เบเบปเบโเบเบงเบฒเบกโเบเบตเปโเปเบเปโเบเบทเบโเบฅเบฒเบโเบฅเบฑเบโเบญเบฑเบโเบชเบญเบโเปเบเบโเบกเบตโเบเบธเบโเบเบฐโเบชเบปเบโเบเบญเบโเบเบฒเบโเบเบฐโเบซเบเบฒเบโเบเบปเบงโเปเบฅเปเบงโ
เปเบโเบเบปเบโเบเบงเบฒเบกโเบเบตเปโเบเปเบฒโเบเบฐโเปเบเบปเปเบฒโเบเบฐโเบเบญเบโเบเปเบฒเบโเบงเบดโเบเบตโเบเบฒเบโเบเบดเบโเบเบฑเปเบโเปเบฅเบฐโเบเบฒเบโเบเบฑเปเบโเบเปเบฒโ:
- เบเบฐเปเบ เปเบเบฑเบเปเบเบเบเบฒเบเปเบซเบผเปเบเปเบเบตเบ. เปเบเบดเปเบเบชเบฐเบซเบเบญเบเบเบธเบเปเบเบปเปเบฒเบเบฝเบงเบชเปเบฒเบฅเบฑเบเบเปเบฒเบฎเปเบญเบเบชเบฐเบซเบกเบฑเบ. เปเบฎเบฑเบเบงเบฝเบเบเบฑเบเบซเบผเบฒเบเปเบเปเบเบเบญเบ, เบฅเบงเบกเบเบฑเบ LDAP เปเบฅเบฐ OpenID, เปเบเบดเปเบเบเบงเบเปเบฎเบปเบฒเบชเบปเบเปเบ.
- เบเบนเปเบฎเบฑเบเบชเบฒเบเบฐเบเบนเบเบต โ เบเปเบฒเบฎเปเบญเบเบชเบฐเบซเบกเบฑเบเบเบปเบงเปเบเบ reverse เบเบตเปเบญเบฐเบเบธเบเบฒเบเปเบซเปเบเปเบฒเบเบชเบฒเบกเบฒเบเบเบฐเบชเบปเบกเบเบฐเบชเบฒเบเบเบฒเบเบญเบฐเบเบธเบเบฒเบเบเปเบฒเบ Keycloak.
- Gangway โ เปเบญเบฑเบเบเบฅเบดเปเบเบเบฑเบเบเบตเปเบชเปเบฒเบ config เบชเปเบฒเบฅเบฑเบ kubectl เบเบตเปเบเปเบฒเบเบชเบฒเบกเบฒเบเปเบเบปเปเบฒเบชเบนเปเบฅเบฐเบเบปเบเบเปเบฒเบ OpenID เปเบฅเบฐเปเบเบทเปเบญเบกเบเปเปเบเบฑเบ Kubernetes API.
เบเบฒเบเบญเบฐเบเบธเบเบฒเบเปเบฎเบฑเบเบงเบฝเบเปเบเบงเปเบเปเบ Kubernetes.
