យើងភ្ជាប់ការអនុញ្ញាត ActiveDirectory ទៅ Kubernetes ដោយប្រើ Keycloak

អត្ថបទនេះត្រូវបានសរសេរក្នុងគោលបំណងពង្រីកវិសាលភាពរួចហើយ ដែលមានស្រាប់ប៉ុន្តែនិយាយអំពីលក្ខណៈពិសេសនៃការតភ្ជាប់ជាពិសេសជាមួយ Microsoft ActiveDirectory ហើយថែមទាំងបំពេញបន្ថែមវាផងដែរ។

នៅក្នុងអត្ថបទនេះ ខ្ញុំនឹងប្រាប់អ្នកពីរបៀបដំឡើង និងកំណត់រចនាសម្ព័ន្ធ៖

• សោរ គឺជាគម្រោងប្រភពបើកចំហ។ ដែលផ្តល់ចំណុចចូលតែមួយសម្រាប់កម្មវិធី។ ធ្វើការជាមួយពិធីការជាច្រើន រួមទាំង LDAP និង OpenID ដែលចាប់អារម្មណ៍ចំពោះយើង។
• អ្នកយាមទ្វារសោ - កម្មវិធីប្រូកស៊ីបញ្ច្រាសដែលអនុញ្ញាតឱ្យអ្នកបញ្ចូលការអនុញ្ញាតតាមរយៈ Keycloak ។
• Gangway - កម្មវិធីដែលបង្កើត config សម្រាប់ kubectl ដែលអ្នកអាចចូលតាមរយៈ OpenID ហើយភ្ជាប់ទៅ Kubernetes API ។

របៀបដែលការអនុញ្ញាតដំណើរការនៅក្នុង Kubernetes ។

យើងអាចគ្រប់គ្រងសិទ្ធិអ្នកប្រើប្រាស់/ក្រុមដោយប្រើ RBAC អត្ថបទជាច្រើនត្រូវបានបង្កើតឡើងរួចហើយអំពីបញ្ហានេះ ខ្ញុំនឹងមិនរស់នៅលើរឿងនេះឱ្យបានលម្អិតទេ។ បញ្ហាគឺថាអ្នកអាចប្រើ RBAC ដើម្បីរឹតបន្តឹងសិទ្ធិអ្នកប្រើប្រាស់ ប៉ុន្តែ Kubernetes មិនដឹងអ្វីទាំងអស់អំពីអ្នកប្រើប្រាស់។ វាប្រែថាយើងត្រូវការយន្តការចែកចាយអ្នកប្រើប្រាស់នៅក្នុង Kubernetes ។ ដើម្បីធ្វើដូច្នេះ យើងនឹងបន្ថែមអ្នកផ្តល់សេវាទៅ Kuberntes OpenID ដែលនឹងបង្ហាញថាអ្នកប្រើប្រាស់បែបនេះពិតជាមាន ហើយ Kubernetes ខ្លួនឯងនឹងផ្តល់សិទ្ធិឱ្យគាត់។

ការរៀបចំ

• អ្នកនឹងត្រូវការចង្កោម Kubernetes ឬ minikube
• Active Directory
• ដែន៖
  keycloak.example.org
  kubernetes-dashboard.example.org
  gangway.example.org
• វិញ្ញាបនបត្រសម្រាប់ដែន ឬវិញ្ញាបនបត្រដែលចុះហត្ថលេខាដោយខ្លួនឯង។

ខ្ញុំនឹងមិននិយាយលម្អិតអំពីរបៀបបង្កើតវិញ្ញាបនបត្រដែលចុះហត្ថលេខាដោយខ្លួនឯងទេ អ្នកត្រូវបង្កើតវិញ្ញាបនបត្រចំនួន 2 នេះគឺជា root (អាជ្ញាធរវិញ្ញាបនប័ត្រ) និងអក្សរជំនួសរបស់អតិថិជនសម្រាប់ដែន *.example.org

បន្ទាប់ពីអ្នកទទួល/សរសេរវិញ្ញាបនបត្រ អ្នកត្រូវបន្ថែមវិញ្ញាបនបត្រអតិថិជនទៅ Kubernetes ដើម្បីធ្វើដូច្នេះ បង្កើតអាថ៌កំបាំងសម្រាប់វា៖

kubectl create secret tls tls-keycloak --cert=example.org.crt --key=example.org.pem

បន្ទាប់មកយើងនឹងប្រើវាសម្រាប់ឧបករណ៍បញ្ជា Ingress របស់យើង។

ការដំឡើងសោ

ខ្ញុំបានសម្រេចចិត្តថាមធ្យោបាយងាយស្រួលបំផុតគឺត្រូវប្រើដំណោះស្រាយដែលត្រៀមរួចជាស្រេចសម្រាប់បញ្ហានេះ ពោលគឺតារាងមួកសុវត្ថិភាព។

