Hashicorp Consul の Kubernetes 認証の概要

そうなんです、リリース後は ハシコープコンスル 1.5.0 2019 年 XNUMX 月初旬、Consul では、Kubernetes でネイティブに実行されるアプリケーションとサービスを承認できるようになりました。

このチュートリアルでは、段階的に作成していきます POC (概念実証、PoC) この新機能をデモンストレーションします。Kubernetes と Hashicorp の Consul に関する基本的な知識があることが期待されます。任意のクラウド プラットフォームまたはオンプレミス環境を使用できますが、このチュートリアルでは Google の Cloud Platform を使用します。

Обзор

行ったら 承認方法に関する領事館のドキュメントでは、その目的と使用例、技術的な詳細、ロジックの概要について簡単に説明します。 これからすべてを説明して理解するので、先に進む前に少なくとも一度は読むことを強くお勧めします。

図 1: 領事認証方法の公式概要

覗いてみましょう 特定の Kubernetes 認証方法に関するドキュメント.

確かに、役立つ情報はありますが、それを実際に使用する方法に関するガイドはありません。 したがって、正気の人なら誰でも同じように、インターネットで指針を探します。 そして...失敗します。 それは起こります。 これを修正しましょう。

POC の作成に進む前に、Consul の認証方法の概要 (図 1) に戻り、Kubernetes のコンテキストで洗練させてみましょう。

アーキテクチャ

このチュートリアルでは、Consul クライアントがインストールされている Kubernetes クラスターと通信する別のマシンに Consul サーバーを作成します。 次に、ポッド内にダミー アプリケーションを作成し、構成された認証メソッドを使用して Consul キー/値ストアから読み取ります。

以下の図は、このチュートリアルで作成しているアーキテクチャと、後で説明する認証方法の背後にあるロジックを詳しく示しています。

図 2: Kubernetes 認証方法の概要

簡単なメモ: これが機能するために、Consul サーバーが Kubernetes クラスターの外に存在する必要はありません。 しかし、はい、彼はあんなこともあんなこともできるのです。

したがって、Consul の概要図 (図 1) に Kubernetes を適用すると、上の図 (図 2) が得られます。ここでのロジックは次のとおりです。

1. 各ポッドには、生成されて Kubernetes によって認識される JWT トークンを含むサービス アカウントがアタッチされます。 このトークンはデフォルトでポッドにも挿入されます。
2. ポッド内のアプリケーションまたはサービスは、Consul クライアントへのログイン コマンドを開始します。 ログインリクエストにはトークンと名前も含まれます 特別に作られた 認証方式（Kubernetesタイプ）。 このステップ #2 は、Consul ダイアグラム (スキーム 1) のステップ 1 に対応します。
3. Consul クライアントは、このリクエストを Consul サーバーに転送します。
4. 魔法！ ここで、Consul サーバーはリクエストの信頼性を検証し、リクエストの ID に関する情報を収集し、それを関連する事前定義されたルールと比較します。 以下はこれを説明する別の図です。 このステップは、Consul の概要図 (図 3) のステップ 4、5、および 1 に対応します。
5. Consul サーバーは、要求者の ID に関して指定された認可方法ルール (定義済み) に従った権限を持つ Consul トークンを生成します。 その後、そのトークンが送り返されます。 これは、Consul の図 (図 6) のステップ 1 に対応します。
6. Consul クライアントは、要求元のアプリケーションまたはサービスにトークンを転送します。

これで、アプリケーションまたはサービスは、トークンの権限によって決定されるように、この Consul トークンを使用して Consul データと通信できるようになります。

魔法が明かされる！

帽子からウサギが出てきただけでは満足できず、それがどのように機能するかを知りたい人のために...「その奥深さを教えてください」 ウサギの巣穴'。

前述したように、「魔法の」ステップ (図 2: ステップ 4) では、Consul サーバーがリクエストを認証し、リクエストに関する情報を収集し、関連する事前定義されたルールと比較します。 このステップは、Consul の概要図 (図 3) のステップ 4、5、および 1 に対応します。 以下の図 (図 3) は、実際に何が起こっているかを明確に示すことを目的としています。 フードの下 特定の Kubernetes 認証方法。

