हाशिकॉर्प कॉन्सल के कुबेरनेट्स प्राधिकरण का परिचय

यह सही है, रिहाई के बाद हाशिकोर्प कौंसल 1.5.0 मई 2019 की शुरुआत में, कॉन्सल में आप मूल रूप से कुबेरनेट्स में चल रहे एप्लिकेशन और सेवाओं को अधिकृत कर सकते हैं।

इस ट्यूटोरियल में हम चरण दर चरण निर्माण करेंगे POC (अवधारणा का प्रमाण, पीओसी) इस नई सुविधा का प्रदर्शन कर रहा है। आपसे कुबेरनेट्स और हैशिकॉर्प के कंसल का बुनियादी ज्ञान होने की उम्मीद है। जबकि आप किसी भी क्लाउड प्लेटफ़ॉर्म या ऑन-प्रिमाइसेस वातावरण का उपयोग कर सकते हैं, इस ट्यूटोरियल में हम Google के क्लाउड प्लेटफ़ॉर्म का उपयोग करेंगे।

Обзор

अगर हम जाते हैं इसकी प्राधिकरण विधि पर कौंसल दस्तावेज़ीकरण, हम इसके उद्देश्य और उपयोग के मामले का एक त्वरित अवलोकन प्राप्त करेंगे, साथ ही कुछ तकनीकी विवरण और तर्क का एक सामान्य अवलोकन भी प्राप्त करेंगे। मैं आगे बढ़ने से पहले इसे कम से कम एक बार पढ़ने की अत्यधिक अनुशंसा करता हूं, क्योंकि अब मैं इसे समझाऊंगा और चबाऊंगा।

चित्र 1: कौंसल प्राधिकरण पद्धति का आधिकारिक अवलोकन

आइए अंदर देखें एक विशिष्ट कुबेरनेट्स प्राधिकरण विधि के लिए दस्तावेज़ीकरण.

निश्चित रूप से, वहां उपयोगी जानकारी है, लेकिन वास्तव में इसका उपयोग कैसे करें, इस पर कोई मार्गदर्शन नहीं है। तो, किसी भी समझदार व्यक्ति की तरह, आप मार्गदर्शन के लिए इंटरनेट खंगालते हैं। और फिर... आप असफल हो जाते हैं। ऐसा होता है। आइए इसे ठीक करें.

इससे पहले कि हम अपना पीओसी बनाने के लिए आगे बढ़ें, आइए कौंसल के प्राधिकरण तरीकों (चित्र 1) के अवलोकन पर वापस जाएं और इसे कुबेरनेट्स के संदर्भ में परिष्कृत करें।

आर्किटेक्चर

इस ट्यूटोरियल में, हम एक अलग मशीन पर एक कॉन्सल सर्वर बनाएंगे जो स्थापित कॉन्सल क्लाइंट के साथ कुबेरनेट्स क्लस्टर के साथ संचार करेगा। फिर हम पॉड में अपना डमी एप्लिकेशन बनाएंगे और अपने कॉन्सल कुंजी/वैल्यू स्टोर से पढ़ने के लिए अपनी कॉन्फ़िगर की गई प्राधिकरण विधि का उपयोग करेंगे।

नीचे दिया गया चित्र उस आर्किटेक्चर का विवरण देता है जिसे हम इस ट्यूटोरियल में बना रहे हैं, साथ ही प्राधिकरण पद्धति के पीछे का तर्क भी, जिसे बाद में समझाया जाएगा।

आरेख 2: कुबेरनेट्स प्राधिकरण विधि अवलोकन

एक त्वरित नोट: काम करने के लिए कॉन्सल सर्वर को कुबेरनेट्स क्लस्टर के बाहर रहने की आवश्यकता नहीं है। लेकिन हाँ, वह इसे इस तरह और उस तरह से कर सकता है।

तो, कॉन्सल अवलोकन आरेख (आरेख 1) लेने और उसमें कुबेरनेट्स को लागू करने पर, हमें उपरोक्त आरेख (आरेख 2) मिलता है, और यहां तर्क इस प्रकार है:

