この記事は、すでに説明されている内容を拡張するために書かれています
この記事では、次のインストールと構成の方法を説明します。
- キークローク はオープンソース プロジェクトです。 これにより、アプリケーションに単一のエントリ ポイントが提供されます。 私たちが興味を持っている LDAP や OpenID など、多くのプロトコルで動作します。
- キークロークのゲートキーパー - Keycloakを介して認証を統合できるリバースプロキシアプリケーション。
- 舷門 - OpenID を介して Kubernetes API にログインして接続できる kubectl の構成を生成するアプリケーション。
Kubernetes での権限の仕組み。
RBAC を使用してユーザー/グループの権限を管理できます。これについてはすでにたくさんの記事が作成されています。これについては詳しく説明しません。 問題は、RBAC を使用してユーザー権限を制限できるが、Kubernetes はユーザーについて何も知らないことです。 Kubernetes にはユーザー配信メカニズムが必要であることがわかりました。 これを行うには、Kubernetes OpenID にプロバイダーを追加します。プロバイダーは、そのようなユーザーが実際に存在することを通知し、Kubernetes 自体がそのユーザーに権限を与えます。
訓練
- Kubernetes クラスターまたは minikube が必要になります。
- Active Directory
- ドメイン:
keycloak.example.org
kubernetes-dashboard.example.org
ギャングウェイ.example.org - ドメインの証明書または自己署名証明書
自己署名証明書の作成方法については詳しく説明しません。2 つの証明書を作成する必要があります。これは、*.example.org ドメインのルート (認証局) とワイルドカード クライアントです。
証明書を受信/発行した後、クライアントを Kubernetes に追加する必要があります。このために、クライアントのシークレットを作成します。
kubectl create secret tls tls-keycloak --cert=example.org.crt --key=example.org.pem
次に、これを Ingress コントローラーに使用します。
Keycloakのインストール
私は、これに既製のソリューション、つまりヘルム チャートを使用するのが最も簡単な方法であると判断しました。
リポジトリをインストールして更新します。
helm repo add codecentric https://codecentric.github.io/helm-charts
helm repo update
次の内容を含む keycloak.yml ファイルを作成します。
キークローク.yml
keycloak:
# Имя администратора
username: "test_admin"
# Пароль администратор
password: "admin"
# Эти флаги нужны что бы позволить загружать в Keycloak скрипты прямо через web морду. Это нам
понадобиться что бы починить один баг, о котором ниже.
extraArgs: "-Dkeycloak.profile.feature.script=enabled -Dkeycloak.profile.feature.upload_scripts=enabled"
# Включаем ingress, указываем имя хоста и сертификат который мы предварительно сохранили в secrets
ingress:
enabled: true
path: /
annotations:
kubernetes.io/ingress.class: nginx
ingress.kubernetes.io/affinity: cookie
hosts:
- keycloak.example.org
tls:
- hosts:
- keycloak.example.org
secretName: tls-keycloak
# Keycloak для своей работы требует базу данных, в тестовых целях я разворачиваю Postgresql прямо в Kuberntes, в продакшене так лучше не делать!
persistence:
deployPostgres: true
dbVendor: postgres
postgresql:
postgresUser: keycloak
postgresPassword: ""
postgresDatabase: keycloak
persistence:
enabled: true
フェデレーションのセットアップ
次に、Webインターフェイスに移動します
左隅をクリックします レルムの追加
キー
値
名前
クベルネテス
表示名
Kubernetes
ユーザーの電子メール検証を無効にします。
クライアント スコープ —> 電子メール —> マッパー —> 電子メールが確認済み (削除)
ActiveDirectory からユーザーをインポートするためにフェデレーションを設定しました。以下にスクリーンショットを残しておきます。より明確になると思います。
ユーザーフェデレーション —> プロバイダーの追加… —> ldap
フェデレーションのセットアップ
問題がなければ、ボタンを押した後、 すべてのユーザーを同期する ユーザーのインポートが成功したことを示すメッセージが表示されます。
次にグループをマッピングする必要があります
ユーザーフェデレーション --> ldap_localhost --> マッパー --> 作成
マッパーの作成
クライアントのセットアップ
クライアントを作成する必要があります。Keycloak に関して言えば、これはクライアントから承認されるアプリケーションです。 スクリーンショットの重要なポイントを赤で強調表示します。
クライアント —> 作成
クライアントのセットアップ
グループのスコープを作成しましょう。
クライアント スコープ —> 作成
スコープの作成
そして、それらのためにマッパーをセットアップします。
クライアント スコープ —> グループ —> マッパー —> 作成
マッパー
グループのマッピングをデフォルトのクライアント スコープに追加します。
クライアント —> kubernetes —> クライアント スコープ —> デフォルトのクライアント スコープ
選択します グループヘッド в 利用可能なクライアント スコープ、 プレス 選択したものを追加
Keycloak での認可に使用するシークレットを取得します (そしてスレッドに書き込みます)。
クライアント —> kubernetes —> 認証情報 —> シークレット
これでセットアップは完了しましたが、認証に成功した後にエラー 403 が表示されてしまいました。
修理:
クライアントスコープ —> ロール —> マッパー —> 作成
マッパー
スクリプトコード
// add current client-id to token audience
token.addAudience(token.getIssuedFor());
// return token issuer as dummy result assigned to iss again
token.getIssuer();
Kubernetesの構成
サイトのルート証明書がどこにあるか、および OIDC プロバイダーがどこにあるかを指定する必要があります。
これを行うには、ファイル /etc/kubernetes/manifests/kube-apiserver.yaml を編集します。
kube-apiserver.yaml
...
spec:
containers:
- command:
- kube-apiserver
...
