડ કરે છે.

અમારી એપ્લિકેશન અથવા સેવા હવે આ કોન્સલ ટોકનનો ઉપયોગ અમારા કોન્સ્યુલ ડેટા સાથે વાતચીત કરવા માટે કરી શકે છે, જેમ કે ટોકનના વિશેષાધિકારો દ્વારા નિર્ધારિત કરવામાં આવે છે.

જાદુ પ્રગટ થાય છે!

તમારામાંના જેઓ ટોપીમાંથી માત્ર સસલાથી ખુશ નથી અને તે કેવી રીતે કામ કરે છે તે જાણવા માગે છે... ચાલો હું તમને બતાવું કે કેટલું ઊંડું સસલું છિદ્ર».

અગાઉ સૂચવ્યા મુજબ, અમારું "જાદુઈ" પગલું (આકૃતિ 2: પગલું 4) એ છે જ્યાં કોન્સ્યુલ સર્વર વિનંતીને પ્રમાણિત કરે છે, વિનંતી વિશેની માહિતી એકત્રિત કરે છે અને તેની તુલના કોઈપણ સંબંધિત પૂર્વવ્યાખ્યાયિત નિયમો સાથે કરે છે. આ પગલું કોન્સલ ઓવરવ્યુ ડાયાગ્રામ (ડાયાગ્રામ 3) ના પગલાં 4, 5 અને 1 ને અનુરૂપ છે. નીચે એક આકૃતિ છે (આકૃતિ 3), જેનો હેતુ ખરેખર શું થઈ રહ્યું છે તે સ્પષ્ટપણે બતાવવાનો છે હૂડ હેઠળ ચોક્કસ કુબરનેટ્સ અધિકૃતતા પદ્ધતિ.

આકૃતિ 3: જાદુ પ્રગટ થયો!

પ્રારંભિક બિંદુ તરીકે, અમારા કોન્સ્યુલ ક્લાયન્ટ અમારા કોન્સ્યુલ સર્વર પર લૉગિન વિનંતીને કુબરનેટ્સ એકાઉન્ટ ટોકન અને અગાઉ બનાવવામાં આવેલી અધિકૃત પદ્ધતિના ચોક્કસ ઉદાહરણના નામ સાથે ફોરવર્ડ કરે છે. આ પગલું અગાઉના સર્કિટ સમજૂતીમાં પગલું 3 ને અનુરૂપ છે.
હવે કોન્સ્યુલ સર્વર (અથવા નેતા) એ પ્રાપ્ત ટોકનની અધિકૃતતા ચકાસવાની જરૂર છે. તેથી, તે કુબરનેટ્સ ક્લસ્ટરનો સંપર્ક કરશે (કોન્સ્યુલ ક્લાયન્ટ દ્વારા) અને, યોગ્ય પરવાનગીઓ સાથે, અમે શોધીશું કે ટોકન અસલી છે કે કેમ અને તે કોનું છે.
માન્ય કરેલ વિનંતી પછી કોન્સ્યુલ લીડરને પરત કરવામાં આવે છે, અને કોન્સ્યુલ સર્વર લોગિન વિનંતી (અને કુબરનેટ્સ પ્રકાર) માંથી ઉલ્લેખિત નામ સાથે અધિકૃતતા પદ્ધતિ દાખલા જુએ છે.
કોન્સ્યુલ લીડર સ્પષ્ટ કરેલ અધિકૃતતા પદ્ધતિ દાખલા (જો મળે તો) ઓળખે છે અને તેની સાથે જોડાયેલા બંધનકર્તા નિયમોના સમૂહને વાંચે છે. તે પછી આ નિયમો વાંચે છે અને ચકાસાયેલ ઓળખ વિશેષતાઓ સાથે તેની તુલના કરે છે.
ટીએ-ડાહ! ચાલો અગાઉના સર્કિટ સમજૂતીમાં પગલું 5 પર આગળ વધીએ.

