យើងភ្ជាប់ការអនុញ្ញាត LDAP ទៅ Kubernetes

ការបង្រៀនតូចមួយអំពីរបៀបប្រើ Keycloak ដើម្បីភ្ជាប់ Kubernetes ទៅកាន់ម៉ាស៊ីនមេ LDAP របស់អ្នក ហើយរៀបចំការនាំចូលអ្នកប្រើប្រាស់ និងក្រុម។ វានឹងអនុញ្ញាតឱ្យអ្នកដំឡើង RBAC សម្រាប់អ្នកប្រើប្រាស់របស់អ្នក និងប្រើប្រូកស៊ីផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវដើម្បីការពារ Kubernetes Dashboard និងកម្មវិធីផ្សេងទៀតដែលមិនដឹងពីរបៀបផ្តល់សិទ្ធិឱ្យខ្លួនឯង។

ការដំឡើងសោ

ឧបមាថាអ្នកមានម៉ាស៊ីនមេ LDAP រួចហើយ។ វាអាចជា Active Directory, FreeIPA, OpenLDAP ឬអ្វីក៏ដោយ។ ប្រសិនបើអ្នកមិនមានម៉ាស៊ីនមេ LDAP ទេនោះជាគោលការណ៍អ្នកអាចបង្កើតអ្នកប្រើប្រាស់ដោយផ្ទាល់នៅក្នុងចំណុចប្រទាក់ Keycloak ឬប្រើអ្នកផ្តល់សេវា oidc សាធារណៈ (Google, Github, Gitlab) លទ្ធផលនឹងស្ទើរតែដូចគ្នា។

ជាដំបូង ចូរយើងដំឡើង Keycloak ដោយខ្លួនឯង ការដំឡើងអាចត្រូវបានអនុវត្តដោយឡែកពីគ្នា ឬដោយផ្ទាល់ទៅកាន់ចង្កោម Kubernetes ជាក្បួន ប្រសិនបើអ្នកមានចង្កោម Kubernetes ជាច្រើន វានឹងកាន់តែងាយស្រួលក្នុងការដំឡើងវាដោយឡែកពីគ្នា។ ម្យ៉ាងវិញទៀត អ្នកអាចប្រើបានគ្រប់ពេល តារាងមួកសុវត្ថិភាពផ្លូវការ ហើយដំឡើងវាដោយផ្ទាល់ទៅក្នុងចង្កោមរបស់អ្នក។

ដើម្បីរក្សាទុកទិន្នន័យ Keycloak អ្នកនឹងត្រូវការមូលដ្ឋានទិន្នន័យ។ លំនាំដើមគឺ h2 (ទិន្នន័យទាំងអស់ត្រូវបានរក្សាទុកក្នុងមូលដ្ឋាន) ប៉ុន្តែវាក៏អាចប្រើផងដែរ។ postgres, mysql ឬ mariadb.
ប្រសិនបើអ្នកនៅតែសម្រេចចិត្តដំឡើង Keycloak ដាច់ដោយឡែក អ្នកអាចស្វែងរកការណែនាំលម្អិតបន្ថែមទៀតនៅក្នុង ឯកសារផ្លូវការ.

ការរៀបចំសហព័ន្ធ

ជាដំបូងសូមបង្កើតអាណាចក្រថ្មីមួយ។ Realm គឺជាកន្លែងនៃកម្មវិធីរបស់យើង។ កម្មវិធីនីមួយៗអាចមានអាណាចក្ររបស់ខ្លួនជាមួយនឹងអ្នកប្រើប្រាស់ផ្សេងគ្នា និងការកំណត់ការអនុញ្ញាត។ អាណាចក្រមេត្រូវបានប្រើប្រាស់ដោយ Keycloak ខ្លួនឯង ហើយការប្រើវាសម្រាប់អ្វីផ្សេងទៀតគឺខុស។