図 3: 魔法が明らかになります。

1. まず、Consul クライアントは、Kubernetes アカウント トークンと、前に作成した認証メソッドの特定のインスタンス名を使用して、ログイン リクエストを Consul サーバーに転送します。 このステップは、前の回路説明のステップ 3 に対応します。
2. ここで、Consul サーバー (またはリーダー) は、受信したトークンの信頼性を検証する必要があります。 したがって、(Consul クライアント経由で) Kubernetes クラスターを参照し、適切な権限を使用して、トークンが本物かどうか、およびトークンが誰に属しているかを調べます。
3. 検証されたリクエストは Consul リーダーに返され、Consul サーバーはログイン リクエスト (および Kubernetes タイプ) から指定された名前の認可メソッド インスタンスを検索します。
4. 領事リーダーは、指定された承認メソッド インスタンス (見つかった場合) を識別し、それに付加されているバインディング ルールのセットを読み取ります。 次に、これらのルールを読み取り、検証済みの ID 属性と比較します。
5. た、だー！ 先ほどの回路説明のステップ5に進みます。

通常の仮想マシン上で Consul-server を実行する

これからは、この POC の作成方法について、全文の説明はせずに、多くの場合箇条書きで説明します。 また、前述したように、すべてのインフラストラクチャの作成に GCP を使用しますが、同じインフラストラクチャを他の場所に作成することもできます。

• 仮想マシン (インスタンス/サーバー) を起動します。

• ファイアウォールのルール (AWS のセキュリティ グループ) を作成します。
• 私はルールとネットワーク タグの両方に同じマシン名を割り当てることを好みます。この場合は「skywiz-consul-server-poc」です。
• ローカル コンピューターの IP アドレスを見つけて送信元 IP アドレスのリストに追加すると、ユーザー インターフェイス (UI) にアクセスできるようになります。
• UI 用にポート 8500 を開きます。 「作成」をクリックします。 このファイアウォールは近々また変更する予定です [リンク].
• ファイアウォール ルールをインスタンスに追加します。 Consul Server の VM ダッシュボードに戻り、ネットワーク タグ フィールドに「skywiz-consul-server-poc」を追加します。 「保存」をクリックします。

• Consul を仮想マシンにインストールします。ここを確認してください。 Consul バージョン 1.5 以上が必要であることに注意してください [リンク]
• 単一ノードの Consul を作成しましょう - 構成は次のとおりです。

groupadd --system consul
useradd -s /sbin/nologin --system -g consul consul
mkdir -p /var/lib/consul
chown -R consul:consul /var/lib/consul
chmod -R 775 /var/lib/consul
mkdir /etc/consul.d
chown -R consul:consul /etc/consul.d

• Consul のインストールと 3 ノードのクラスターのセットアップに関する詳細なガイドについては、次を参照してください。 ここで.
• 次のようにファイル /etc/consul.d/agent.json を作成します [リンク]:

### /etc/consul.d/agent.json
{
 "acl" : {
 "enabled": true,
 "default_policy": "deny",
 "enable_token_persistence": true
 }
}

• Consul サーバーを起動します。

consul agent 
-server 
-ui 
-client 0.0.0.0 
-data-dir=/var/lib/consul 
-bootstrap-expect=1 
-config-dir=/etc/consul.d

• 大量の出力が表示され、最後に「...更新が ACL によってブロックされました。」というメッセージが表示されるはずです。
• Consul サーバーの外部 IP アドレスを見つけて、ポート 8500 でこの IP アドレスを使用してブラウザを開きます。UI が開くことを確認します。
• キーと値のペアを追加してみてください。 絶対間違ってます。 これは、Consul サーバーに ACL をロードし、すべてのルールを無効にしたためです。
• Consul サーバー上のシェルに戻り、バックグラウンドでプロセスを開始するか、他の方法でプロセスを実行し、次のように入力します。

consul acl bootstrap

• 「SecretID」値を見つけて、UI に戻ります。 [ACL] タブに、コピーしたトークンのシークレット ID を入力します。 SecretID を別の場所にコピーします。後で必要になります。
• 次に、キーと値のペアを追加します。 この POC では、次を追加します: キー: 「custom-ns/test_key」、値: 「I'm in thecustom-ns フォルダー!」