เบเบงเบโเปเบฎเบปเบฒโเบชเบฒโเบกเบฒเบโเบเบธเปเบกโเบเบญเบโเบชเบดเบโเบเบญเบโเบเบนเปโเปเบเป / เบเบธเปเบกโเปเบเบโเบเบฒเบโเบเปเบฒโเปเบเป RBACโ, เบเปเปโเบเบญเบโเบเบปเบโเบเบงเบฒเบกโเปเบเปโเบเบทเบโเบชเปเบฒเบโเบเบถเปเบโเปเบฅเปเบงโเบเปเบฝเบงโเบเบฑเบโเบเบฒเบโเบเบตเปโ, เบเปเบฒโเบเบฐโเปเบเบปเปเบฒโเบเบฐโเบเปเปโเบขเบนเปโเปเบโเบฅเบฒเบโเบฅเบฐโเบญเบฝเบโ. เบเบฑเบเบซเบฒเปเบกเปเบเบงเปเบฒเบเปเบฒเบเบชเบฒเบกเบฒเบเบเปเบฒเปเบเป RBAC เปเบเบทเปเบญเบเปเบฒเบเบฑเบเบชเบดเบเบเบญเบเบเบนเปเปเบเป, เปเบเป Kubernetes เบเปเปเบฎเบนเปเบซเบเบฑเบเบเปเบฝเบงเบเบฑเบเบเบนเปเปเบเป. เบกเบฑเบเบเบฐเบเบปเบเบงเปเบฒเบเบงเบเปเบฎเบปเบฒเบเปเบญเบเบเบฒเบเบเบปเบเปเบเบเบฒเบเบเบฑเบเบชเบปเปเบเบเบนเปเปเบเปเปเบ Kubernetes. เปเบเบทเปเบญเปเบฎเบฑเบเบชเบดเปเบเบเบตเป, เบเบงเบเปเบฎเบปเบฒเบเบฐเปเบเบตเปเบกเบเบนเปเปเบซเปเบเปเบฅเบดเบเบฒเบเปเบชเป Kuberntes OpenID, เปเบเบดเปเบเบเบฐเบเบตเปเปเบซเปเปเบซเบฑเบเบงเปเบฒเบเบนเปเปเบเปเบเบฑเปเบเบเปเบฒเบงเบกเบตเบขเบนเปเปเบเปเป, เปเบฅเบฐ Kubernetes เปเบญเบเบเบฐเปเบซเปเบชเบดเบเปเบเปเบฅเบฒเบง.
เบเบฒเบโเบเบถเบโเบญเบปเบโเบฎเบปเบก
- เบเปเบฒเบเบเบฐเบเปเบญเบเบกเบตเบเบธเปเบก Kubernetes เบซเบผเบท minikube
- Active Directory
- เปเบเปเบกเบ:
keycloak.example.org
kubernetes-dashboard.example.org
gangway.example.org - เปเบเบขเบฑเปเบเบขเบทเบเบชเปเบฒเบฅเบฑเบเปเบเปเบกเบเบซเบผเบทเปเบเบขเบฑเปเบเบขเบทเบเบเบฒเบเปเบเบฑเบเบเปเบงเบเบเบปเบเปเบญเบ
เบเปเบฒโเบเบฐโเปเบเบปเปเบฒโเบเบฐโเบเปเปโเปเบเปโเปเบเบปเปเบฒโเปเบโเปเบโเบฅเบฐโเบญเบฝเบโเบเปเบฝเบงโเบเบฑเบโเบงเบดโเบเบตโเบเบฒเบโเบชเปเบฒเบโเปเบโเบขเบฑเปเบโเบขเบทเบโเบเบฒเบโเปเบเบฑเบโเบเปเบงเบโเบเบปเบโเปเบญเบ; เบเปเบฒเบโเบเปเบฒโเปเบเบฑเบโเบเปเบญเบโเปเบเปโเบชเปเบฒเบ 2 เปเบโเบขเบฑเปเบโเบขเบทเบ, เบเบตเปโเปเบกเปเบโเบฎเบฒเบ (Certification Authority) เปเบฅเบฐโเบเบปเบงโเปเบเบโเบเบญเบโเบฅเบนเบโเบเปเบฒโเบชเปเบฒโเบฅเบฑเบโเปเบโเปเบกเบ *.example.org.