ជំរុញ បន្ថែមអាណាចក្រ

ជម្រើស
តម្លៃ

ឈ្មោះ
kubernetes

បង្ហាញឈ្មោះ
Kubernetes

ឈ្មោះបង្ហាញ HTML
<img src="https://kubernetes.io/images/nav_logo.svg" width="400" >

Kubernetes តាមលំនាំដើមពិនិត្យថាតើអ៊ីមែលរបស់អ្នកប្រើត្រូវបានបញ្ជាក់ឬអត់។ ដោយសារយើងកំពុងប្រើម៉ាស៊ីនមេ LDAP របស់យើង ការត្រួតពិនិត្យនេះនឹងត្រឡប់មកវិញស្ទើរតែជានិច្ច false. តោះបិទការបង្ហាញនៃការកំណត់នេះនៅក្នុង Kubernetes៖

វិសាលភាពអតិថិជន -> អ៊ីមែល -> អ្នកធ្វើផែនទី -> បានផ្ទៀងផ្ទាត់អ៊ីមែល (លុប)

ឥឡូវ​យើង​បង្កើត​សហព័ន្ធ​សម្រាប់​រឿង​នេះ​យើង​ទៅ៖

សហព័ន្ធអ្នកប្រើប្រាស់ -> បន្ថែមអ្នកផ្តល់សេវា... -> ឡាដាប់

នេះគឺជាឧទាហរណ៍នៃការដំឡើង FreeIPA៖

ជម្រើស
តម្លៃ

ឈ្មោះបង្ហាញកុងសូល
freeipa.example.org

អ្នកលក់
Red Hat Directory Server

គុណលក្ខណៈ UUID LDAP
ipauniqueid

URL តភ្ជាប់
ldaps://freeipa.example.org

អ្នកប្រើប្រាស់ DN
cn=users,cn=accounts,dc=example,dc=org

ចង DN
uid=keycloak-svc,cn=users,cn=accounts,dc=example,dc=org

ភ្ជាប់លិខិតសម្គាល់
<password>

អនុញ្ញាតការផ្ទៀងផ្ទាត់ Kerberos៖
on

អាណាចក្រ Kerberos៖
EXAMPLE.ORG

ម៉ាស៊ីនមេ៖
HTTP/[email protected]

ផ្ទាំងគន្លឹះ៖
/etc/krb5.keytab

អ្នកប្រើប្រាស់ keycloak-svc ត្រូវតែបង្កើតជាមុននៅលើម៉ាស៊ីនមេ LDAP របស់យើង។

ក្នុងករណី Active Directory គ្រាន់តែជ្រើសរើស អ្នកលក់៖ ថតសកម្ម ហើយការកំណត់ចាំបាច់នឹងត្រូវបានបញ្ចូលទៅក្នុងទម្រង់ដោយស្វ័យប្រវត្តិ។

ជំរុញ Save

ឥឡូវនេះសូមបន្តទៅមុខទៀត៖

សហព័ន្ធអ្នកប្រើប្រាស់ -> freeipa.example.org -> អ្នកធ្វើផែនទី -> ឈ្មោះជាលើកដំបូង

ជម្រើស
តម្លៃ

គុណលក្ខណៈ Ldap
givenName

ឥឡូវនេះបើកការគូសផែនទីក្រុម៖

សហព័ន្ធអ្នកប្រើប្រាស់ -> freeipa.example.org -> អ្នកធ្វើផែនទី -> បង្កើត

ជម្រើស
តម្លៃ

ឈ្មោះ
groups

ប្រភេទអ្នកធ្វើផែនទី
group-ldap-mapper

ក្រុម LDAP DN
cn=groups,cn=accounts,dc=example,dc=org

យុទ្ធសាស្រ្តទាញយកក្រុមអ្នកប្រើប្រាស់
GET_GROUPS_FROM_USER_MEMBEROF_ATTRIBUTE

វាបញ្ចប់ការដំឡើងសហព័ន្ធ យើងបន្តទៅការដំឡើងអតិថិជន។

ការដំឡើងអតិថិជន

តោះបង្កើតអតិថិជនថ្មី (កម្មវិធីដែលនឹងទទួលអ្នកប្រើប្រាស់ពី Keycloak)។ តោះ​ទៅ:

អតិថិជន -> បង្កើត

ជម្រើស
តម្លៃ

លេខសម្គាល់អតិថិជន
kubernetes

ប្រភេទចូលប្រើ
confidenrial

URL ប្ញស
http://kubernetes.example.org/

URI បញ្ជូនបន្តត្រឹមត្រូវ។
http://kubernetes.example.org/*

URL អ្នកគ្រប់គ្រង
http://kubernetes.example.org/

យើងក៏នឹងបង្កើតវិសាលភាពសម្រាប់ក្រុមផងដែរ៖

វិសាលភាពអតិថិជន -> បង្កើត

ជម្រើស
តម្លៃ

ទំព័រគំរូ
No template

ឈ្មោះ
groups

ផ្លូវក្រុមពេញលេញ
false

ហើយរៀបចំផែនទីសម្រាប់ពួកគេ៖

វិសាលភាពអតិថិជន -> ក្រុម -> អ្នកធ្វើផែនទី -> បង្កើត

ជម្រើស
តម្លៃ

ឈ្មោះ
groups

ប្រភេទអ្នកធ្វើផែនទី
Group membership

ឈ្មោះ​ការ​ទាមទារ​ថូខឹន
groups

ឥឡូវនេះ យើងត្រូវបើកការគូសផែនទីក្រុមនៅក្នុងវិសាលភាពអតិថិជនរបស់យើង៖

អតិថិជន -> Kubernetes -> វិសាលភាពអតិថិជន -> វិសាលភាពអតិថិជនលំនាំដើម

ជ្រើសរើស ក្រុម в វិសាលភាពអតិថិជនដែលមានចុច បន្ថែមដែលបានជ្រើសរើស

ឥឡូវនេះ ចូរយើងរៀបចំការផ្ទៀងផ្ទាត់កម្មវិធីរបស់យើង សូមចូលទៅកាន់៖

អតិថិជន -> Kubernetes

ជម្រើស
តម្លៃ

បានបើកការអនុញ្ញាត
ON

ចូរយើងរុញ រក្សាទុកការ ហើយវាបញ្ចប់ការដំឡើងម៉ាស៊ីនភ្ញៀវ ឥឡូវនេះនៅលើផ្ទាំង

អតិថិជន -> Kubernetes -> លិខិតសម្គាល់

អ្នក​អាច​ទទួល​បាន ការសម្ងាត់ ដែលយើងនឹងប្រើនៅពេលក្រោយ។

កំណត់រចនាសម្ព័ន្ធ Kubernetes

ការដំឡើង Kubernetes សម្រាប់ការអនុញ្ញាតពី OIDC គឺពិតជារឿងតូចតាច និងមិនមែនជាអ្វីដែលស្មុគស្មាញខ្លាំងនោះទេ។ អ្វីដែលអ្នកត្រូវធ្វើគឺដាក់វិញ្ញាបនបត្រ CA នៃម៉ាស៊ីនមេ ODC របស់អ្នក។ /etc/kubernetes/pki/oidc-ca.pem ហើយបន្ថែមជម្រើសចាំបាច់សម្រាប់ kube-apiserver ។
ដើម្បីធ្វើដូច្នេះ ធ្វើបច្ចុប្បន្នភាព /etc/kubernetes/manifests/kube-apiserver.yaml នៅលើចៅហ្វាយនាយរបស់អ្នកទាំងអស់៖

...
spec:
  containers:
  - command:
    - kube-apiserver
...
    - --oidc-ca-file=/etc/kubernetes/pki/oidc-ca.pem
    - --oidc-client-id=kubernetes
    - --oidc-groups-claim=groups
    - --oidc-issuer-url=https://keycloak.example.org/auth/realms/kubernetes
    - --oidc-username-claim=email
...