- --oidc-ca-file=/var/lib/minikube/certs/My_Root.crt
- --oidc-client-id=kubernetes
- --oidc-groups-claim=groups
- --oidc-issuer-url=https://keycloak.example.org/auth/realms/kubernetes
- --oidc-username-claim=email
...
クラスター内の kubeadm 構成を更新します。
kubeadmconfig
kubectl edit -n kube-system configmaps kubeadm-config
...
data:
ClusterConfiguration: |
apiServer:
extraArgs:
oidc-ca-file: /var/lib/minikube/certs/My_Root.crt
oidc-client-id: kubernetes
oidc-groups-claim: groups
oidc-issuer-url: https://keycloak.example.org/auth/realms/kubernetes
oidc-username-claim: email
...
認証プロキシの設定
Keycloak ゲートキーパーを使用して Web アプリケーションを保護できます。 このリバース プロキシは、ページを表示する前にユーザーを認証するだけでなく、ユーザーに関する情報もヘッダーでエンド アプリケーションに渡します。 したがって、アプリケーションが OpenID をサポートしている場合、ユーザーはすぐに認証されます。 Kubernetes ダッシュボードの例を考えてみましょう
Kubernetes ダッシュボードのインストール
helm install stable/kubernetes-dashboard --name dashboard -f values_dashboard.yaml
値_ダッシュボード.yaml
enableInsecureLogin: true
service:
externalPort: 80
rbac:
clusterAdminRole: true
create: true
serviceAccount:
create: true
name: 'dashboard-test'
アクセス権の設定:
DataOPS グループ内のユーザーにクラスター管理者権限 (標準の ClusterRole クラスター管理者) を与える ClusterRoleBinding を作成しましょう。
kubectl apply -f rbac.yaml
rbac.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
name: dataops_group
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: ClusterRole
name: cluster-admin
subjects:
- apiGroup: rbac.authorization.k8s.io
kind: Group
name: DataOPS
Keycloak ゲートキーパーをインストールします。
helm repo add gabibbo97 https://gabibbo97.github.io/charts/
helm repo update
helm install gabibbo97/keycloak-gatekeeper --version 2.1.0 --name keycloak-gatekeeper -f values_proxy.yaml
値_プロキシ.yaml
# Включаем ingress
ingress:
enabled: true
annotations:
kubernetes.io/ingress.class: nginx
path: /
hosts:
- kubernetes-dashboard.example.org
tls:
- secretName: tls-keycloak
hosts:
- kubernetes-dashboard.example.org
# Говорим где мы будем авторизовываться у OIDC провайдера
discoveryURL: "https://keycloak.example.org/auth/realms/kubernetes"
# Имя клиента которого мы создали в Keycloak
ClientID: "kubernetes"
# Secret который я просил записать
ClientSecret: "c6ec03b8-d0b8-4cb6-97a0-03becba1d727"
# Куда перенаправить в случае успешной авторизации. Формат <SCHEMA>://<SERVICE_NAME>.><NAMESAPCE>.<CLUSTER_NAME>
upstreamURL: "http://dashboard-kubernetes-dashboard.default.svc.cluster.local"
# Пропускаем проверку сертификата, если у нас самоподписанный
skipOpenidProviderTlsVerify: true
# Настройка прав доступа, пускаем на все path если мы в группе DataOPS
rules:
- "uri=/*|groups=DataOPS"
その後、そこに行こうとすると、
タラップの設置
便宜上、kubectl の構成ファイルを生成するギャングウェイを追加できます。これを利用して、ユーザーの下で Kubernetes にアクセスします。
helm install --name gangway stable/gangway -f values_gangway.yaml
値_ギャングウェイ.yaml
gangway:
# Произвольное имя кластера
clusterName: "my-k8s"
# Где у нас OIDC провайдер
authorizeURL: "https://keycloak.example.org/auth/realms/kubernetes/protocol/openid-connect/auth"
tokenURL: "https://keycloak.example.org/auth/realms/kubernetes/protocol/openid-connect/token"
audience: "https://keycloak.example.org/auth/realms/kubernetes/protocol/openid-connect/userinfo"
# Теоритически сюда можно добавить groups которые мы замапили
scopes: ["openid", "profile", "email", "offline_access"]
redirectURL: "https://gangway.example.org/callback"
# Имя клиента
clientID: "kubernetes"
# Секрет
clientSecret: "c6ec03b8-d0b8-4cb6-97a0-03becba1d727"
# Если оставить дефолтное значние, то за имя пользователя будет братья <b>Frist name</b> <b>Second name</b>, а при "sub" его логин
usernameClaim: "sub"
# Доменное имя или IP адресс API сервера
apiServerURL: "https://192.168.99.111:8443"
# Включаем Ingress
ingress:
enabled: true
annotations:
kubernetes.io/ingress.class: nginx
nginx.ingress.kubernetes.io/proxy-buffer-size: "64k"
path: /
hosts:
- gangway.example.org
tls:
- secretName: tls-keycloak
hosts:
- gangway.example.org
# Если используем самоподписанный сертификат, то его(открытый корневой сертификат) надо указать.
trustedCACert: |-
-----BEGIN CERTIFICATE-----
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
-----END CERTIFICATE-----
このように見えます。 構成ファイルをすぐにダウンロードし、一連のコマンドを使用して生成できます。
出所: habr.com