1. प्रत्येक पॉड के साथ एक सेवा खाता जुड़ा होगा जिसमें कुबेरनेट्स द्वारा उत्पन्न और ज्ञात जेडब्ल्यूटी टोकन होगा। यह टोकन भी डिफ़ॉल्ट रूप से पॉड में डाला जाता है।
2. पॉड के अंदर हमारा एप्लिकेशन या सेवा हमारे कॉन्सल क्लाइंट के लिए एक लॉगिन कमांड शुरू करता है। लॉगिन अनुरोध में हमारा टोकन और नाम भी शामिल होगा विशेष रूप से बनाया गया प्राधिकरण विधि (कुबेरनेट्स प्रकार)। यह चरण #2 कॉन्सल आरेख (योजना 1) के चरण 1 से मेल खाता है।
3. हमारा कॉन्सल क्लाइंट इस अनुरोध को हमारे कॉन्सल सर्वर को अग्रेषित करेगा।
4. जादू! यह वह जगह है जहां कॉन्सल सर्वर अनुरोध की प्रामाणिकता की पुष्टि करता है, अनुरोध की पहचान के बारे में जानकारी एकत्र करता है और किसी भी संबंधित पूर्वनिर्धारित नियमों के साथ इसकी तुलना करता है। इसे स्पष्ट करने के लिए नीचे एक और चित्र है। यह चरण कॉन्सल अवलोकन आरेख (आरेख 3) के चरण 4, 5 और 1 से मेल खाता है।
5. हमारा कॉन्सल सर्वर अनुरोधकर्ता की पहचान के संबंध में हमारे निर्दिष्ट प्राधिकरण विधि नियमों (जो हमने परिभाषित किया है) के अनुसार अनुमतियों के साथ एक कॉन्सल टोकन उत्पन्न करता है। फिर यह उस टोकन को वापस भेज देगा। यह कॉन्सल आरेख (आरेख 6) के चरण 1 से मेल खाता है।
6. हमारा कॉन्सल क्लाइंट अनुरोध करने वाले एप्लिकेशन या सेवा को टोकन अग्रेषित करता है।

हमारा एप्लिकेशन या सेवा अब हमारे कॉन्सल डेटा के साथ संचार करने के लिए इस कॉन्सल टोकन का उपयोग कर सकता है, जैसा कि टोकन के विशेषाधिकारों द्वारा निर्धारित किया गया है।

जादू उजागर हो गया है!

आप में से उन लोगों के लिए जो टोपी में से सिर्फ एक खरगोश से खुश नहीं हैं और जानना चाहते हैं कि यह कैसे काम करता है... आइए मैं आपको दिखाता हूं कि कितनी गहराई तक ख़रगोश का बिल'.

जैसा कि पहले उल्लेख किया गया है, हमारा "जादुई" कदम (चित्र 2: चरण 4) वह है जहां कॉन्सल सर्वर अनुरोध को प्रमाणित करता है, अनुरोध के बारे में जानकारी एकत्र करता है, और इसकी तुलना किसी भी संबंधित पूर्वनिर्धारित नियमों से करता है। यह चरण कॉन्सल अवलोकन आरेख (आरेख 3) के चरण 4, 5 और 1 से मेल खाता है। नीचे एक आरेख (आरेख 3) है, जिसका उद्देश्य स्पष्ट रूप से दिखाना है कि वास्तव में क्या हो रहा है हुड के नीचे विशिष्ट कुबेरनेट्स प्राधिकरण विधि।

चित्र 3: जादू प्रकट हो गया है!

1. शुरुआती बिंदु के रूप में, हमारा कॉन्सल क्लाइंट कुबेरनेट्स खाता टोकन और पहले बनाए गए प्राधिकरण विधि के विशिष्ट इंस्टेंस नाम के साथ हमारे कॉन्सल सर्वर पर लॉगिन अनुरोध को अग्रेषित करता है। यह चरण पिछले सर्किट स्पष्टीकरण में चरण 3 से मेल खाता है।
2. अब कॉन्सल सर्वर (या लीडर) को प्राप्त टोकन की प्रामाणिकता को सत्यापित करने की आवश्यकता है। इसलिए, यह कुबेरनेट्स क्लस्टर (कंसल क्लाइंट के माध्यम से) से परामर्श करेगा और, उचित अनुमतियों के साथ, हम पता लगाएंगे कि टोकन वास्तविक है या नहीं और यह किसका है।
3. मान्य अनुरोध फिर कॉन्सल लीडर को वापस कर दिया जाता है, और कॉन्सल सर्वर लॉगिन अनुरोध (और कुबेरनेट्स प्रकार) से निर्दिष्ट नाम के साथ प्राधिकरण विधि उदाहरण को देखता है।
4. कौंसल नेता निर्दिष्ट प्राधिकरण विधि उदाहरण की पहचान करता है (यदि पाया जाता है) और उससे जुड़े बाध्यकारी नियमों के सेट को पढ़ता है। इसके बाद यह इन नियमों को पढ़ता है और उनकी तुलना सत्यापित पहचान विशेषताओं से करता है।
5. टीए-दह! आइए पिछले सर्किट स्पष्टीकरण में चरण 5 पर आगे बढ़ें।