ហើយធ្វើបច្ចុប្បន្នភាពផងដែរនូវការកំណត់រចនាសម្ព័ន្ធ kubeadm នៅក្នុងចង្កោម ដើម្បីកុំឱ្យបាត់បង់ការកំណត់ទាំងនេះអំឡុងពេលធ្វើបច្ចុប្បន្នភាព៖

kubectl edit -n kube-system configmaps kubeadm-config

...
data:
  ClusterConfiguration: |
    apiServer:
      extraArgs:
        oidc-ca-file: /etc/kubernetes/pki/oidc-ca.pem
        oidc-client-id: kubernetes
        oidc-groups-claim: groups
        oidc-issuer-url: https://keycloak.example.org/auth/realms/kubernetes
        oidc-username-claim: email
...

វាបញ្ចប់ការដំឡើង Kubernetes ។ អ្នកអាចធ្វើជំហានទាំងនេះម្តងទៀតនៅគ្រប់ចង្កោម Kubernetes របស់អ្នក។

ការអនុញ្ញាតដំបូង

បន្ទាប់​ពី​ជំហាន​ទាំង​នេះ អ្នក​នឹង​មាន​ចង្កោម Kubernetes រួច​ហើយ​ដែល​មាន​ការ​អនុញ្ញាត​ពី OIDC បាន​កំណត់​រចនាសម្ព័ន្ធ។ ចំណុចតែមួយគត់គឺថាអ្នកប្រើប្រាស់របស់អ្នកមិនទាន់មានម៉ាស៊ីនភ្ញៀវដែលបានកំណត់រចនាសម្ព័ន្ធ ក៏ដូចជា kubeconfig ផ្ទាល់ខ្លួនរបស់ពួកគេ។ ដើម្បីដោះស្រាយបញ្ហានេះ អ្នកត្រូវកំណត់រចនាសម្ព័ន្ធការចេញ kubeconfig ដោយស្វ័យប្រវត្តិដល់អ្នកប្រើប្រាស់បន្ទាប់ពីការអនុញ្ញាតដោយជោគជ័យ។

ដើម្បីធ្វើដូចនេះអ្នកអាចប្រើកម្មវិធីបណ្ដាញពិសេសដែលអនុញ្ញាតឱ្យអ្នកផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវរបស់អ្នកប្រើហើយបន្ទាប់មកទាញយក kubeconfig ដែលបានបញ្ចប់។ មួយក្នុងចំណោមភាពងាយស្រួលបំផុតគឺ Kuberosវាអនុញ្ញាតឱ្យអ្នកពិពណ៌នាអំពីចង្កោម Kubernetes ទាំងអស់ក្នុងការកំណត់រចនាសម្ព័ន្ធតែមួយ ហើយងាយស្រួលប្តូររវាងពួកវា។

ដើម្បីកំណត់រចនាសម្ព័ន្ធ Kuberos វាគ្រប់គ្រាន់ហើយក្នុងការពណ៌នាអំពីគំរូសម្រាប់ kubeconfig ហើយដំណើរការវាជាមួយនឹងប៉ារ៉ាម៉ែត្រដូចខាងក្រោម៖

kuberos https://keycloak.example.org/auth/realms/kubernetes kubernetes /cfg/secret /cfg/template

សម្រាប់ព័ត៌មានលម្អិតសូមមើល ការប្រើប្រាស់ នៅលើ Github ។

វាក៏អាចប្រើផងដែរ។ kubelogin ប្រសិនបើអ្នកចង់ផ្តល់សិទ្ធិដោយផ្ទាល់នៅលើកុំព្យូទ័ររបស់អ្នកប្រើ។ ក្នុងករណីនេះ អ្នកប្រើប្រាស់នឹងបើកកម្មវិធីរុករកតាមអ៊ីនធឺណិតដែលមានទម្រង់ការអនុញ្ញាតនៅលើម៉ាស៊ីនមូលដ្ឋាន។