નિયમિત વર્ચ્યુઅલ મશીન પર કોન્સલ-સર્વર ચલાવો

હવેથી, હું મોટે ભાગે આ પીઓસી કેવી રીતે બનાવવું તેના પર સૂચનાઓ આપીશ, ઘણી વખત બુલેટ પોઈન્ટમાં, સંપૂર્ણ વાક્ય સ્પષ્ટતા વિના. ઉપરાંત, અગાઉ નોંધ્યું તેમ, હું તમામ ઈન્ફ્રાસ્ટ્રક્ચર બનાવવા માટે GCP નો ઉપયોગ કરીશ, પરંતુ તમે તે જ ઈન્ફ્રાસ્ટ્રક્ચર બીજે ક્યાંય પણ બનાવી શકો છો.

વર્ચ્યુઅલ મશીન શરૂ કરો (ઇન્સ્ટન્સ/સર્વર).

ફાયરવોલ માટે એક નિયમ બનાવો (AWS માં સુરક્ષા જૂથ):
હું નિયમ અને નેટવર્ક ટૅગ બંનેને સમાન મશીન નામ સોંપવાનું પસંદ કરું છું, આ કિસ્સામાં "skywiz-consul-server-poc".
તમારા સ્થાનિક કમ્પ્યુટરનું IP સરનામું શોધો અને તેને સ્રોત IP સરનામાઓની સૂચિમાં ઉમેરો જેથી અમે વપરાશકર્તા ઇન્ટરફેસ (UI) ને ઍક્સેસ કરી શકીએ.
UI માટે પોર્ટ 8500 ખોલો. બનાવો પર ક્લિક કરો. અમે આ ફાયરવોલને ટૂંક સમયમાં બદલીશું [ссылка].
દાખલામાં ફાયરવોલ નિયમ ઉમેરો. કોન્સલ સર્વર પર VM ડેશબોર્ડ પર પાછા જાઓ અને નેટવર્ક ટૅગ ફીલ્ડમાં "skywiz-consul-server-poc" ઉમેરો. સેવ પર ક્લિક કરો.

વર્ચ્યુઅલ મશીન પર કોન્સ્યુલ ઇન્સ્ટોલ કરો, અહીં તપાસો. યાદ રાખો કે તમારે કોન્સ્યુલ વર્ઝન ≥ 1.5ની જરૂર છે [લિંક]
ચાલો એક નોડ કોન્સ્યુલ બનાવીએ - રૂપરેખાંકન નીચે મુજબ છે.

groupadd --system consul
useradd -s /sbin/nologin --system -g consul consul
mkdir -p /var/lib/consul
chown -R consul:consul /var/lib/consul
chmod -R 775 /var/lib/consul
mkdir /etc/consul.d
chown -R consul:consul /etc/consul.d

કોન્સ્યુલ ઇન્સ્ટોલ કરવા અને 3 નોડ્સનું ક્લસ્ટર સેટ કરવા વિશે વધુ વિગતવાર માર્ગદર્શિકા માટે, જુઓ અહીં.
નીચે પ્રમાણે ફાઇલ /etc/consul.d/agent.json બનાવો [ссылка]:

### /etc/consul.d/agent.json
{
 "acl" : {
 "enabled": true,
 "default_policy": "deny",
 "enable_token_persistence": true
 }
}

અમારું કોન્સ્યુલ સર્વર શરૂ કરો:

consul agent 
-server 
-ui 
-client 0.0.0.0 
-data-dir=/var/lib/consul 
-bootstrap-expect=1 
-config-dir=/etc/consul.d