नियमित वर्चुअल मशीन पर कॉन्सल-सर्वर चलाएँ

अब से, मैं इस पीओसी को बनाने के बारे में ज्यादातर निर्देश दूंगा, अक्सर बुलेट पॉइंट में, बिना पूर्ण वाक्य स्पष्टीकरण के। साथ ही, जैसा कि पहले उल्लेख किया गया है, मैं सभी बुनियादी ढांचे को बनाने के लिए जीसीपी का उपयोग करूंगा, लेकिन आप वही बुनियादी ढांचा कहीं और भी बना सकते हैं।

• वर्चुअल मशीन (इंस्टेंस/सर्वर) प्रारंभ करें।

• फ़ायरवॉल के लिए एक नियम बनाएं (AWS में सुरक्षा समूह):
• मैं नियम और नेटवर्क टैग दोनों को एक ही मशीन नाम निर्दिष्ट करना चाहता हूं, इस मामले में "स्काईविज़-कंसल-सर्वर-पोक"।
• अपने स्थानीय कंप्यूटर का आईपी पता ढूंढें और इसे स्रोत आईपी पते की सूची में जोड़ें ताकि हम उपयोगकर्ता इंटरफ़ेस (यूआई) तक पहुंच सकें।
• यूआई के लिए पोर्ट 8500 खोलें। बनाएँ पर क्लिक करें. हम जल्द ही इस फ़ायरवॉल को फिर से बदल देंगे [लिंक].
• उदाहरण के लिए फ़ायरवॉल नियम जोड़ें। कॉन्सल सर्वर पर वीएम डैशबोर्ड पर वापस जाएं और नेटवर्क टैग फ़ील्ड में "स्काईविज़-कंसल-सर्वर-पोक" जोड़ें। सहेजें पर क्लिक करें.

• वर्चुअल मशीन पर कॉन्सल इंस्टॉल करें, यहां जांचें। याद रखें आपको कॉन्सल संस्करण ≥ 1.5 की आवश्यकता है [लिंक]
• आइए एक एकल नोड कॉन्सल बनाएं - कॉन्फ़िगरेशन इस प्रकार है।

groupadd --system consul
useradd -s /sbin/nologin --system -g consul consul
mkdir -p /var/lib/consul
chown -R consul:consul /var/lib/consul
chmod -R 775 /var/lib/consul
mkdir /etc/consul.d
chown -R consul:consul /etc/consul.d

• कॉन्सल स्थापित करने और 3 नोड्स का क्लस्टर स्थापित करने पर अधिक विस्तृत मार्गदर्शिका के लिए देखें यहां.
• निम्नानुसार एक फ़ाइल /etc/consul.d/agent.json बनाएं [लिंक]:

### /etc/consul.d/agent.json
{
 "acl" : {
 "enabled": true,
 "default_policy": "deny",
 "enable_token_persistence": true
 }
}

• हमारा कॉन्सल सर्वर प्रारंभ करें:

consul agent 
-server 
-ui 
-client 0.0.0.0 
-data-dir=/var/lib/consul 
-bootstrap-expect=1 
-config-dir=/etc/consul.d