Consul クライアントを Daemonset として使用してアプリケーションの Kubernetes クラスターを起動する

• K8s (Kubernetes) クラスターを作成します。 アクセスを高速化するためにサーバーと同じゾーンに作成するので、同じサブネットを使用して内部 IP アドレスに簡単に接続できます。 これを「skywiz-app-with-consul-client-poc」と呼びます。

• 余談ですが、Consul Connect を使用して POC Consul クラスターをセットアップしているときに見つけた優れたチュートリアルを次に示します。
• また、拡張値ファイルを含む Hashicorp ヘルム チャートも使用します。
• Helm をインストールして構成します。 設定手順:

kubectl create serviceaccount tiller --namespace kube-system
kubectl create clusterrolebinding tiller-admin-binding 
   --clusterrole=cluster-admin --serviceaccount=kube-system:tiller
./helm init --service-account=tiller
./helm update

• ヘルムチャート: https://www.consul.io/docs/platform/k8s/helm.html
• 次の値ファイルを使用します (ほとんどを無効にしていることに注意してください)。

### poc-helm-consul-values.yaml
global:
 enabled: false
 image: "consul:latest"
# Expose the Consul UI through this LoadBalancer
ui:
 enabled: false
# Allow Consul to inject the Connect proxy into Kubernetes containers
connectInject:
 enabled: false
# Configure a Consul client on Kubernetes nodes. GRPC listener is required for Connect.
client:
 enabled: true
 join: ["<PRIVATE_IP_CONSUL_SERVER>"]
 extraConfig: |
{
  "acl" : {
 "enabled": true,   
 "default_policy": "deny",   
 "enable_token_persistence": true 
  }
}
# Minimal Consul configuration. Not suitable for production.
server:
 enabled: false
# Sync Kubernetes and Consul services
syncCatalog:
 enabled: false

• ヘルム チャートを適用します。

./helm install -f poc-helm-consul-values.yaml ./consul-helm - name skywiz-app-with-consul-client-poc

• 実行しようとすると、Consul サーバーに対する権限が必要になるので、追加しましょう。
• クラスター ダッシュボードにある「ポッド アドレス範囲」に注目し、「skywiz-consul-server-poc」ファイアウォール ルールを参照してください。
• ポッドのアドレス範囲を IP アドレスのリストに追加し、ポート 8301 および 8300 を開きます。

• Consul UI に移動すると、数分後にノード タブにクラスターが表示されることがわかります。

Consul と Kubernetes の統合による認証方法の構成

• Consul サーバー シェルに戻り、前に保存したトークンをエクスポートします。

export CONSUL_HTTP_TOKEN=<SecretID>

• 認証メソッドのインスタンスを作成するには、Kubernetes クラスターからの情報が必要です。
• kubernetes-ホスト

kubectl get endpoints | grep kubernetes

• kubernetes-サービス-アカウント-jwt

kubectl get sa <helm_deployment_name>-consul-client -o yaml | grep "- name:"
kubectl get secret <secret_name_from_prev_command> -o yaml | grep token:

• トークンは Base64 でエンコードされているため、お気に入りのツールを使用して復号化します [リンク]
• kubernetes-ca-cert

kubectl get secret <secret_name_from_prev_command> -o yaml | grep ca.crt:

• 「ca.crt」証明書 (base64 デコード後) を取得し、それを「ca.crt」ファイルに書き込みます。
• 次に、プレースホルダーを受け取った値に置き換えて、認証メソッドをインスタンス化します。

consul acl auth-method create 
-type "kubernetes" 
-name "auth-method-skywiz-consul-poc" 
-description "This is an auth method using kubernetes for the cluster skywiz-app-with-consul-client-poc" 
-kubernetes-host "<k8s_endpoint_retrieved earlier>" 
[email protected] 
-kubernetes-service-account-
jwt="<decoded_token_retrieved_earlier>"

• 次に、ルールを作成し、新しいロールにアタッチする必要があります。 この部分では Consul UI を使用できますが、ここではコマンド ラインを使用します。
• ルールを書く

### kv-custom-ns-policy.hcl
key_prefix "custom-ns/" {
 policy = "write"
}

• ルールを適用する

consul acl policy create 
-name kv-custom-ns-policy 
-description "This is an example policy for kv at custom-ns/" 
-rules @kv-custom-ns-policy.hcl

• 出力から作成したばかりのルールの ID を見つけます。
• 新しいルールを使用してロールを作成します。

consul acl role create 
-name "custom-ns-role" 
-description "This is an example role for custom-ns namespace" 
-policy-id <policy_id>

• 次に、新しいロールを認証メソッドのインスタンスに関連付けます。 「セレクター」フラグによって、ログイン要求がこのロールを受け取るかどうかが決定されることに注意してください。 他のセレクター オプションについては、ここを確認してください。 https://www.consul.io/docs/acl/auth-methods/kubernetes.html#trusted-identity-attributes

consul acl binding-rule create 
-method=auth-method-skywiz-consul-poc 
-bind-type=role 
-bind-name='custom-ns-role' 
-selector='serviceaccount.namespace=="custom-ns"'

最後に設定

アクセス権

• アクセス権を作成します。 K8s サービス アカウント トークンの ID を確認して識別する許可を Consul に与える必要があります。
• ファイルに次の内容を書き込みます [リンク]:

###skywiz-poc-consul-server_rbac.yaml
---
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
 name: review-tokens
 namespace: default
subjects:
- kind: ServiceAccount
 name: skywiz-app-with-consul-client-poc-consul-client
 namespace: default
roleRef:
 kind: ClusterRole
 name: system:auth-delegator
 apiGroup: rbac.authorization.k8s.io
---
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
 name: service-account-getter
 namespace: default
rules:
- apiGroups: [""]
 resources: ["serviceaccounts"]
 verbs: ["get"]
---
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
 name: get-service-accounts
 namespace: default
subjects:
- kind: ServiceAccount
 name: skywiz-app-with-consul-client-poc-consul-client
 namespace: default
roleRef:
 kind: ClusterRole
 name: service-account-getter
 apiGroup: rbac.authorization.k8s.io

• アクセス権を作成しましょう

kubectl create -f skywiz-poc-consul-server_rbac.yaml

Consul クライアントに接続する

• 述べたように ここでdaemonset に接続するにはいくつかのオプションがありますが、次の簡単な解決策に進みます。
• 次のファイルを適用します [リンク].

### poc-consul-client-ds-svc.yaml
apiVersion: v1
kind: Service
metadata:
 name: consul-ds-client
spec:
 selector:
   app: consul
   chart: consul-helm
   component: client
   hasDNS: "true"
   release: skywiz-app-with-consul-client-poc
 ports:
 - protocol: TCP
   port: 80
   targetPort: 8500

• 次に、次の組み込みコマンドを使用して configmap を作成します [リンク]。 サービス名を参照していることに注意してください。必要に応じて置き換えてください。

cat <<EOF | kubectl apply -f -
apiVersion: v1
kind: ConfigMap
metadata:
 labels:
   addonmanager.kubernetes.io/mode: EnsureExists
 name: kube-dns
 namespace: kube-system
data:
 stubDomains: |
   {"consul": ["$(kubectl get svc consul-ds-client -o jsonpath='{.spec.clusterIP}')"]}
EOF

認証方法のテスト

では、実際の魔法の動作を見てみましょう。

• 同じトップレベルのキーを持つさらにいくつかのキー フォルダーを作成します (つまり、 /sample_key) と選択した値。 新しいキー パスに適切なポリシーとロールを作成します。 バインディングは後でやります。