તમારે આઉટપુટનો સમૂહ જોવો જોઈએ અને "... ACLs દ્વારા અવરોધિત અપડેટ" સાથે સમાપ્ત થવું જોઈએ.
કોન્સલ સર્વરનું બાહ્ય IP સરનામું શોધો અને પોર્ટ 8500 પર આ IP સરનામા સાથેનું બ્રાઉઝર ખોલો. ખાતરી કરો કે UI ખુલે છે.
કી/મૂલ્યની જોડી ઉમેરવાનો પ્રયાસ કરો. કોઈ ભૂલ હોવી જોઈએ. આ એટલા માટે છે કારણ કે અમે કોન્સલ સર્વરને ACL સાથે લોડ કર્યું છે અને તમામ નિયમોને અક્ષમ કર્યા છે.
કોન્સ્યુલ સર્વર પર તમારા શેલ પર પાછા જાઓ અને તેને ચલાવવા માટે પૃષ્ઠભૂમિમાં અથવા અન્ય કોઈ રીતે પ્રક્રિયા શરૂ કરો અને નીચેના દાખલ કરો:

consul acl bootstrap

"SecretID" મૂલ્ય શોધો અને UI પર પાછા ફરો. ACL ટૅબમાં, તમે હમણાં કૉપિ કરેલ ટોકનનું ગુપ્ત ID દાખલ કરો. SecretID ને બીજે ક્યાંક કોપી કરો, અમને પછીથી તેની જરૂર પડશે.
હવે કી/મૂલ્યની જોડી ઉમેરો. આ POC માટે, નીચેની ઉમેરો: કી: “custom-ns/test_key”, મૂલ્ય: “હું custom-ns ફોલ્ડરમાં છું!”

ડેમનસેટ તરીકે કોન્સ્યુલ ક્લાયન્ટ સાથે અમારી એપ્લિકેશન માટે કુબરનેટ્સ ક્લસ્ટર શરૂ કરી રહ્યાં છીએ

K8s (Kubernetes) ક્લસ્ટર બનાવો. અમે તેને ઝડપી ઍક્સેસ માટે સર્વર જેવા જ ઝોનમાં બનાવીશું, અને તેથી અમે આંતરિક IP સરનામાઓ સાથે સરળતાથી કનેક્ટ થવા માટે સમાન સબનેટનો ઉપયોગ કરી શકીએ છીએ. અમે તેને "skywiz-app-with-consul-client-poc" કહીશું.

બાજુની નોંધ તરીકે, અહીં એક સારું ટ્યુટોરીયલ છે જે મને Consul Connect સાથે POC કોન્સલ ક્લસ્ટર સેટ કરતી વખતે મળ્યું.
અમે વિસ્તૃત મૂલ્યોની ફાઇલ સાથે હાશિકોર્પ હેલ્મ ચાર્ટનો પણ ઉપયોગ કરીશું.
હેલ્મ ઇન્સ્ટોલ અને ગોઠવો. રૂપરેખાંકન પગલાં:

kubectl create serviceaccount tiller --namespace kube-system
kubectl create clusterrolebinding tiller-admin-binding 
   --clusterrole=cluster-admin --serviceaccount=kube-system:tiller
./helm init --service-account=tiller
./helm update

સુકાન ચાર્ટ: https://www.consul.io/docs/platform/k8s/helm.html
નીચેની વેલ્યુ ફાઇલનો ઉપયોગ કરો (નોંધ મેં સૌથી વધુ અક્ષમ કરી છે):

### poc-helm-consul-values.yaml
global:
 enabled: false
 image: "consul:latest"
# Expose the Consul UI through this LoadBalancer
ui:
 enabled: false
# Allow Consul to inject the Connect proxy into Kubernetes containers
connectInject:
 enabled: false
# Configure a Consul client on Kubernetes nodes. GRPC listener is required for Connect.
client:
 enabled: true
 join: ["<PRIVATE_IP_CONSUL_SERVER>"]
 extraConfig: |
{
  "acl" : {
 "enabled": true,   
 "default_policy": "deny",   
 "enable_token_persistence": true 
  }
}
# Minimal Consul configuration. Not suitable for production.
server:
 enabled: false
# Sync Kubernetes and Consul services
syncCatalog:
 enabled: false