• आपको आउटपुट का एक समूह देखना चाहिए और अंत में "...एसीएल द्वारा अद्यतन अवरुद्ध" होना चाहिए।
• कॉन्सल सर्वर का बाहरी आईपी पता ढूंढें और पोर्ट 8500 पर इस आईपी पते के साथ एक ब्राउज़र खोलें। सुनिश्चित करें कि यूआई खुलता है।
• एक कुंजी/मान जोड़ी जोड़ने का प्रयास करें। लगता है कोई गड़बड़ हुई है. ऐसा इसलिए है क्योंकि हमने कॉन्सल सर्वर को ACL के साथ लोड किया है और सभी नियमों को अक्षम कर दिया है।
• कॉन्सल सर्वर पर अपने शेल पर वापस जाएं और इसे चलाने के लिए पृष्ठभूमि में या किसी अन्य तरीके से प्रक्रिया शुरू करें और निम्नलिखित दर्ज करें:

consul acl bootstrap

• "सीक्रेटआईडी" मान ढूंढें और यूआई पर वापस लौटें। एसीएल टैब में, आपके द्वारा अभी कॉपी किए गए टोकन की गुप्त आईडी दर्ज करें। SecretID को कहीं और कॉपी करें, हमें बाद में इसकी आवश्यकता होगी।
• अब एक कुंजी/मूल्य युग्म जोड़ें. इस पीओसी के लिए, निम्नलिखित जोड़ें: कुंजी: "कस्टम-एनएस/टेस्ट_की", मान: "मैं कस्टम-एनएस फ़ोल्डर में हूं!"

डेमोनसेट के रूप में कॉन्सल क्लाइंट के साथ हमारे एप्लिकेशन के लिए कुबेरनेट्स क्लस्टर लॉन्च करना

• एक K8s (कुबेरनेट्स) क्लस्टर बनाएं। हम इसे तेज पहुंच के लिए सर्वर के समान क्षेत्र में बनाएंगे, और इसलिए हम आंतरिक आईपी पते से आसानी से जुड़ने के लिए उसी सबनेट का उपयोग कर सकते हैं। हम इसे "स्काईविज़-ऐप-विद-कंसल-क्लाइंट-पोक" कहेंगे।

• एक साइड नोट के रूप में, यहां एक अच्छा ट्यूटोरियल है जो मुझे कॉन्सल कनेक्ट के साथ पीओसी कॉन्सल क्लस्टर स्थापित करते समय मिला।
• हम विस्तारित मान फ़ाइल के साथ हाशिकॉर्प हेल्म चार्ट का भी उपयोग करेंगे।
• हेल्म को स्थापित और कॉन्फ़िगर करें। कॉन्फ़िगरेशन चरण:

kubectl create serviceaccount tiller --namespace kube-system
kubectl create clusterrolebinding tiller-admin-binding 
   --clusterrole=cluster-admin --serviceaccount=kube-system:tiller
./helm init --service-account=tiller
./helm update

• हेल्म चार्ट: https://www.consul.io/docs/platform/k8s/helm.html
• निम्नलिखित मान फ़ाइल का उपयोग करें (ध्यान दें कि मैंने अधिकांश को अक्षम कर दिया है):

### poc-helm-consul-values.yaml
global:
 enabled: false
 image: "consul:latest"
# Expose the Consul UI through this LoadBalancer
ui:
 enabled: false
# Allow Consul to inject the Connect proxy into Kubernetes containers
connectInject:
 enabled: false
# Configure a Consul client on Kubernetes nodes. GRPC listener is required for Connect.
client:
 enabled: true
 join: ["<PRIVATE_IP_CONSUL_SERVER>"]
 extraConfig: |
{
  "acl" : {
 "enabled": true,   
 "default_policy": "deny",   
 "enable_token_persistence": true 
  }
}
# Minimal Consul configuration. Not suitable for production.
server:
 enabled: false
# Sync Kubernetes and Consul services
syncCatalog:
 enabled: false

• हेल्म चार्ट लागू करें:

./helm install -f poc-helm-consul-values.yaml ./consul-helm - name skywiz-app-with-consul-client-poc

• जब यह चलने का प्रयास करता है, तो इसे कॉन्सल सर्वर के लिए अनुमतियों की आवश्यकता होगी, तो चलिए उन्हें जोड़ते हैं।
• क्लस्टर डैशबोर्ड पर स्थित "पॉड एड्रेस रेंज" पर ध्यान दें और हमारे "स्काईविज़-कंसुल-सर्वर-पोक" फ़ायरवॉल नियम को वापस देखें।
• पॉड के लिए पता श्रेणी को आईपी पते की सूची में जोड़ें और पोर्ट 8301 और 8300 खोलें।

• कॉन्सल यूआई पर जाएं और कुछ मिनटों के बाद आप देखेंगे कि हमारा क्लस्टर नोड्स टैब में दिखाई देगा।