เบซเบผเบฑเบโเบเบฒเบโเบเบตเปโเบเปเบฒเบโเปเบเปโเบฎเบฑเบ / เบเบฝเบโเปเบโเบขเบฑเปเบโเบขเบทเบโเบเบฒเบโ, เบเปเบฒเบโเบเปเบฒโเปเบเบฑเบโเบเปเบญเบโเปเบเบตเปเบกโเปเบโเบขเบฑเปเบโเบขเบทเบโเบเบฒเบโเบฅเบนเบโเบเปเบฒโเบเบฑเบ Kubernetesโ; เปเบเบทเปเบญโเปเบฎเบฑเบโเบชเบดเปเบโเบเบตเปโ, เบชเปเบฒเบโเบเบงเบฒเบกโเบฅเบฑเบโเบชเปเบฒโเบฅเบฑเบโเบกเบฑเบโ:
kubectl create secret tls tls-keycloak --cert=example.org.crt --key=example.org.pem
เบเปเปเปเบเบเบงเบเปเบฎเบปเบฒเบเบฐเปเบเปเบกเบฑเบเบชเปเบฒเบฅเบฑเบเบเบปเบงเบเบงเบเบเบธเบก Ingress เบเบญเบเบเบงเบเปเบฎเบปเบฒ
เบเบฒเบเบเบดเบเบเบฑเปเบ Keycloak
เบเปเบฒเบเบฐเปเบเบปเปเบฒเปเบเปเบเบฑเบเบชเบดเบเปเบเบงเปเบฒเบงเบดเบเบตเบเบตเปเบเปเบฒเบเบเบตเปเบชเบธเบเปเบกเปเบเบเบฒเบเปเบเปเบงเบดเบเบตเปเบเปเปเบเบเบตเปเบเบฝเบกเบเปเบญเบกเบชเปเบฒเบฅเบฑเบเบเบฒเบเบเบตเป, เบเบทเบเบฒเบเบฐเบฅเบฒเบเบซเบกเบงเบเบเบฑเบเบเบฐเบเบปเบ.
เบเบดเบโเบเบฑเปเบ repository เปเบฅเบฐโเบเบฑเบโเบเบธเบโเบกเบฑเบโ:
helm repo add codecentric https://codecentric.github.io/helm-charts
helm repo update
เบชเปเบฒเบเปเบเบฅเป keycloak.yml เบเบตเปเบกเบตเปเบเบทเปเบญเบซเบฒเบเปเปเปเบเบเบตเป:
keycloak.yml
keycloak:
# ะะผั ะฐะดะผะธะฝะธัััะฐัะพัะฐ
username: "test_admin"
# ะะฐัะพะปั ะฐะดะผะธะฝะธัััะฐัะพั
password: "admin"
# ะญัะธ ัะปะฐะณะธ ะฝัะถะฝั ััะพ ะฑั ะฟะพะทะฒะพะปะธัั ะทะฐะณััะถะฐัั ะฒ Keycloak ัะบัะธะฟัั ะฟััะผะพ ัะตัะตะท web ะผะพัะดั. ะญัะพ ะฝะฐะผ
ะฟะพะฝะฐะดะพะฑะธัััั ััะพ ะฑั ะฟะพัะธะฝะธัั ะพะดะธะฝ ะฑะฐะณ, ะพ ะบะพัะพัะพะผ ะฝะธะถะต.
extraArgs: "-Dkeycloak.profile.feature.script=enabled -Dkeycloak.profile.feature.upload_scripts=enabled"
# ะะบะปััะฐะตะผ ingress, ัะบะฐะทัะฒะฐะตะผ ะธะผั ั
ะพััะฐ ะธ ัะตััะธัะธะบะฐั ะบะพัะพััะน ะผั ะฟัะตะดะฒะฐัะธัะตะปัะฝะพ ัะพั
ัะฐะฝะธะปะธ ะฒ secrets
ingress:
enabled: true
path: /
annotations:
kubernetes.io/ingress.class: nginx
ingress.kubernetes.io/affinity: cookie
hosts:
- keycloak.example.org
tls:
- hosts:
- keycloak.example.org
secretName: tls-keycloak
# Keycloak ะดะปั ัะฒะพะตะน ัะฐะฑะพัั ััะตะฑัะตั ะฑะฐะทั ะดะฐะฝะฝัั
, ะฒ ัะตััะพะฒัั
ัะตะปัั
ั ัะฐะทะฒะพัะฐัะธะฒะฐั Postgresql ะฟััะผะพ ะฒ Kuberntes, ะฒ ะฟัะพะดะฐะบัะตะฝะต ัะฐะบ ะปัััะต ะฝะต ะดะตะปะฐัั!