સુકાન ચાર્ટ લાગુ કરો:

./helm install -f poc-helm-consul-values.yaml ./consul-helm - name skywiz-app-with-consul-client-poc

જ્યારે તે ચલાવવાનો પ્રયાસ કરે છે, ત્યારે તેને કોન્સલ સર્વર માટે પરવાનગીઓની જરૂર પડશે, તેથી ચાલો તેને ઉમેરીએ.
ક્લસ્ટર ડેશબોર્ડ પર સ્થિત "પોડ એડ્રેસ રેન્જ"ની નોંધ લો અને અમારા "સ્કાયવિઝ-કન્સ્યુલ-સર્વર-પોક" ફાયરવોલ નિયમનો સંદર્ભ લો.
આઇપી એડ્રેસની યાદીમાં પોડ માટે એડ્રેસ રેન્જ ઉમેરો અને પોર્ટ 8301 અને 8300 ખોલો.

કોન્સલ UI પર જાઓ અને થોડીવાર પછી તમે નોડ્સ ટેબમાં અમારું ક્લસ્ટર દેખાશે.

કુબરનેટ્સ સાથે કોન્સલને એકીકૃત કરીને અધિકૃતતા પદ્ધતિને ગોઠવવી

કોન્સલ સર્વર શેલ પર પાછા ફરો અને તમે અગાઉ સાચવેલ ટોકન નિકાસ કરો:

export CONSUL_HTTP_TOKEN=<SecretID>

અધિકૃત પદ્ધતિનો દાખલો બનાવવા માટે અમને અમારા કુબરનેટ્સ ક્લસ્ટરમાંથી માહિતીની જરૂર પડશે:
kubernetes-યજમાન

kubectl get endpoints | grep kubernetes

kubernetes-service-account-jwt

kubectl get sa <helm_deployment_name>-consul-client -o yaml | grep "- name:"
kubectl get secret <secret_name_from_prev_command> -o yaml | grep token:

ટોકન બેઝ 64 એન્કોડેડ છે, તેથી તમારા મનપસંદ સાધનનો ઉપયોગ કરીને તેને ડિક્રિપ્ટ કરો [ссылка]
kubernetes-ca-cert

kubectl get secret <secret_name_from_prev_command> -o yaml | grep ca.crt:

“ca.crt” પ્રમાણપત્ર લો (base64 ડીકોડિંગ પછી) અને તેને “ca.crt” ફાઈલમાં લખો.
હવે તમે હમણાં જ પ્રાપ્ત કરેલ મૂલ્યો સાથે પ્લેસહોલ્ડર્સને બદલીને, પ્રમાણીકરણ પદ્ધતિને ત્વરિત કરો.

consul acl auth-method create 
-type "kubernetes" 
-name "auth-method-skywiz-consul-poc" 
-description "This is an auth method using kubernetes for the cluster skywiz-app-with-consul-client-poc" 
-kubernetes-host "<k8s_endpoint_retrieved earlier>" 
[email protected] 
-kubernetes-service-account-
jwt="<decoded_token_retrieved_earlier>"

આગળ આપણે એક નિયમ બનાવવાની અને તેને નવી ભૂમિકા સાથે જોડવાની જરૂર છે. આ ભાગ માટે તમે Consul UI નો ઉપયોગ કરી શકો છો, પરંતુ અમે આદેશ વાક્યનો ઉપયોગ કરીશું.
એક નિયમ લખો

### kv-custom-ns-policy.hcl
key_prefix "custom-ns/" {
 policy = "write"
}

નિયમ લાગુ કરો

consul acl policy create 
-name kv-custom-ns-policy 
-description "This is an example policy for kv at custom-ns/" 
-rules @kv-custom-ns-policy.hcl

તમે હમણાં જ આઉટપુટમાંથી બનાવેલ નિયમનું ID શોધો.
નવા નિયમ સાથે ભૂમિકા બનાવો.