कुबेरनेट्स के साथ कौंसल को एकीकृत करके एक प्राधिकरण विधि को कॉन्फ़िगर करना

• कॉन्सल सर्वर शेल पर लौटें और आपके द्वारा पहले सहेजे गए टोकन को निर्यात करें:

export CONSUL_HTTP_TOKEN=<SecretID>

• ऑथ विधि का एक उदाहरण बनाने के लिए हमें अपने कुबेरनेट्स क्लस्टर से जानकारी की आवश्यकता होगी:
• कुबेरनेट्स-मेजबान

kubectl get endpoints | grep kubernetes

• कुबेरनेट्स-सेवा-खाता-जेडब्ल्यूटी

kubectl get sa <helm_deployment_name>-consul-client -o yaml | grep "- name:"
kubectl get secret <secret_name_from_prev_command> -o yaml | grep token:

• टोकन बेस64 एन्कोडेड है, इसलिए अपने पसंदीदा टूल का उपयोग करके इसे डिक्रिप्ट करें [लिंक]
• कुबेरनेट्स-सीए-सर्टिफिकेट

kubectl get secret <secret_name_from_prev_command> -o yaml | grep ca.crt:

• "ca.crt" प्रमाणपत्र लें (बेस64 डिकोडिंग के बाद) और इसे "ca.crt" फ़ाइल में लिखें।
• अब प्लेसहोल्डर्स को आपके द्वारा प्राप्त मूल्यों के साथ प्रतिस्थापित करते हुए, प्रमाणीकरण विधि को तुरंत चालू करें।

consul acl auth-method create 
-type "kubernetes" 
-name "auth-method-skywiz-consul-poc" 
-description "This is an auth method using kubernetes for the cluster skywiz-app-with-consul-client-poc" 
-kubernetes-host "<k8s_endpoint_retrieved earlier>" 
[email protected] 
-kubernetes-service-account-
jwt="<decoded_token_retrieved_earlier>"

• आगे हमें एक नियम बनाना होगा और उसे नई भूमिका से जोड़ना होगा। इस भाग के लिए आप कॉन्सल यूआई का उपयोग कर सकते हैं, लेकिन हम कमांड लाइन का उपयोग करेंगे।
• एक नियम लिखें

### kv-custom-ns-policy.hcl
key_prefix "custom-ns/" {
 policy = "write"
}

• नियम लागू करें

consul acl policy create 
-name kv-custom-ns-policy 
-description "This is an example policy for kv at custom-ns/" 
-rules @kv-custom-ns-policy.hcl

• आउटपुट से आपके द्वारा अभी बनाए गए नियम की आईडी ढूंढें।
• नए नियम के साथ एक भूमिका बनाएँ.

consul acl role create 
-name "custom-ns-role" 
-description "This is an example role for custom-ns namespace" 
-policy-id <policy_id>

• अब हम अपनी नई भूमिका को ऑथ विधि उदाहरण के साथ जोड़ेंगे। ध्यान दें कि "चयनकर्ता" ध्वज यह निर्धारित करता है कि हमारे लॉगिन अनुरोध को यह भूमिका प्राप्त होगी या नहीं। अन्य चयनकर्ता विकल्पों के लिए यहां देखें: https://www.consul.io/docs/acl/auth-methods/kubernetes.html#trusted-identity-attributes

consul acl binding-rule create 
-method=auth-method-skywiz-consul-poc 
-bind-type=role 
-bind-name='custom-ns-role' 
-selector='serviceaccount.namespace=="custom-ns"'

अंत में विन्यास

पहुँच अधिकार

• पहुंच अधिकार बनाएं. हमें K8s सेवा खाता टोकन की पहचान को सत्यापित करने और पहचानने के लिए कौंसल को अनुमति देने की आवश्यकता है।
• फ़ाइल में निम्नलिखित लिखें [जोड़ना]:

###skywiz-poc-consul-server_rbac.yaml
---
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
 name: review-tokens
 namespace: default
subjects:
- kind: ServiceAccount
 name: skywiz-app-with-consul-client-poc-consul-client
 namespace: default
roleRef:
 kind: ClusterRole
 name: system:auth-delegator
 apiGroup: rbac.authorization.k8s.io
---
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
 name: service-account-getter
 namespace: default
rules:
- apiGroups: [""]
 resources: ["serviceaccounts"]
 verbs: ["get"]
---
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
 name: get-service-accounts
 namespace: default
subjects:
- kind: ServiceAccount
 name: skywiz-app-with-consul-client-poc-consul-client
 namespace: default
roleRef:
 kind: ClusterRole
 name: service-account-getter
 apiGroup: rbac.authorization.k8s.io