persistence:
deployPostgres: true
dbVendor: postgres
postgresql:
postgresUser: keycloak
postgresPassword: ""
postgresDatabase: keycloak
persistence:
enabled: true
เบเบฒเบเบเบฑเปเบเบเปเบฒเบชเบฐเบซเบฐเบเบฑเบ
เบเปเปเปเบ, เปเบเบเบตเปเบเบฒเบเปเบเปเบเบญเบเบเบญเบเปเบงเบฑเบเปเบเบเป
เปเบเบกเบธเบกเบเปเบฒเบเบเบฅเบดเบ เปเบเบตเปเบกเปเบเบ
เบเบตเปเบชเปเบฒเบเบฑเบ
เบกเบนเบเบเปเบฒ
เบเบทเป
kubernetes
Display Name
Kubernetes
เบเบดเบเบเบฒเบเปเบเปเบเบฒเบเบเบฒเบเบเบงเบเบชเบญเบเบเบฒเบเบขเบทเบเบขเบฑเบเบญเบตเปเบกเบฅเปเบเบญเบเบเบนเปเปเบเป:
เบเบญเบโเปเบเบโเบฅเบนเบโเบเปเบฒ โโ> เบญเบตโเปเบกเบฅโเป โโ> Mappers โโ> Email เบเบงเบโเบชเบญเบ (เบฅเบถเบโ)
เบเบงเบเปเบฎเบปเบฒเบเปเบฒเบฅเบฑเบเบชเปเบฒเบเบเบฑเปเบเบชเบฐเบซเบฐเบเบฑเบเปเบเบทเปเบญเบเปเบฒเปเบเบปเปเบฒเบเบนเปเปเบเปเบเบฒเบ ActiveDirectory, เบเปเบฒเบเบฐเปเบเบปเปเบฒเบเบฐเบญเบญเบเบเบฒเบ screenshots เบเปเบฒเบเบฅเบธเปเบกเบเบตเป, เบเปเบฒเบเบฐเปเบเบปเปเบฒเบเบดเบเบงเปเบฒเบกเบฑเบเบเบฐเบเบฑเบเปเบเบเบเบงเปเบฒ.
เบชเบฐเบซเบฐเบเบฑเบเบเบนเปเปเบเป โ> เปเบเบตเปเบกเบเบนเปเปเบซเปเบเปเบฅเบดเบเบฒเบโฆ โ> ldap
เบเบฒเบเบเบฑเปเบเบเปเบฒเบชเบฐเบซเบฐเบเบฑเบ
เบเปเบฒเบเบธเบเบชเบดเปเบเบเบธเบเบขเปเบฒเบเบเบต, เบซเบผเบฑเบเบเบฒเบเบเบฑเปเบเบซเบผเบฑเบเบเบฒเบเบเบปเบเบเบธเปเบก เบเบดเปเบเบเปเปเบกเบนเบเบเบนเปเปเบเปเบเบฑเบเปเบปเบ เบเปเบฒเบเบเบฐเปเบซเบฑเบเบเปเปเบเบงเบฒเบกเบเบตเปเบเบตเปเปเบซเปเปเบซเบฑเบเปเบเบดเบเบเบฒเบเบเปเบฒเปเบเบปเปเบฒเบชเบปเบเบเบปเบเบชเปเบฒเปเบฅเบฑเบเบเบญเบเบเบนเปเปเบเป.
เบเปเปเปเบ, เบเบงเบเปเบฎเบปเบฒเบเปเบฒเปเบเบฑเบเบเปเบญเบเบชเปเบฒเบเปเบเบเบเบตเปเบเบธเปเบกเบเบญเบเบเบงเบเปเบฎเบปเบฒ
เบชเบฐเบซเบฐเบเบฑเบเบเบนเปเปเบเป -> ldap_localhost -> Mappers -> เบชเปเบฒเบ
เบเบฒเบเบชเปเบฒเบเปเบเบเบเบตเป
เบเบฒเบโเบเบฑเปเบโเบเปเบฒโเบฅเบนเบโเบเปเบฒโ
เบเปเบฒเบเบเปเบฒเปเบเบฑเบเบเปเบญเบเบชเปเบฒเบเบฅเบนเบเบเปเบฒ, เปเบเปเบเบทเปเบญเบเปเบเบเบญเบ Keycloak เบเบตเปเปเบกเปเบเบเปเบฒเบฎเปเบญเบเบชเบฐเบซเบกเบฑเบเบเบตเปเบเบฐเปเบเปเบฎเบฑเบเบเบฒเบเบญเบฐเบเบธเบเบฒเบเบเบฒเบเบกเบฑเบ. เบเปเบญเบเบเบฐเปเบเบฑเปเบเบเบธเบเบชเปเบฒเบเบฑเบเปเบเบชเบตเปเบเบเปเบเบซเบเปเบฒเบเป.
