GitHub OAuth 및 Dex를 사용하여 Kubernetes에서 인증

Dex, dex-k8s-authenticator 및 GitHub를 사용하여 Kubernetes 클러스터에 대한 액세스를 생성하는 튜토리얼을 여러분께 소개합니다.

러시아어 Kubernetes 채팅의 로컬 밈 텔레그램

소개

우리는 Kubernetes를 사용하여 개발 및 QA팀을 위한 동적 환경을 만듭니다. 그래서 우리는 그들에게 대시보드와 kubectl 모두에 대한 클러스터에 대한 액세스 권한을 부여하려고 합니다. OpenShift와 달리 바닐라 Kubernetes에는 기본 인증이 없으므로 이를 위해 타사 도구를 사용합니다.

이 구성에서는 다음을 사용합니다.

• dex-k8s-인증자  — kubectl 구성을 생성하기 위한 웹 애플리케이션
• 덱스 — OpenID Connect 제공자
• GitHub - 회사에서 GitHub를 사용하기 때문입니다.

Google OIDC를 이용하려고 했으나 아쉽게도 실패한 그룹으로 시작하기 때문에 GitHub와의 통합이 우리에게 매우 적합했습니다. 그룹 매핑이 없으면 그룹을 기반으로 RBAC 정책을 생성할 수 없습니다.

그렇다면 Kubernetes 인증 프로세스는 시각적 표현에서 어떻게 작동합니까?

승인 절차

좀 더 자세히 설명하면 다음과 같습니다.

1. 사용자가 dex-k8s-authenticator에 로그인합니다(login.k8s.example.com)
2. dex-k8s-authenticator는 요청을 Dex(dex.k8s.example.com)
3. Dex가 GitHub 로그인 페이지로 리디렉션됩니다.
4. GitHub는 필요한 인증 정보를 생성하여 Dex에 반환합니다.
5. Dex는 수신된 정보를 dex-k8s-authenticator에 전달합니다.
6. 사용자는 GitHub에서 OIDC 토큰을 받습니다.
7. dex-k8s-authenticator는 kubeconfig에 토큰을 추가합니다.
8. kubectl은 토큰을 KubeAPIServer에 전달합니다.
9. KubeAPIServer는 전달된 토큰을 기반으로 kubectl에 대한 액세스를 반환합니다.
10. 사용자는 kubectl에서 액세스 권한을 얻습니다.

준비 조치

물론 이미 Kubernetes 클러스터가 설치되어 있습니다(k8s.example.com), HELM도 사전 설치되어 제공됩니다. GitHub(super-org)에도 조직이 있습니다.
HELM이 없으면 설치하세요. 아주 간단한.

먼저 GitHub를 설정해야 합니다.

조직 설정 페이지로 이동합니다(https://github.com/organizations/super-org/settings/applications) 새 애플리케이션(승인된 OAuth 앱)을 생성합니다.

GitHub에서 새 애플리케이션 만들기

필요한 URL로 필드를 채우세요. 예를 들면 다음과 같습니다.

• 홈페이지 URL: https://dex.k8s.example.com
• 승인 콜백 URL: https://dex.k8s.example.com/callback

링크에 주의하세요. 슬래시를 잃지 않는 것이 중요합니다.

완성된 양식에 대한 응답으로 GitHub는 다음을 생성합니다. Client ID и Client secret, 안전한 장소에 보관하면 우리에게 유용할 것입니다(예: 둥근 천장 비밀 저장용):

Client ID: 1ab2c3d4e5f6g7h8
Client secret: 98z76y54x32w1

하위 도메인에 대한 DNS 레코드 준비 login.k8s.example.com и dex.k8s.example.com, 수신을 위한 SSL 인증서도 있습니다.

SSL 인증서를 만들어 보겠습니다.

cat <<EOF | kubectl create -f -
apiVersion: certmanager.k8s.io/v1alpha1
kind: Certificate
metadata:
  name: cert-auth-dex
  namespace: kube-system
spec:
  secretName: cert-auth-dex
  dnsNames:
    - dex.k8s.example.com
  acme:
    config:
    - http01:
        ingressClass: nginx
      domains:
      - dex.k8s.example.com
  issuerRef:
    name: le-clusterissuer
    kind: ClusterIssuer
---
apiVersion: certmanager.k8s.io/v1alpha1
kind: Certificate
metadata:
  name: cert-auth-login
  namespace: kube-system
spec:
  secretName: cert-auth-login
  dnsNames:
    - login.k8s.example.com
  acme:
    config:
    - http01:
        ingressClass: nginx
      domains:
      - login.k8s.example.com
  issuerRef:
    name: le-clusterissuer
    kind: ClusterIssuer
EOF
kubectl describe certificates cert-auth-dex -n kube-system
kubectl describe certificates cert-auth-login -n kube-system