ដំឡើងឃ្លាំង ហើយធ្វើបច្ចុប្បន្នភាពវា៖

helm repo add codecentric https://codecentric.github.io/helm-charts
helm repo update

បង្កើតឯកសារ keycloak.yml ដែលមានខ្លឹមសារដូចខាងក្រោម៖

keycloak.yml

keycloak:
  # Имя администратора
  username: "test_admin"
  # Пароль администратор  
  password: "admin"
  # Эти флаги нужны что бы позволить загружать в Keycloak скрипты прямо через web морду. Это нам 
  понадобиться что бы починить один баг, о котором ниже.
  extraArgs: "-Dkeycloak.profile.feature.script=enabled -Dkeycloak.profile.feature.upload_scripts=enabled" 
  # Включаем ingress, указываем имя хоста и сертификат который мы предварительно сохранили в secrets
  ingress:
    enabled: true 
    path: /
    annotations:
      kubernetes.io/ingress.class: nginx
      ingress.kubernetes.io/affinity: cookie
    hosts:
      - keycloak.example.org
    tls:
    - hosts:
        - keycloak.example.org
      secretName: tls-keycloak
  # Keycloak для своей работы требует базу данных, в тестовых целях я разворачиваю Postgresql прямо в Kuberntes, в продакшене так лучше не делать!
  persistence:
    deployPostgres: true
    dbVendor: postgres

postgresql:
  postgresUser: keycloak
  postgresPassword: ""
  postgresDatabase: keycloak
  persistence:
    enabled: true

ការរៀបចំសហព័ន្ធ

បន្ទាប់មកចូលទៅកាន់ចំណុចប្រទាក់បណ្ដាញ keycloak.example.org

នៅជ្រុងខាងឆ្វេងចុច បន្ថែមអាណាចក្រ

គន្លឹះ
តម្លៃ

ឈ្មោះ
Kubernetes

បង្ហាញឈ្មោះ
Kubernetes

បិទការត្រួតពិនិត្យការបញ្ជាក់អ៊ីមែលរបស់អ្នកប្រើ៖
វិសាលភាពរបស់អតិថិជន —> អ៊ីមែល —> អ្នកធ្វើផែនទី —> អ៊ីមែលដែលបានផ្ទៀងផ្ទាត់ (លុប)

យើងកំពុងបង្កើតសហព័ន្ធដើម្បីនាំចូលអ្នកប្រើប្រាស់ពី ActiveDirectory ខ្ញុំនឹងទុករូបថតអេក្រង់ខាងក្រោម ខ្ញុំគិតថាវានឹងកាន់តែច្បាស់។

សហព័ន្ធអ្នកប្រើប្រាស់ —> បន្ថែមអ្នកផ្តល់សេវា… —> ldap

ការរៀបចំសហព័ន្ធ


ប្រសិនបើអ្វីៗគ្រប់យ៉ាងល្អបន្ទាប់មកបន្ទាប់ពីចុចប៊ូតុង ធ្វើសមកាលកម្មអ្នកប្រើប្រាស់ទាំងអស់។ អ្នកនឹងឃើញសារដែលបង្ហាញពីការនាំចូលដោយជោគជ័យរបស់អ្នកប្រើប្រាស់។

បន្ទាប់យើងត្រូវគូសផែនទីក្រុមរបស់យើង។

សហព័ន្ធអ្នកប្រើប្រាស់ -> ldap_localhost -> Mappers -> បង្កើត

ការបង្កើតផែនទី

ការដំឡើងអតិថិជន

អ្នក​ត្រូវ​ការ​បង្កើត​ម៉ាស៊ីន​ភ្ញៀវ​ក្នុង​លក្ខខណ្ឌ​នៃ Keycloak នេះ​គឺ​ជា​កម្មវិធី​ដែល​នឹង​ត្រូវ​បាន​អនុញ្ញាត​ដោយ​វា​។ ខ្ញុំនឹងគូសបញ្ជាក់ចំណុចសំខាន់ៗជាពណ៌ក្រហមនៅក្នុងរូបថតអេក្រង់។