consul acl role create 
-name "custom-ns-role" 
-description "This is an example role for custom-ns namespace" 
-policy-id <policy_id>

હવે અમે અમારી નવી ભૂમિકાને ઓથ મેથડ ઇન્સ્ટન્સ સાથે સાંકળીશું. નોંધ કરો કે "પસંદગીકર્તા" ધ્વજ નિર્ધારિત કરે છે કે શું અમારી લૉગિન વિનંતી આ ભૂમિકા પ્રાપ્ત કરશે. અન્ય પસંદગીકાર વિકલ્પો માટે અહીં તપાસો: https://www.consul.io/docs/acl/auth-methods/kubernetes.html#trusted-identity-attributes

consul acl binding-rule create 
-method=auth-method-skywiz-consul-poc 
-bind-type=role 
-bind-name='custom-ns-role' 
-selector='serviceaccount.namespace=="custom-ns"'

છેલ્લે રૂપરેખાંકનો

ઍક્સેસ અધિકારો

ઍક્સેસ અધિકારો બનાવો. K8s સર્વિસ એકાઉન્ટ ટોકનની ઓળખ ચકાસવા અને ઓળખવા માટે અમારે કોન્સ્યુલને પરવાનગી આપવાની જરૂર છે.
ફાઇલમાં નીચેની બાબતો લખો [લિંક]:

###skywiz-poc-consul-server_rbac.yaml
---
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
 name: review-tokens
 namespace: default
subjects:
- kind: ServiceAccount
 name: skywiz-app-with-consul-client-poc-consul-client
 namespace: default
roleRef:
 kind: ClusterRole
 name: system:auth-delegator
 apiGroup: rbac.authorization.k8s.io
---
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
 name: service-account-getter
 namespace: default
rules:
- apiGroups: [""]
 resources: ["serviceaccounts"]
 verbs: ["get"]
---
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
 name: get-service-accounts
 namespace: default
subjects:
- kind: ServiceAccount
 name: skywiz-app-with-consul-client-poc-consul-client
 namespace: default
roleRef:
 kind: ClusterRole
 name: service-account-getter
 apiGroup: rbac.authorization.k8s.io

ચાલો ઍક્સેસ અધિકારો બનાવીએ

kubectl create -f skywiz-poc-consul-server_rbac.yaml

કોન્સ્યુલ ક્લાયન્ટ સાથે કનેક્ટ થઈ રહ્યું છે

જેમ નોંધ્યું છે અહીંડેમોન્સેટ સાથે કનેક્ટ કરવા માટે ઘણા વિકલ્પો છે, પરંતુ અમે નીચેના સરળ ઉકેલ પર આગળ વધીશું:
નીચેની ફાઇલ લાગુ કરો [ссылка].

### poc-consul-client-ds-svc.yaml
apiVersion: v1
kind: Service
metadata:
 name: consul-ds-client
spec:
 selector:
   app: consul
   chart: consul-helm
   component: client
   hasDNS: "true"
   release: skywiz-app-with-consul-client-poc
 ports:
 - protocol: TCP
   port: 80
   targetPort: 8500

પછી configmap બનાવવા માટે નીચેના બિલ્ટિન આદેશનો ઉપયોગ કરો [ссылка]. કૃપા કરીને નોંધો કે અમે અમારી સેવાના નામનો ઉલ્લેખ કરી રહ્યા છીએ, જો જરૂરી હોય તો તેને બદલો.

cat <<EOF | kubectl apply -f -
apiVersion: v1
kind: ConfigMap
metadata:
 labels:
   addonmanager.kubernetes.io/mode: EnsureExists
 name: kube-dns
 namespace: kube-system
data:
 stubDomains: |
   {"consul": ["$(kubectl get svc consul-ds-client -o jsonpath='{.spec.clusterIP}')"]}
EOF

પ્રમાણીકરણ પદ્ધતિનું પરીક્ષણ

હવે ચાલો જાદુને ક્રિયામાં જોઈએ!