លទ្ធផល kubeconfig អាចត្រូវបានពិនិត្យនៅលើគេហទំព័រ jwt.io. គ្រាន់តែចម្លងតម្លៃ users[].user.auth-provider.config.id-token ពី kubeconfig របស់អ្នកទៅកាន់ទម្រង់មួយនៅលើគេហទំព័រ ហើយទទួលបានប្រតិចារិកភ្លាមៗ។

ការដំឡើង RBAC

នៅពេលកំណត់រចនាសម្ព័ន្ធ RBAC អ្នកអាចយោងទៅទាំងឈ្មោះអ្នកប្រើប្រាស់ (វាល name ក្នុង jwt token) និង​សម្រាប់​ក្រុម​អ្នក​ប្រើ (វាល groups ក្នុង jwt token)។ នេះគឺជាឧទាហរណ៍នៃការកំណត់ការអនុញ្ញាតសម្រាប់ក្រុមមួយ។ kubernetes-default-namespace-admins:

kubernetes-default-namespace-admins.yaml

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: default-admins
  namespace: default
rules:
- apiGroups:
  - '*'
  resources:
  - '*'
  verbs:
  - '*'
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: kubernetes-default-namespace-admins
  namespace: default
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: Role
  name: default-admins
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: Group
  name: kubernetes-default-namespace-admins

ឧទាហរណ៍ច្រើនទៀតសម្រាប់ RBAC អាចរកបាននៅក្នុង ឯកសារ Kubernetes ផ្លូវការ

ការកំណត់អត្តសញ្ញាណប្រូកស៊ី

មានគម្រោងដ៏អស្ចារ្យមួយ។ ក្ងោកទ្វារ - សោរដែលអនុញ្ញាតឱ្យអ្នកធានានូវកម្មវិធីណាមួយដោយអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ផ្ទៀងផ្ទាត់ទៅម៉ាស៊ីនមេ ODC ។ ខ្ញុំនឹងបង្ហាញអ្នកពីរបៀបដែលអ្នកអាចដំឡើងវាដោយប្រើ Kubernetes Dashboard ជាឧទាហរណ៍៖

ផ្ទាំងគ្រប់គ្រង-proxy.yaml

apiVersion: extensions/v1beta1
kind: Deployment
metadata:
  name: kubernetes-dashboard-proxy
spec:
  replicas: 1
  template:
    metadata:
      labels:
        app: kubernetes-dashboard-proxy
    spec:
      containers:
      - args:
        - --listen=0.0.0.0:80
        - --discovery-url=https://keycloak.example.org/auth/realms/kubernetes
        - --client-id=kubernetes
        - --client-secret=<your-client-secret-here>
        - --redirection-url=https://kubernetes-dashboard.example.org
        - --enable-refresh-tokens=true
        - --encryption-key=ooTh6Chei1eefooyovai5ohwienuquoh
        - --upstream-url=https://kubernetes-dashboard.kube-system
        - --resources=uri=/*
        image: keycloak/keycloak-gatekeeper
        name: kubernetes-dashboard-proxy
        ports:
        - containerPort: 80
          livenessProbe:
            httpGet:
              path: /oauth/health
              port: 80
            initialDelaySeconds: 3
            timeoutSeconds: 2
          readinessProbe:
            httpGet:
              path: /oauth/health
              port: 80
            initialDelaySeconds: 3
            timeoutSeconds: 2
---
apiVersion: v1
kind: Service
metadata:
  name: kubernetes-dashboard-proxy
spec:
  ports:
  - port: 80
    protocol: TCP
    targetPort: 80
  selector:
    app: kubernetes-dashboard-proxy
  type: ClusterIP

ប្រភព: www.habr.com