• आइये पहुँच अधिकार बनाएँ

kubectl create -f skywiz-poc-consul-server_rbac.yaml

कौंसल क्लाइंट से कनेक्ट हो रहा है

• जैसा देखा गया # जैसा लिखा गया यहांडेमॉनसेट से कनेक्ट करने के लिए कई विकल्प हैं, लेकिन हम निम्नलिखित सरल समाधान पर आगे बढ़ेंगे:
• निम्न फ़ाइल लागू करें [लिंक].

### poc-consul-client-ds-svc.yaml
apiVersion: v1
kind: Service
metadata:
 name: consul-ds-client
spec:
 selector:
   app: consul
   chart: consul-helm
   component: client
   hasDNS: "true"
   release: skywiz-app-with-consul-client-poc
 ports:
 - protocol: TCP
   port: 80
   targetPort: 8500

• फिर कॉन्फिगमैप बनाने के लिए निम्नलिखित अंतर्निहित कमांड का उपयोग करें [लिंक]. कृपया ध्यान दें कि हम अपनी सेवा के नाम का उल्लेख कर रहे हैं, यदि आवश्यक हो तो इसे बदल दें।

cat <<EOF | kubectl apply -f -
apiVersion: v1
kind: ConfigMap
metadata:
 labels:
   addonmanager.kubernetes.io/mode: EnsureExists
 name: kube-dns
 namespace: kube-system
data:
 stubDomains: |
   {"consul": ["$(kubectl get svc consul-ds-client -o jsonpath='{.spec.clusterIP}')"]}
EOF

प्रामाणिक विधि का परीक्षण

आइए अब जादू को क्रियान्वित होते देखें!

• समान शीर्ष-स्तरीय कुंजी (अर्थात) के साथ कई और कुंजी फ़ोल्डर बनाएं। /sample_key) और आपकी पसंद का एक मान। नए प्रमुख पथों के लिए उचित नीतियां और भूमिकाएँ बनाएँ। हम बाइंडिंग बाद में करेंगे।

कस्टम नेमस्पेस परीक्षण:

• आइए अपना स्वयं का नामस्थान बनाएं:

kubectl create namespace custom-ns

• आइए अपने नए नेमस्पेस में एक पॉड बनाएं। पॉड के लिए कॉन्फ़िगरेशन लिखें.

###poc-ubuntu-custom-ns.yaml
apiVersion: v1
kind: Pod
metadata:
 name: poc-ubuntu-custom-ns
 namespace: custom-ns
spec:
 containers:
 - name: poc-ubuntu-custom-ns
   image: ubuntu
   command: ["/bin/bash", "-ec", "sleep infinity"]
 restartPolicy: Never

• इसके अंतर्गत बनाएं:

kubectl create -f poc-ubuntu-custom-ns.yaml

• एक बार जब कंटेनर चल रहा हो, तो वहां जाएं और कर्ल स्थापित करें।

kubectl exec poc-ubuntu-custom-ns -n custom-ns -it /bin/bash
apt-get update && apt-get install curl -y

• अब हम पहले बनाई गई प्राधिकरण विधि का उपयोग करके कौंसल को एक लॉगिन अनुरोध भेजेंगे [लिंक].
• अपने सेवा खाते से दर्ज किया गया टोकन देखने के लिए:

cat /run/secrets/kubernetes.io/serviceaccount/token

• कंटेनर के अंदर फ़ाइल में निम्नलिखित लिखें:

### payload.json
{
 "AuthMethod": "auth-method-test",
 "BearerToken": "<jwt_token>"
}

• लॉग इन करें!

curl 
--request POST 
--data @payload.json 
consul-ds-client.default.svc.cluster.local/v1/acl/login

• उपरोक्त चरणों को एक पंक्ति में पूरा करने के लिए (चूंकि हम कई परीक्षण चलाएंगे), आप निम्न कार्य कर सकते हैं:

echo "{ 
"AuthMethod": "auth-method-skywiz-consul-poc", 
"BearerToken": "$(cat /run/secrets/kubernetes.io/serviceaccount/token)" 
}" 
| curl 
--request POST 
--data @- 
consul-ds-client.default.svc.cluster.local/v1/acl/login