カスタム名前空間テスト:

• 独自の名前空間を作成しましょう。

kubectl create namespace custom-ns

• 新しい名前空間にポッドを作成しましょう。 ポッドの構成を書き込みます。

###poc-ubuntu-custom-ns.yaml
apiVersion: v1
kind: Pod
metadata:
 name: poc-ubuntu-custom-ns
 namespace: custom-ns
spec:
 containers:
 - name: poc-ubuntu-custom-ns
   image: ubuntu
   command: ["/bin/bash", "-ec", "sleep infinity"]
 restartPolicy: Never

• 以下の下に作成します:

kubectl create -f poc-ubuntu-custom-ns.yaml

• コンテナーが実行されたら、そこに移動してcurlをインストールします。

kubectl exec poc-ubuntu-custom-ns -n custom-ns -it /bin/bash
apt-get update && apt-get install curl -y

• ここで、前に作成した認証メソッドを使用してログインリクエストを Consul に送信します [リンク].
• サービス アカウントから入力されたトークンを表示するには:

cat /run/secrets/kubernetes.io/serviceaccount/token

• コンテナ内のファイルに次の内容を書き込みます。

### payload.json
{
 "AuthMethod": "auth-method-test",
 "BearerToken": "<jwt_token>"
}

• ログインする！

curl 
--request POST 
--data @payload.json 
consul-ds-client.default.svc.cluster.local/v1/acl/login

• (複数のテストを実行するため) 上記の手順を XNUMX 行で完了するには、次の手順を実行します。

echo "{ 
"AuthMethod": "auth-method-skywiz-consul-poc", 
"BearerToken": "$(cat /run/secrets/kubernetes.io/serviceaccount/token)" 
}" 
| curl 
--request POST 
--data @- 
consul-ds-client.default.svc.cluster.local/v1/acl/login

• 効く！ 少なくともそうすべきです。 次に、SecretID を取得し、アクセスする必要があるキー/値にアクセスしてみます。

curl 
consul-ds-client.default.svc.cluster.local/v1/kv/custom-ns/test_key --header “X-Consul-Token: <SecretID_from_prev_response>”

• 「Value」を Base64 デコードして、それが UI のcustom-ns/test_key の値と一致することを確認できます。 このチュートリアルで上記と同じ値を使用した場合、エンコードされた値は IkknbSBpbiB0aGUgY3VzdG9tLW5zIGZvbGRlciEi になります。

ユーザー サービス アカウントのテスト:

• 次のコマンドを使用してカスタム ServiceAccount を作成します。リンク].

kubectl apply -f - <<EOF
apiVersion: v1
kind: ServiceAccount
metadata:
 name: custom-sa
EOF

• ポッドの新しい構成ファイルを作成します。 労力を節約するためにカールのインストールを含めたことに注意してください:)

###poc-ubuntu-custom-sa.yaml
apiVersion: v1
kind: Pod
metadata:
 name: poc-ubuntu-custom-sa
 namespace: default
spec:
 serviceAccountName: custom-sa
 containers:
 - name: poc-ubuntu-custom-sa
   image: ubuntu
   command: ["/bin/bash","-ec"]
   args: ["apt-get update && apt-get install curl -y; sleep infinity"]
 restartPolicy: Never

• その後、コンテナ内でシェルを実行します。

kubectl exec -it poc-ubuntu-custom-sa /bin/bash

• ログインする！

echo "{ 
"AuthMethod": "auth-method-skywiz-consul-poc", 
"BearerToken": "$(cat /run/secrets/kubernetes.io/serviceaccount/token)" 
}" 
| curl 
--request POST 
--data @- 
consul-ds-client.default.svc.cluster.local/v1/acl/login