អតិថិជន -> បង្កើត

ការដំឡើងអតិថិជន

តោះបង្កើត scupe សម្រាប់ក្រុម៖

វិសាលភាពអតិថិជន -> បង្កើត

ការបង្កើតវិសាលភាព

ហើយរៀបចំផែនទីសម្រាប់ពួកគេ៖

វិសាលភាពអតិថិជន -> ក្រុម -> អ្នកធ្វើផែនទី -> បង្កើត

អ្នកធ្វើផែនទី

យើងបន្ថែមការគូសផែនទីក្រុមរបស់យើងទៅវិសាលភាពអតិថិជនលំនាំដើម៖

អតិថិជន -> kubernetes -> វិសាលភាពអតិថិជន -> វិសាលភាពអតិថិជនលំនាំដើម
ជ្រើសរើស ក្រុម в វិសាលភាពអតិថិជនដែលមានចុច បន្ថែមដែលបានជ្រើសរើស

យើងទទួលបានអាថ៌កំបាំង (ហើយសរសេរវានៅកន្លែងណាមួយ) ដែលយើងនឹងប្រើសម្រាប់ការអនុញ្ញាតនៅក្នុង Keycloak៖

អតិថិជន -> kubernetes -> Credentials -> Secret
វាបញ្ចប់ការដំឡើង ប៉ុន្តែខ្ញុំមានកំហុសនៅពេលដែលបន្ទាប់ពីការអនុញ្ញាតដោយជោគជ័យ ខ្ញុំបានទទួលកំហុស 403 ។ របាយការណ៍​កំហុស.

ជួសជុល៖

វិសាលភាពអតិថិជន -> តួនាទី -> អ្នកធ្វើផែនទី -> បង្កើត

អ្នកធ្វើផែនទី

កូដស្គ្រីប

// add current client-id to token audience
token.addAudience(token.getIssuedFor());

// return token issuer as dummy result assigned to iss again
token.getIssuer();

កំណត់រចនាសម្ព័ន្ធ Kubernetes

យើងត្រូវចង្អុលបង្ហាញកន្លែងដែលវិញ្ញាបនបត្រឫសគល់របស់យើងពីគេហទំព័រស្ថិតនៅ និងកន្លែងដែលអ្នកផ្តល់សេវា ODC ស្ថិតនៅ។
ដើម្បីធ្វើដូចនេះកែសម្រួលឯកសារ /etc/kubernetes/manifests/kube-apiserver.yaml

kube-apiserver.yaml

...
spec:
  containers:
  - command:
    - kube-apiserver
...
    - --oidc-ca-file=/var/lib/minikube/certs/My_Root.crt
    - --oidc-client-id=kubernetes
    - --oidc-groups-claim=groups
    - --oidc-issuer-url=https://keycloak.example.org/auth/realms/kubernetes
    - --oidc-username-claim=email
...

ធ្វើបច្ចុប្បន្នភាពការកំណត់រចនាសម្ព័ន្ធ kubeadm នៅក្នុងចង្កោម៖

ការកំណត់រចនាសម្ព័ន្ធ kubeadm

kubectl edit -n kube-system configmaps kubeadm-config

...
data:
  ClusterConfiguration: |
    apiServer:
      extraArgs:
        oidc-ca-file: /var/lib/minikube/certs/My_Root.crt
        oidc-client-id: kubernetes
        oidc-groups-claim: groups
        oidc-issuer-url: https://keycloak.example.org/auth/realms/kubernetes
        oidc-username-claim: email
...

ការកំណត់អត្តសញ្ញាណប្រូកស៊ី

ដើម្បីការពារកម្មវិធីគេហទំព័ររបស់អ្នក អ្នកអាចប្រើ keycloak gatekeeper ។ បន្ថែមពីលើការពិតដែលថាប្រូកស៊ីបញ្ច្រាសនេះនឹងផ្តល់សិទ្ធិឱ្យអ្នកប្រើប្រាស់មុនពេលបង្ហាញទំព័រនោះ វាក៏នឹងបញ្ជូនព័ត៌មានអំពីអ្នកនៅក្នុងបឋមកថាទៅកម្មវិធីចុងក្រោយផងដែរ។ ដូច្នេះ ប្រសិនបើកម្មវិធីរបស់អ្នកគាំទ្រ OpenID នោះអ្នកប្រើប្រាស់ត្រូវបានអនុញ្ញាតភ្លាមៗ។ សូមក្រឡេកមើលឧទាហរណ៍នៃផ្ទាំងគ្រប់គ្រង Kubernetes

ការដំឡើងផ្ទាំងគ្រប់គ្រង Kubernetes

helm install stable/kubernetes-dashboard --name dashboard -f values_dashboard.yaml

values_dashboard.yaml

enableInsecureLogin: true
service:
  externalPort: 80
rbac:
  clusterAdminRole: true
  create: true
serviceAccount:
  create: true
  name: 'dashboard-test'