• काम करता है! कम से कम यह होना चाहिए. अब SecretID लें और उस कुंजी/मान तक पहुंचने का प्रयास करें जिस तक हमारी पहुंच होनी चाहिए।

curl 
consul-ds-client.default.svc.cluster.local/v1/kv/custom-ns/test_key --header “X-Consul-Token: <SecretID_from_prev_response>”

• आप बेस64 "वैल्यू" को डिकोड कर सकते हैं और देख सकते हैं कि यह यूआई में कस्टम-एनएस/टेस्ट_की में मान से मेल खाता है। यदि आपने इस ट्यूटोरियल में उपरोक्त समान मान का उपयोग किया है, तो आपका एन्कोडेड मान IkknbSBpbiB0aGUgY3VzdG9tLW5zIGZvbGRlciEi होगा।

उपयोगकर्ता सेवा खाता परीक्षण:

• निम्नलिखित कमांड का उपयोग करके एक कस्टम सर्विसअकाउंट बनाएं [लिंक].

kubectl apply -f - <<EOF
apiVersion: v1
kind: ServiceAccount
metadata:
 name: custom-sa
EOF

• पॉड के लिए एक नई कॉन्फ़िगरेशन फ़ाइल बनाएं। कृपया ध्यान दें कि मैंने श्रम बचाने के लिए कर्ल इंस्टॉलेशन शामिल किया है :)

###poc-ubuntu-custom-sa.yaml
apiVersion: v1
kind: Pod
metadata:
 name: poc-ubuntu-custom-sa
 namespace: default
spec:
 serviceAccountName: custom-sa
 containers:
 - name: poc-ubuntu-custom-sa
   image: ubuntu
   command: ["/bin/bash","-ec"]
   args: ["apt-get update && apt-get install curl -y; sleep infinity"]
 restartPolicy: Never

• इसके बाद कंटेनर के अंदर एक शेल चला दें.

kubectl exec -it poc-ubuntu-custom-sa /bin/bash

• लॉग इन करें!

echo "{ 
"AuthMethod": "auth-method-skywiz-consul-poc", 
"BearerToken": "$(cat /run/secrets/kubernetes.io/serviceaccount/token)" 
}" 
| curl 
--request POST 
--data @- 
consul-ds-client.default.svc.cluster.local/v1/acl/login

• अनुमति नहीं मिली। ओह, हम उचित अनुमतियों के साथ बाध्यकारी नए नियम जोड़ना भूल गए, आइए अब ऐसा करें।

उपरोक्त पिछले चरणों को दोहराएँ:
ए) उपसर्ग "कस्टम-सा/" के लिए एक समान नीति बनाएं।
बी) एक भूमिका बनाएं, इसे "कस्टम-सा-रोल" कहें
ग) नीति को भूमिका से जोड़ें।

• एक नियम-बाध्यकारी बनाएँ (केवल cli/api से संभव)। चयनकर्ता ध्वज के भिन्न अर्थ पर ध्यान दें।

consul acl binding-rule create 
-method=auth-method-skywiz-consul-poc 
-bind-type=role 
-bind-name='custom-sa-role' 
-selector='serviceaccount.name=="custom-sa"'

• "poc-ubuntu-custom-sa" कंटेनर से फिर से लॉगिन करें। सफलता!
• कस्टम-एसए/कुंजी पथ तक हमारी पहुंच की जाँच करें।

curl 
consul-ds-client.default.svc.cluster.local/v1/kv/custom-sa/test_key --header “X-Consul-Token: <SecretID>”

• आप यह भी सुनिश्चित कर सकते हैं कि यह टोकन "कस्टम-एनएस/" में केवी तक पहुंच प्रदान नहीं करता है। "कस्टम-एसए" को उपसर्ग "कस्टम-एनएस" से बदलने के बाद बस उपरोक्त आदेश को दोहराएं।
  अनुमति से इनकार कर दिया।

ओवरले उदाहरण:

• यह ध्यान देने योग्य है कि सभी नियम-बाध्यकारी मैपिंग को इन अधिकारों के साथ टोकन में जोड़ा जाएगा।
• हमारा कंटेनर "poc-ubuntu-custom-sa" डिफ़ॉल्ट नेमस्पेस में है - तो आइए इसे एक अलग नियम-बाध्यकारी के लिए उपयोग करें।
• पिछले चरण दोहराएँ:
  ए) "डिफ़ॉल्ट/" कुंजी उपसर्ग के लिए एक समान नीति बनाएं।
  बी) एक भूमिका बनाएं, इसे "डिफ़ॉल्ट-एनएस-भूमिका" नाम दें
  ग) नीति को भूमिका से जोड़ें।
• एक नियम-बाध्यकारी बनाएँ (केवल cli/api से संभव)

consul acl binding-rule create 
-method=auth-method-skywiz-consul-poc 
-bind-type=role 
-bind-name='default-ns-role' 
-selector='serviceaccount.namespace=="default"'

• हमारे "poc-ubuntu-custom-sa" कंटेनर पर वापस जाएं और "डिफ़ॉल्ट/" kv पथ तक पहुंचने का प्रयास करें।
• अनुमति से इनकार कर दिया।
  आप एसीएल > टोकन के अंतर्गत यूआई में प्रत्येक टोकन के लिए निर्दिष्ट क्रेडेंशियल देख सकते हैं। जैसा कि आप देख सकते हैं, हमारे वर्तमान टोकन में केवल एक "कस्टम-सा-भूमिका" जुड़ी हुई है। वर्तमान में हम जिस टोकन का उपयोग कर रहे हैं वह तब उत्पन्न हुआ था जब हमने लॉग इन किया था और तब केवल एक नियम-बाध्यकारी था जो मेल खाता था। हमें फिर से लॉगिन करना होगा और नए टोकन का उपयोग करना होगा।
• सुनिश्चित करें कि आप "कस्टम-एसए/" और "डिफ़ॉल्ट/" केवी पथ दोनों से पढ़ सकते हैं।
  सफलता!
  ऐसा इसलिए है क्योंकि हमारा "पोक-उबंटू-कस्टम-सा" "कस्टम-सा" और "डिफ़ॉल्ट-एनएस" नियम बाइंडिंग से मेल खाता है।

निष्कर्ष

टीटीएल टोकन एमजीएमटी?

इस लेखन के समय, इस प्राधिकरण पद्धति द्वारा उत्पन्न टोकन के लिए टीटीएल निर्धारित करने का कोई एकीकृत तरीका नहीं है। यह कौंसल प्राधिकरण का सुरक्षित स्वचालन प्रदान करने का एक शानदार अवसर होगा।

टीटीएल के साथ मैन्युअल रूप से टोकन बनाने का विकल्प है:

• https://www.consul.io/docs/acl/acl-system.html#acl-tokens
  समाप्ति समय - वह समय जब यह टोकन रद्द कर दिया जाएगा। (वैकल्पिक; कौंसल 1.5.0 में जोड़ा गया)
• केवल मैन्युअल निर्माण/अद्यतन के लिए मौजूद है https://www.consul.io/api/acl/tokens.html#expirationtime

उम्मीद है कि निकट भविष्य में हम यह नियंत्रित करने में सक्षम होंगे कि टोकन कैसे उत्पन्न होते हैं (प्रति नियम या प्राधिकरण विधि) और टीटीएल जोड़ें।

तब तक, यह सुझाव दिया जाता है कि आप अपने तर्क में लॉगआउट एंडपॉइंट का उपयोग करें।

• https://www.consul.io/api/acl/acl.html#logout-from-auth-method
• https://www.consul.io/docs/acl/acl-auth-methods.html#overall-login-process

हमारे ब्लॉग पर अन्य लेख भी पढ़ें:

• प्राधिकरण के बिना ClickHouse से प्राधिकरण के साथ ClickHouse में स्थानांतरण से क्या हुआ?
• GitLab CI/CD का उपयोग करके एकाधिक पाइपलाइन कैसे चलाएं
• डॉकर छवियों को सिकोड़ने की तीन सरल तरकीबें
• K8S के लिए इनग्रेस कंट्रोलर के रूप में ट्रैफ़िक
• बड़ी संख्या में विविध वेब परियोजनाओं का बैकअप
• Redmine के लिए टेलीग्राम बॉट। अपने और दूसरों के जीवन को सरल कैसे बनाएं?

स्रोत: www.habr.com