• 許可が拒否されました。 ああ、適切な権限をバインディングする新しいルールを追加するのを忘れていました。ここで追加しましょう。

上記の手順を繰り返します。
a) プレフィックス「custom-sa/」に対して同一のポリシーを作成します。
b) ロールを作成し、「custom-sa-role」と名付けます。
c) ポリシーをロールにアタッチします。

• ルール バインディングを作成します (cli/api からのみ可能)。 セレクター フラグの意味が異なることに注意してください。

consul acl binding-rule create 
-method=auth-method-skywiz-consul-poc 
-bind-type=role 
-bind-name='custom-sa-role' 
-selector='serviceaccount.name=="custom-sa"'

• 「poc-ubuntu-custom-sa」コンテナから再度ログインします。 成功！
• Custom-sa/key パスへのアクセスを確認してください。

curl 
consul-ds-client.default.svc.cluster.local/v1/kv/custom-sa/test_key --header “X-Consul-Token: <SecretID>”

• このトークンが「custom-ns/」の kv へのアクセスを許可しないようにすることもできます。 「custom-sa」をプレフィックス「custom-ns」に置き換えて、上記のコマンドを繰り返すだけです。
  アクセス拒否。

オーバーレイの例:

• すべてのルール バインディング マッピングがこれらの権限を持つトークンに追加されることに注意してください。
• コンテナー「poc-ubuntu-custom-sa」はデフォルトの名前空間にあるので、それを別のルール バインディングに使用しましょう。
• 前の手順を繰り返します。
  a) 「default/」キープレフィックスに対して同一のポリシーを作成します。
  b) ロールを作成し、「default-ns-role」という名前を付けます。
  c) ポリシーをロールにアタッチします。
• ルールバインディングの作成 (cli/api からのみ可能)

consul acl binding-rule create 
-method=auth-method-skywiz-consul-poc 
-bind-type=role 
-bind-name='default-ns-role' 
-selector='serviceaccount.namespace=="default"'

• 「poc-ubuntu-custom-sa」コンテナに戻り、「default/」kv パスにアクセスしてみます。
• アクセス拒否。
  各トークンに指定された認証情報は、UI の [ACL] > [トークン] で確認できます。 ご覧のとおり、現在のトークンには「custom-sa-role」が XNUMX つだけアタッチされています。 現在使用しているトークンはログイン時に生成され、その時点で一致するルール バインディングは XNUMX つだけでした。 再度ログインして新しいトークンを使用する必要があります。
• 「custom-sa/」と「default/」の両方の KV パスから読み取れることを確認してください。
  成功！
  これは、「poc-ubuntu-custom-sa」が「custom-sa」および「default-ns」ルール バインディングと一致するためです。

まとめ

TTLトークン管理?

この記事の執筆時点では、この認可方法によって生成されたトークンの TTL を決定する統合された方法はありません。 領事認証の安全な自動化を提供する素晴らしい機会となるでしょう。

TTL を使用してトークンを手動で作成するオプションがあります。

• https://www.consul.io/docs/acl/acl-system.html#acl-tokens
  有効期限 - このトークンが取り消される時刻。 (オプション; Consul 1.5.0 で追加)
• 手動作成/更新の場合にのみ存在します https://www.consul.io/api/acl/tokens.html#expirationtime

近い将来、トークンの生成方法を (ルールまたは認可方法ごとに) 制御し、TTL を追加できるようになることを願っています。

それまでは、ロジックでログアウト エンドポイントを使用することをお勧めします。

• https://www.consul.io/api/acl/acl.html#logout-from-auth-method
• https://www.consul.io/docs/acl/acl-auth-methods.html#overall-login-process

私たちのブログの他の記事もお読みください。

• 承認なしの ClickHouse から承認ありの ClickHouse への移行はどうなりましたか?
• GitLab CI/CD を使用して複数のパイプラインを実行する方法
• Docker イメージを縮小するための XNUMX つの簡単なトリック
• K8S の Ingress コントローラーとしての Traefik
• 多数の異種 Web プロジェクトのバックアップ
• Redmineのテレグラムボット。 自分自身と他人の生活を簡素化する方法

出所： habr.com