เบฅเบนเบเบเปเบฒ -> เบชเปเบฒเบ
เบเบฒเบโเบเบฑเปเบโเบเปเบฒโเบฅเบนเบโเบเปเบฒโ
เปเบซเปเบเบงเบเปเบฎเบปเบฒเบชเปเบฒเบ scoupe เบชเปเบฒเบฅเบฑเบเบเบธเปเบก:
เบเบญเบเปเบเบเบฅเบนเบเบเปเบฒ -> เบชเปเบฒเบ
เบเบฒเบเบชเปเบฒเบเบเบญเบเปเบเบ
เปเบฅเบฐโเบเบฑเปเบโเปเบเบโเบเบตเปโเบชเปเบฒโเบฅเบฑเบโเปเบเบปเบฒโเปเบเบปเปเบฒโ:
เบเบญเบเปเบเบเบฅเบนเบเบเปเบฒ -> เบเบธเปเบก -> Mappers -> เบชเปเบฒเบ
เปเบเบเบเบตเป
เบเบงเบเปเบฎเบปเบฒเปเบเบตเปเบกเบเบฒเบเบชเปเบฒเบเปเบเบเบเบตเปเบเบธเปเบกเบเบญเบเบเบงเบเปเบฎเบปเบฒเปเบชเปเบเบญเบเปเบเบเบฅเบนเบเบเปเบฒเปเบฅเบตเปเบกเบเบปเปเบ:
เบฅเบนเบเบเปเบฒ -> kubernetes -> เบเบญเบเปเบเบเบฅเบนเบเบเปเบฒ -> เบเบญเบเปเบเบเบฅเบนเบเบเปเบฒเปเบฅเบตเปเบกเบเบปเปเบ
เปเบฅเบทเบญเบ เบเบธเปเบก ะฒ เบเบญเบเปเบเบเบฅเบนเบเบเปเบฒเบเบตเปเบกเบตเบขเบนเป, เบเบปเบ เปเบเบตเปเบกเบเบตเปเปเบฅเบทเบญเบ
เบเบงเบเปเบฎเบปเบฒเปเบเปเบฎเบฑเบเบเบงเบฒเบกเบฅเบฑเบ (เปเบฅเบฐเบเบฝเบเบกเบฑเบเบฅเบปเบเบเปเบญเบเปเบเบเปเบญเบเบซเบเบถเปเบ) เบเบตเปเบเบงเบเปเบฎเบปเบฒเบเบฐเปเบเปเบชเปเบฒเบฅเบฑเบเบเบฒเบเบญเบฐเบเบธเบเบฒเบเปเบ Keycloak:
เบฅเบนเบเบเปเบฒ -> kubernetes -> เบเปเปเบกเบนเบเบเบฐเบเปเบฒเบเบปเบง -> เบเบงเบฒเบกเบฅเบฑเบ
เบเบตเปเปเบฎเบฑเบเบชเปเบฒเปเบฅเบฑเบเบเบฒเบเบเบดเบเบเบฑเปเบ, เปเบเปเบเปเบญเบเบกเบตเบเปเปเบเบดเบเบเบฒเบเปเบกเบทเปเบญ, เบซเบผเบฑเบเบเบฒเบเบเบฒเบเบญเบฐเบเบธเบกเบฑเบเบชเบปเบเบเบปเบเบชเปเบฒเปเบฅเบฑเบ, เบเปเบญเบเปเบเปเบฎเบฑเบเบเปเปเบเบดเบเบเบฒเบ 403.