제목이 있는 ClusterIssuer le-clusterissuer 이미 존재해야 하지만, 그렇지 않은 경우 HELM을 사용하여 생성합니다.

helm install --namespace kube-system -n cert-manager stable/cert-manager
cat << EOF | kubectl create -f -
apiVersion: certmanager.k8s.io/v1alpha1
kind: ClusterIssuer
metadata:
  name: le-clusterissuer
  namespace: kube-system
spec:
  acme:
    server: https://acme-v02.api.letsencrypt.org/directory
    email: [email protected]
    privateKeySecretRef:
      name: le-clusterissuer
    http01: {}
EOF

KubeAPI서버 구성

kubeAPIServer가 작동하려면 OIDC를 구성하고 클러스터를 업데이트해야 합니다.

kops edit cluster
...
  kubeAPIServer:
    anonymousAuth: false
    authorizationMode: RBAC
    oidcClientID: dex-k8s-authenticator
    oidcGroupsClaim: groups
    oidcIssuerURL: https://dex.k8s.example.com/
    oidcUsernameClaim: email
kops update cluster --yes
kops rolling-update cluster --yes

우리는 사용 콥 클러스터 배포의 경우에도 유사하게 작동합니다. 다른 클러스터 관리자.

Dex 구성 및 dex-k8s-authenticator

Dex가 작동하려면 Kubernetes 마스터로부터 인증서와 키를 가져와야 합니다.

sudo cat /srv/kubernetes/ca.{crt,key}
-----BEGIN CERTIFICATE-----
AAAAAAAAAAABBBBBBBBBBCCCCCC
-----END CERTIFICATE-----
-----BEGIN RSA PRIVATE KEY-----
DDDDDDDDDDDEEEEEEEEEEFFFFFF
-----END RSA PRIVATE KEY-----

dex-k8s-authenticator 저장소를 복제해 보겠습니다.

git clone [email protected]:mintel/dex-k8s-authenticator.git
cd dex-k8s-authenticator/

값 파일을 사용하면 우리의 변수를 유연하게 구성할 수 있습니다. HELM 차트.

Dex의 구성을 설명하겠습니다.

cat << EOF > values-dex.yml
global:
  deployEnv: prod
tls:
  certificate: |-
    -----BEGIN CERTIFICATE-----
    AAAAAAAAAAABBBBBBBBBBCCCCCC
    -----END CERTIFICATE-----
  key: |-
    -----BEGIN RSA PRIVATE KEY-----
    DDDDDDDDDDDEEEEEEEEEEFFFFFF
    -----END RSA PRIVATE KEY-----
ingress:
  enabled: true
  annotations:
    kubernetes.io/ingress.class: nginx
    kubernetes.io/tls-acme: "true"
  path: /
  hosts:
    - dex.k8s.example.com
  tls:
    - secretName: cert-auth-dex
      hosts:
        - dex.k8s.example.com
serviceAccount:
  create: true
  name: dex-auth-sa
config: |
  issuer: https://dex.k8s.example.com/
  storage: # https://github.com/dexidp/dex/issues/798
    type: sqlite3
    config:
      file: /var/dex.db
  web:
    http: 0.0.0.0:5556
  frontend:
    theme: "coreos"
    issuer: "Example Co"
    issuerUrl: "https://example.com"
    logoUrl: https://example.com/images/logo-250x25.png
  expiry:
    signingKeys: "6h"
    idTokens: "24h"
  logger:
    level: debug
    format: json
  oauth2:
    responseTypes: ["code", "token", "id_token"]
    skipApprovalScreen: true
  connectors:
  - type: github
    id: github
    name: GitHub
    config:
      clientID: $GITHUB_CLIENT_ID
      clientSecret: $GITHUB_CLIENT_SECRET
      redirectURI: https://dex.k8s.example.com/callback
      orgs:
      - name: super-org
        teams:
        - team-red
  staticClients:
  - id: dex-k8s-authenticator
    name: dex-k8s-authenticator
    secret: generatedLongRandomPhrase
    redirectURIs:
      - https://login.k8s.example.com/callback/
envSecrets:
  GITHUB_CLIENT_ID: "1ab2c3d4e5f6g7h8"
  GITHUB_CLIENT_SECRET: "98z76y54x32w1"
EOF