સમાન ટોપ-લેવલ કી વડે ઘણા વધુ કી ફોલ્ડર્સ બનાવો (દા.ત. /sample_key) અને તમારી પસંદગીનું મૂલ્ય. નવા મુખ્ય માર્ગો માટે યોગ્ય નીતિઓ અને ભૂમિકાઓ બનાવો. અમે બાઈન્ડીંગ પછીથી કરીશું.

કસ્ટમ નેમસ્પેસ ટેસ્ટ:

ચાલો આપણું પોતાનું નેમસ્પેસ બનાવીએ:

kubectl create namespace custom-ns

ચાલો આપણા નવા નેમસ્પેસમાં પોડ બનાવીએ. પોડ માટે રૂપરેખાંકન લખો.

###poc-ubuntu-custom-ns.yaml
apiVersion: v1
kind: Pod
metadata:
 name: poc-ubuntu-custom-ns
 namespace: custom-ns
spec:
 containers:
 - name: poc-ubuntu-custom-ns
   image: ubuntu
   command: ["/bin/bash", "-ec", "sleep infinity"]
 restartPolicy: Never

હેઠળ બનાવો:

kubectl create -f poc-ubuntu-custom-ns.yaml

એકવાર કન્ટેનર ચાલુ થઈ જાય, ત્યાં જાઓ અને કર્લ ઇન્સ્ટોલ કરો.

kubectl exec poc-ubuntu-custom-ns -n custom-ns -it /bin/bash
apt-get update && apt-get install curl -y

હવે અમે અગાઉ બનાવેલી અધિકૃતતા પદ્ધતિનો ઉપયોગ કરીને કન્સ્યુલને લોગિન વિનંતી મોકલીશું [ссылка].
તમારા સેવા ખાતામાંથી દાખલ કરેલ ટોકન જોવા માટે:

cat /run/secrets/kubernetes.io/serviceaccount/token

કન્ટેનરની અંદરની ફાઇલમાં નીચેના લખો:

### payload.json
{
 "AuthMethod": "auth-method-test",
 "BearerToken": "<jwt_token>"
}

પ્રવેશ કરો!

curl 
--request POST 
--data @payload.json 
consul-ds-client.default.svc.cluster.local/v1/acl/login

ઉપરોક્ત પગલાંઓ એક લીટીમાં પૂર્ણ કરવા માટે (કારણ કે અમે બહુવિધ પરીક્ષણો ચલાવીશું), તમે નીચે મુજબ કરી શકો છો:

echo "{ 
"AuthMethod": "auth-method-skywiz-consul-poc", 
"BearerToken": "$(cat /run/secrets/kubernetes.io/serviceaccount/token)" 
}" 
| curl 
--request POST 
--data @- 
consul-ds-client.default.svc.cluster.local/v1/acl/login

કામ કરે છે! ઓછામાં ઓછું તે જોઈએ. હવે SecretID લો અને અમારી પાસે જે કી/મૂલ્યની ઍક્સેસ હોવી જોઈએ તેને એક્સેસ કરવાનો પ્રયાસ કરો.

curl 
consul-ds-client.default.svc.cluster.local/v1/kv/custom-ns/test_key --header “X-Consul-Token: <SecretID_from_prev_response>”

તમે "મૂલ્ય" ને બેઝ 64 ડીકોડ કરી શકો છો અને જુઓ કે તે UI માં custom-ns/test_key માંના મૂલ્ય સાથે મેળ ખાય છે. જો તમે આ ટ્યુટોરીયલમાં ઉપરના સમાન મૂલ્યનો ઉપયોગ કરો છો, તો તમારું એન્કોડેડ મૂલ્ય IkknbSBpbiB0aGUgY3VzdG9tLW5zIGZvbGRlciEi હશે.