เปเบเปเปเบ:
เบเบญเบเปเบเบเบฅเบนเบเบเปเบฒ -> เบเบฒเบฅเบฐเบเบปเบเบเบฒเบ -> Mappers -> เบชเปเบฒเบ
เบเบนเปเบชเปเบฒเบเปเบเบเบเบตเป
เบฅเบฐเบซเบฑเบเบชเบฐเบเบฃเบดเบ
// add current client-id to token audience
token.addAudience(token.getIssuedFor());
// return token issuer as dummy result assigned to iss again
token.getIssuer();
เบเบณเบเบปเบเบเปเบฒ Kubernetes
เบเบงเบเปเบฎเบปเบฒเบเปเบฒเปเบเบฑเบเบเปเบญเบเบเบตเปเบเบญเบเบเปเบญเบเบเบตเปเปเบเบขเบฑเปเบเบขเบทเบเบฎเบฒเบเบเบญเบเบเบงเบเปเบฎเบปเบฒเบเบฒเบเบชเบฐเบเบฒเบเบเบตเปเบเบฑเปเบเบขเบนเป, เปเบฅเบฐเบเปเบญเบเบเบตเปเบเบนเปเปเบซเปเบเปเบฅเบดเบเบฒเบ OIDC เบเบฑเปเบเบขเบนเป.
เปเบเบทเปเบญเปเบฎเบฑเบเบชเบดเปเบเบเบตเป, เปเบเปเปเบเปเบเบฅเป /etc/kubernetes/manifests/kube-apiserver.yaml.
kube-apiserver.yaml
...
spec:
containers:
- command:
- kube-apiserver
...
- --oidc-ca-file=/var/lib/minikube/certs/My_Root.crt
- --oidc-client-id=kubernetes
- --oidc-groups-claim=groups
- --oidc-issuer-url=https://keycloak.example.org/auth/realms/kubernetes
- --oidc-username-claim=email
...
เบญเบฑเบเปเบเบเบเบฒเบเบเบฑเปเบเบเปเบฒ kubeadm เปเบเบเบธเปเบก:
kubeadm config
kubectl edit -n kube-system configmaps kubeadm-config
...
data:
ClusterConfiguration: |
apiServer:
extraArgs:
oidc-ca-file: /var/lib/minikube/certs/My_Root.crt
oidc-client-id: kubernetes
oidc-groups-claim: groups
oidc-issuer-url: https://keycloak.example.org/auth/realms/kubernetes
oidc-username-claim: email
...
เบเบฒเบเบเบดเบเบเบฑเปเบ auth-proxy
เปเบเบทเปเบญเบเบปเบเบเปเบญเบเบเปเบฒเบฎเปเบญเบเบชเบฐเบซเบกเบฑเบเปเบงเบฑเบเปเบเบเปเบเบญเบเบเปเบฒเบ, เบเปเบฒเบเบชเบฒเบกเบฒเบเบเปเบฒเปเบเป keycloak gatekeeper. เบเบญเบเปเบซเบเบทเบญเบเบฒเบเบเบงเบฒเบกเบเบดเบเบเบตเปเบงเปเบฒเบเบปเบงเปเบเบ reverse เบเบตเปเบเบฐเบญเบฐเบเบธเบเบฒเบเปเบซเปเบเบนเปเปเบเปเบเปเบญเบเบเบตเปเบเบฐเบชเบฐเปเบเบเบซเบเปเบฒ, เบกเบฑเบเบเบฑเบเบเบฐเบชเบปเปเบเบเปเปเบกเบนเบเบเปเบฝเบงเบเบฑเบเปเบเบปเปเบฒเบขเบนเปเปเบเบชเปเบงเบเบซเบปเบงเปเบเบซเบฒเปเบญเบฑเบเบเบฅเบดเปเบเบเบฑเบเบชเบธเบเบเปเบฒเบ. เบเบฑเปเบเบเบฑเปเบ, เบเปเบฒเบเปเบฒเบฎเปเบญเบเบชเบฐเบซเบกเบฑเบเบเบญเบเบเปเบฒเบเบชเบฐเบซเบเบฑเบเบชเบฐเบซเบเบนเบ OpenID, เบเบนเปเปเบเปเปเบเปเบฎเบฑเบเบญเบฐเบเบธเบเบฒเบเบเบฑเบเบเบต. เปเบซเปเปเบเบดเปเบเบเบปเบงเบขเปเบฒเบเบเบญเบ Kubernetes Dashboard
เบเบณเบฅเบฑเบเบเบดเบเบเบฑเปเบ Kubernetes Dashboard
helm install stable/kubernetes-dashboard --name dashboard -f values_dashboard.yaml
values_dashboard.yaml
enableInsecureLogin: true
service:
externalPort: 80
rbac:
clusterAdminRole: true
create: true
serviceAccount:
create: true
name: 'dashboard-test'
เบเบฒเบโเบเบฑเปเบโเบเปเบฒโเบชเบดเบโเบเบฒเบโเปเบเบปเปเบฒโเปเบเบดเบโ:
เบกเบฒเบชเปเบฒเบ ClusterRoleBinding เบเบตเปเบเบฐเปเบซเปเบชเบดเบเบเปเบฅเบดเบซเบฒเบเบเบธเปเบก (เบกเบฒเบเบเบฐเบเบฒเบ ClusterRole cluster-admin) เบชเปเบฒเบฅเบฑเบเบเบนเปเปเบเปเปเบเบเบธเปเบก DataOPS.