dex-k8s-authenticator의 경우:

cat << EOF > values-auth.yml
global:
  deployEnv: prod
dexK8sAuthenticator:
  clusters:
  - name: k8s.example.com
    short_description: "k8s cluster"
    description: "Kubernetes cluster"
    issuer: https://dex.k8s.example.com/
    k8s_master_uri: https://api.k8s.example.com
    client_id: dex-k8s-authenticator
    client_secret: generatedLongRandomPhrase
    redirect_uri: https://login.k8s.example.com/callback/
    k8s_ca_pem: |
      -----BEGIN CERTIFICATE-----
      AAAAAAAAAAABBBBBBBBBBCCCCCC
      -----END CERTIFICATE-----
ingress:
  enabled: true
  annotations:
    kubernetes.io/ingress.class: nginx
    kubernetes.io/tls-acme: "true"
  path: /
  hosts:
    - login.k8s.example.com
  tls:
    - secretName: cert-auth-login
      hosts:
        - login.k8s.example.com
EOF

Dex 및 dex-k8s-authenticator를 설치합니다.

helm install -n dex --namespace kube-system --values values-dex.yml charts/dex
helm install -n dex-auth --namespace kube-system --values values-auth.yml charts/dex-k8s-authenticator

서비스의 기능을 확인해 보겠습니다(Dex는 코드 400을 반환해야 하고 dex-k8s-authenticator는 코드 200을 반환해야 함).

curl -sI https://dex.k8s.example.com/callback | head -1
HTTP/2 400
curl -sI https://login.k8s.example.com/ | head -1
HTTP/2 200

RBAC 구성

우리의 경우에는 읽기 전용 액세스 권한으로 그룹에 대한 ClusterRole을 생성합니다.

cat << EOF | kubectl create -f -
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: cluster-read-all
rules:
  -
    apiGroups:
      - ""
      - apps
      - autoscaling
      - batch
      - extensions
      - policy
      - rbac.authorization.k8s.io
      - storage.k8s.io
    resources:
      - componentstatuses
      - configmaps
      - cronjobs
      - daemonsets
      - deployments
      - events
      - endpoints
      - horizontalpodautoscalers
      - ingress
      - ingresses
      - jobs
      - limitranges
      - namespaces
      - nodes
      - pods
      - pods/log
      - pods/exec
      - persistentvolumes
      - persistentvolumeclaims
      - resourcequotas
      - replicasets
      - replicationcontrollers
      - serviceaccounts
      - services
      - statefulsets
      - storageclasses
      - clusterroles
      - roles
    verbs:
      - get
      - watch
      - list
  - nonResourceURLs: ["*"]
    verbs:
      - get
      - watch
      - list
  - apiGroups: [""]
    resources: ["pods/exec"]
    verbs: ["create"]
EOF

ClusterRoleBinding에 대한 구성을 만들어 보겠습니다.

cat <<EOF | kubectl create -f -
apiVersion: rbac.authorization.k8s.io/v1beta1
kind: ClusterRoleBinding
metadata:
  name: dex-cluster-auth
  namespace: kube-system
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-read-all
subjects:
  kind: Group
  name: "super-org:team-red"
EOF

이제 테스트할 준비가 되었습니다.

테스트

로그인 페이지(https://login.k8s.example.com) GitHub 계정을 사용하여 로그인합니다.

로그인 페이지

로그인 페이지가 GitHub로 리디렉션되었습니다.

 생성된 지침에 따라 액세스 권한을 얻으세요.

웹페이지에서 복사하여 붙여넣은 후 kubectl을 사용하여 클러스터 리소스를 관리할 수 있습니다.

kubectl get po
NAME                READY   STATUS    RESTARTS   AGE
mypod               1/1     Running   0          3d

kubectl delete po mypod
Error from server (Forbidden): pods "mypod" is forbidden: User "[email protected]" cannot delete pods in the namespace "default"

그리고 우리 조직의 모든 GitHub 사용자는 리소스를 보고 포드에 로그인할 수 있지만 이를 변경할 수 있는 권한은 없습니다.

출처 : habr.com