વપરાશકર્તા સેવા એકાઉન્ટ પરીક્ષણ:

નીચેના આદેશનો ઉપયોગ કરીને કસ્ટમ સર્વિસ એકાઉન્ટ બનાવો [ссылка].

kubectl apply -f - <<EOF
apiVersion: v1
kind: ServiceAccount
metadata:
 name: custom-sa
EOF

પોડ માટે નવી રૂપરેખાંકન ફાઈલ બનાવો. મહેરબાની કરીને નોંધ કરો કે મેં શ્રમ બચાવવા માટે કર્લ ઇન્સ્ટોલેશનનો સમાવેશ કર્યો છે :)

###poc-ubuntu-custom-sa.yaml
apiVersion: v1
kind: Pod
metadata:
 name: poc-ubuntu-custom-sa
 namespace: default
spec:
 serviceAccountName: custom-sa
 containers:
 - name: poc-ubuntu-custom-sa
   image: ubuntu
   command: ["/bin/bash","-ec"]
   args: ["apt-get update && apt-get install curl -y; sleep infinity"]
 restartPolicy: Never

તે પછી, કન્ટેનરની અંદર શેલ ચલાવો.

kubectl exec -it poc-ubuntu-custom-sa /bin/bash

પ્રવેશ કરો!

echo "{ 
"AuthMethod": "auth-method-skywiz-consul-poc", 
"BearerToken": "$(cat /run/secrets/kubernetes.io/serviceaccount/token)" 
}" 
| curl 
--request POST 
--data @- 
consul-ds-client.default.svc.cluster.local/v1/acl/login

પરવાનગી નકારી. ઓહ, અમે યોગ્ય પરવાનગીઓ સાથે બંધનકર્તા નવા નિયમો ઉમેરવાનું ભૂલી ગયા, ચાલો હવે તે કરીએ.

ઉપરના પાછલા પગલાઓનું પુનરાવર્તન કરો:
a) "કસ્ટમ-સા/" ઉપસર્ગ માટે એક સમાન નીતિ બનાવો.
b) એક ભૂમિકા બનાવો, તેને "કસ્ટમ-સા-રોલ" કહો
c) નીતિને ભૂમિકા સાથે જોડો.

નિયમ-બંધનકર્તા બનાવો (માત્ર cli/api થી શક્ય છે). પસંદગીકાર ધ્વજના વિવિધ અર્થની નોંધ લો.

consul acl binding-rule create 
-method=auth-method-skywiz-consul-poc 
-bind-type=role 
-bind-name='custom-sa-role' 
-selector='serviceaccount.name=="custom-sa"'

"poc-ubuntu-custom-sa" કન્ટેનરમાંથી ફરી લોગિન કરો. સફળતા!
કસ્ટમ-સા/ કી પાથની અમારી ઍક્સેસ તપાસો.

curl 
consul-ds-client.default.svc.cluster.local/v1/kv/custom-sa/test_key --header “X-Consul-Token: <SecretID>”

તમે એ પણ સુનિશ્ચિત કરી શકો છો કે આ ટોકન "custom-ns/" માં kv ને ઍક્સેસ આપતું નથી. "કસ્ટમ-સા" ને ઉપસર્ગ "કસ્ટમ-એનએસ" સાથે બદલ્યા પછી ફક્ત ઉપરના આદેશનું પુનરાવર્તન કરો.
પરવાનગી નકારી.