kubectl apply -f rbac.yaml
rbac.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
name: dataops_group
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: ClusterRole
name: cluster-admin
subjects:
- apiGroup: rbac.authorization.k8s.io
kind: Group
name: DataOPS
เบเบฒเบโเบเบดเบโเบเบฑเปเบ keycloak gatekeeperโ:
helm repo add gabibbo97 https://gabibbo97.github.io/charts/
helm repo update
helm install gabibbo97/keycloak-gatekeeper --version 2.1.0 --name keycloak-gatekeeper -f values_proxy.yaml
values_proxy.yaml
# ะะบะปััะฐะตะผ ingress
ingress:
enabled: true
annotations:
kubernetes.io/ingress.class: nginx
path: /
hosts:
- kubernetes-dashboard.example.org
tls:
- secretName: tls-keycloak
hosts:
- kubernetes-dashboard.example.org
# ะะพะฒะพัะธะผ ะณะดะต ะผั ะฑัะดะตะผ ะฐะฒัะพัะธะทะพะฒัะฒะฐัััั ั OIDC ะฟัะพะฒะฐะนะดะตัะฐ
discoveryURL: "https://keycloak.example.org/auth/realms/kubernetes"
# ะะผั ะบะปะธะตะฝัะฐ ะบะพัะพัะพะณะพ ะผั ัะพะทะดะฐะปะธ ะฒ Keycloak
ClientID: "kubernetes"
# Secret ะบะพัะพััะน ั ะฟัะพัะธะป ะทะฐะฟะธัะฐัั
ClientSecret: "c6ec03b8-d0b8-4cb6-97a0-03becba1d727"
# ะัะดะฐ ะฟะตัะตะฝะฐะฟัะฐะฒะธัั ะฒ ัะปััะฐะต ััะฟะตัะฝะพะน ะฐะฒัะพัะธะทะฐัะธะธ. ะคะพัะผะฐั <SCHEMA>://<SERVICE_NAME>.><NAMESAPCE>.<CLUSTER_NAME>
upstreamURL: "http://dashboard-kubernetes-dashboard.default.svc.cluster.local"
# ะัะพะฟััะบะฐะตะผ ะฟัะพะฒะตัะบั ัะตััะธัะธะบะฐัะฐ, ะตัะปะธ ั ะฝะฐั ัะฐะผะพะฟะพะดะฟะธัะฐะฝะฝัะน
skipOpenidProviderTlsVerify: true
# ะะฐัััะพะนะบะฐ ะฟัะฐะฒ ะดะพัััะฟะฐ, ะฟััะบะฐะตะผ ะฝะฐ ะฒัะต path ะตัะปะธ ะผั ะฒ ะณััะฟะฟะต DataOPS
rules:
- "uri=/*|groups=DataOPS"
เบซเบผเบฑเบเบเบฒเบเบเบฑเปเบ, เปเบกเบทเปเบญเบเปเบฒเบเบเบฐเบเบฒเบเบฒเบกเปเบเบปเปเบฒเบชเบนเปเบฅเบฐเบเบปเบ
เบเบฒเบเบเบดเบเบเบฑเปเบ Gangway
เปเบเบทเปเบญเบเบงเบฒเบกเบชเบฐเบเบงเบ, เบเปเบฒเบเบชเบฒเบกเบฒเบเปเบเบตเปเบก gangway เบเบตเปเบเบฐเบชเปเบฒเบเปเบเบฅเป config เบชเปเบฒเบฅเบฑเบ kubectl, เบเปเบงเบเบเบฒเบเบเปเบงเบเปเบซเบผเบทเบญเบเบตเปเบเบงเบเปเบฎเบปเบฒเบเบฐเปเบเบปเปเบฒเปเบเปเบ Kubernetes เบเบฒเบเปเบเปเบเบนเปเปเบเปเบเบญเบเบเบงเบเปเบฎเบปเบฒ.