ការកំណត់សិទ្ធិចូលប្រើ៖

តោះបង្កើត ClusterRoleBinding ដែលនឹងផ្តល់សិទ្ធិគ្រប់គ្រងចង្កោម (ស្តង់ដារ ClusterRole cluster-admin) សម្រាប់អ្នកប្រើប្រាស់នៅក្នុងក្រុម DataOPS។

kubectl apply -f rbac.yaml

rbac.yaml

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: dataops_group
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: Group
  name: DataOPS

ការដំឡើងសោទ្វារទ្វារ៖

helm repo add gabibbo97 https://gabibbo97.github.io/charts/
helm repo update
helm install gabibbo97/keycloak-gatekeeper --version 2.1.0 --name keycloak-gatekeeper -f values_proxy.yaml

values_proxy.yaml

# Включаем ingress
ingress:
  enabled: true
  annotations:
    kubernetes.io/ingress.class: nginx
  path: /
  hosts:
    - kubernetes-dashboard.example.org
  tls:
   - secretName: tls-keycloak
     hosts:
       - kubernetes-dashboard.example.org

# Говорим где мы будем авторизовываться у OIDC провайдера
discoveryURL: "https://keycloak.example.org/auth/realms/kubernetes"
# Имя клиента которого мы создали в Keycloak
ClientID: "kubernetes"
# Secret который я просил записать
ClientSecret: "c6ec03b8-d0b8-4cb6-97a0-03becba1d727"
# Куда перенаправить в случае успешной авторизации. Формат <SCHEMA>://<SERVICE_NAME>.><NAMESAPCE>.<CLUSTER_NAME>
upstreamURL: "http://dashboard-kubernetes-dashboard.default.svc.cluster.local"
# Пропускаем проверку сертификата, если у нас самоподписанный
skipOpenidProviderTlsVerify: true
# Настройка прав доступа, пускаем на все path если мы в группе DataOPS
rules:
  - "uri=/*|groups=DataOPS"

បន្ទាប់ពីនោះនៅពេលដែលអ្នកព្យាយាមចូល kubernetes-dashboard.example.orgការបញ្ជូនបន្តទៅកាន់ Keycloak នឹងកើតឡើង ហើយប្រសិនបើការអនុញ្ញាតបានជោគជ័យ យើងនឹងត្រូវបានគេយកទៅ Dashboard ដែលបានចូលរួចហើយ។

ការដំឡើង Gangway

ដើម្បីភាពងាយស្រួល អ្នកអាចបន្ថែមផ្លូវ gangway ដែលនឹងបង្កើតឯកសារ config សម្រាប់ kubectl ដោយមានជំនួយដែលយើងនឹងចូលទៅក្នុង Kubernetes នៅក្រោមអ្នកប្រើប្រាស់របស់យើង។

helm install --name gangway stable/gangway -f values_gangway.yaml

values_gangway.yaml

gangway:
  # Произвольное имя кластера
  clusterName: "my-k8s"
  # Где у нас OIDC провайдер
  authorizeURL: "https://keycloak.example.org/auth/realms/kubernetes/protocol/openid-connect/auth"
  tokenURL: "https://keycloak.example.org/auth/realms/kubernetes/protocol/openid-connect/token"
  audience: "https://keycloak.example.org/auth/realms/kubernetes/protocol/openid-connect/userinfo"
  # Теоритически сюда можно добавить groups которые мы замапили
  scopes: ["openid", "profile", "email", "offline_access"]
  redirectURL: "https://gangway.example.org/callback"
  # Имя клиента
  clientID: "kubernetes"
  # Секрет
  clientSecret: "c6ec03b8-d0b8-4cb6-97a0-03becba1d727"
  # Если оставить дефолтное значние, то за имя пользователя будет братья <b>Frist name</b> <b>Second name</b>, а при "sub" его логин
  usernameClaim: "sub"
  # Доменное имя или IP адресс API сервера
  apiServerURL: "https://192.168.99.111:8443"

# Включаем Ingress
ingress:
  enabled: true
  annotations:
    kubernetes.io/ingress.class: nginx
    nginx.ingress.kubernetes.io/proxy-buffer-size: "64k"
  path: /
  hosts:
  - gangway.example.org
  tls:
  - secretName: tls-keycloak
    hosts:
      - gangway.example.org

# Если используем самоподписанный сертификат, то его(открытый корневой сертификат) надо указать.
trustedCACert: |-
 -----BEGIN CERTIFICATE-----
 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
 -----END CERTIFICATE-----

វាមើលទៅដូចនេះ។ អនុញ្ញាតឱ្យអ្នកទាញយកឯកសារកំណត់រចនាសម្ព័ន្ធភ្លាមៗ ហើយបង្កើតវាដោយប្រើសំណុំនៃពាក្យបញ្ជា៖

ប្រភព: www.habr.com