ઓવરલે ઉદાહરણ:

એ નોંધવું યોગ્ય છે કે તમામ નિયમ-બંધનકર્તા મેપિંગ્સ આ અધિકારો સાથે ટોકનમાં ઉમેરવામાં આવશે.
અમારું કન્ટેનર "poc-ubuntu-custom-sa" ડિફોલ્ટ નેમસ્પેસમાં છે - તો ચાલો તેનો ઉપયોગ અલગ નિયમ-બંધન માટે કરીએ.
પાછલા પગલાંઓનું પુનરાવર્તન કરો:
a) “ડિફોલ્ટ/” કી ઉપસર્ગ માટે એક સરખી નીતિ બનાવો.
b) એક ભૂમિકા બનાવો, તેને "default-ns-role" નામ આપો
c) નીતિને ભૂમિકા સાથે જોડો.
એક નિયમ-બંધનકર્તા બનાવો (માત્ર cli/api થી જ શક્ય છે)

consul acl binding-rule create 
-method=auth-method-skywiz-consul-poc 
-bind-type=role 
-bind-name='default-ns-role' 
-selector='serviceaccount.namespace=="default"'

અમારા "poc-ubuntu-custom-sa" કન્ટેનર પર પાછા જાઓ અને "default/" kv પાથને ઍક્સેસ કરવાનો પ્રયાસ કરો.
પરવાનગી નકારી.
તમે ACL > ટોકન્સ હેઠળ UI માં દરેક ટોકન માટે ઉલ્લેખિત ઓળખપત્રો જોઈ શકો છો. જેમ તમે જોઈ શકો છો, અમારા વર્તમાન ટોકન સાથે ફક્ત એક "કસ્ટમ-સા-રોલ" જોડાયેલ છે. અમે હાલમાં જે ટોકનનો ઉપયોગ કરી રહ્યા છીએ તે જ્યારે અમે લૉગ ઇન કર્યું ત્યારે જનરેટ કરવામાં આવ્યું હતું અને તે સમયે મેળ ખાતી માત્ર એક જ નિયમ-બંધનકર્તા હતી. અમારે ફરીથી લોગિન કરવાની અને નવા ટોકનનો ઉપયોગ કરવાની જરૂર છે.
ખાતરી કરો કે તમે બંને "કસ્ટમ-સા/" અને "ડિફોલ્ટ/" kv પાથમાંથી વાંચી શકો છો.
સફળતા!
આ એટલા માટે છે કારણ કે અમારું “poc-ubuntu-custom-sa” “કસ્ટમ-sa” અને “default-ns” નિયમ બંધન સાથે મેળ ખાય છે.

નિષ્કર્ષ

TTL ટોકન mgmt?

આ લેખન સમયે, આ અધિકૃતતા પદ્ધતિ દ્વારા જનરેટ થયેલા ટોકન્સ માટે TTL નક્કી કરવાની કોઈ સંકલિત રીત નથી. કોન્સ્યુલ અધિકૃતતાનું સુરક્ષિત ઓટોમેશન પ્રદાન કરવાની આ એક અદ્ભુત તક હશે.

TTL સાથે મેન્યુઅલી ટોકન બનાવવાનો વિકલ્પ છે:

https://www.consul.io/docs/acl/acl-system.html#acl-tokens
સમાપ્તિ સમય - જે સમયે આ ટોકન રદ કરવામાં આવશે. (વૈકલ્પિક; કોન્સલ 1.5.0 માં ઉમેરાયેલ)
ફક્ત મેન્યુઅલ સર્જન/અપડેટ માટે જ અસ્તિત્વમાં છે https://www.consul.io/api/acl/tokens.html#expirationtime

આશા છે કે નજીકના ભવિષ્યમાં અમે ટોકન્સ કેવી રીતે જનરેટ થાય છે તે નિયંત્રિત કરી શકીશું (નિયમ અથવા અધિકૃતતા પદ્ધતિ દીઠ) અને TTL ઉમેરીશું.

ત્યાં સુધી, એવું સૂચન કરવામાં આવે છે કે તમે તમારા તર્કમાં લોગઆઉટ એન્ડપોઇન્ટનો ઉપયોગ કરો.

અમારા બ્લોગ પર અન્ય લેખો પણ વાંચો:

સોર્સ: www.habr.com

હાશિકોર્પ કોન્સ્યુલના કુબરનેટ્સ ઓથોરાઇઝેશનનો પરિચય