helm install --name gangway stable/gangway -f values_gangway.yaml
values_gangway.yaml
gangway:
# ะัะพะธะทะฒะพะปัะฝะพะต ะธะผั ะบะปะฐััะตัะฐ
clusterName: "my-k8s"
# ะะดะต ั ะฝะฐั OIDC ะฟัะพะฒะฐะนะดะตั
authorizeURL: "https://keycloak.example.org/auth/realms/kubernetes/protocol/openid-connect/auth"
tokenURL: "https://keycloak.example.org/auth/realms/kubernetes/protocol/openid-connect/token"
audience: "https://keycloak.example.org/auth/realms/kubernetes/protocol/openid-connect/userinfo"
# ะขะตะพัะธัะธัะตัะบะธ ััะดะฐ ะผะพะถะฝะพ ะดะพะฑะฐะฒะธัั groups ะบะพัะพััะต ะผั ะทะฐะผะฐะฟะธะปะธ
scopes: ["openid", "profile", "email", "offline_access"]
redirectURL: "https://gangway.example.org/callback"
# ะะผั ะบะปะธะตะฝัะฐ
clientID: "kubernetes"
# ะกะตะบัะตั
clientSecret: "c6ec03b8-d0b8-4cb6-97a0-03becba1d727"
# ะัะปะธ ะพััะฐะฒะธัั ะดะตัะพะปัะฝะพะต ะทะฝะฐัะฝะธะต, ัะพ ะทะฐ ะธะผั ะฟะพะปัะทะพะฒะฐัะตะปั ะฑัะดะตั ะฑัะฐััั <b>Frist name</b> <b>Second name</b>, ะฐ ะฟัะธ "sub" ะตะณะพ ะปะพะณะธะฝ
usernameClaim: "sub"
# ะะพะผะตะฝะฝะพะต ะธะผั ะธะปะธ IP ะฐะดัะตัั API ัะตัะฒะตัะฐ
apiServerURL: "https://192.168.99.111:8443"
# ะะบะปััะฐะตะผ Ingress
ingress:
enabled: true
annotations:
kubernetes.io/ingress.class: nginx
nginx.ingress.kubernetes.io/proxy-buffer-size: "64k"
path: /
hosts:
- gangway.example.org
tls:
- secretName: tls-keycloak
hosts:
- gangway.example.org
# ะัะปะธ ะธัะฟะพะปัะทัะตะผ ัะฐะผะพะฟะพะดะฟะธัะฐะฝะฝัะน ัะตััะธัะธะบะฐั, ัะพ ะตะณะพ(ะพัะบััััะน ะบะพัะฝะตะฒะพะน ัะตััะธัะธะบะฐั) ะฝะฐะดะพ ัะบะฐะทะฐัั.
trustedCACert: |-
-----BEGIN CERTIFICATE-----
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
-----END CERTIFICATE-----
เบกเบฑเบเปเบเบดเปเบเบเบทเบงเปเบฒเบเบฒเบเบชเบดเปเบเบเบฒเบเบขเปเบฒเบเปเบเบฑเปเบเบเบตเป. เบญเบฐเบเบธเบเบฒเบเปเบซเปเบเปเบฒเบเบชเบฒเบกเบฒเบเบเบฒเบงเปเบซเบฅเบเปเบเบฅเป config เบเบฑเบเบเบตเปเบฅเบฐเบชเปเบฒเบเบกเบฑเบเปเบเบเปเบเปเบเบธเบเบเปเบฒเบชเบฑเปเบ:
เปเบซเบผเปเบเบเปเปเบกเบนเบ: www.habr.com