🥇Ievads par Hashicorp Consul's Kubernetes pilnvarojumu

Tieši tā, pēc atbrīvošanas Hashicorp Consul 1.5.0 2019. gada maija sākumā vietnē Consul varat autorizēt lietojumprogrammas un pakalpojumus, kas darbojas Kubernetes.

Šajā apmācībā mēs izveidosim soli pa solim POC (Proof of Concept, PoC), kas demonstrē šo jauno funkciju. Jums ir jābūt pamatzināšanām par Kubernetes un Hashicorp konsulu. Lai gan varat izmantot jebkuru mākoņa platformu vai lokālo vidi, šajā apmācībā mēs izmantosim Google mākoņu platformu.

Pārskatiet

Ja mēs ejam uz Konsulāta dokumentācija par tā autorizācijas metodi, mēs iegūsim ātru pārskatu par tā mērķi un lietošanas gadījumu, kā arī dažas tehniskas detaļas un vispārīgu loģikas pārskatu. Es ļoti iesaku to izlasīt vismaz vienu reizi, pirms turpināt, jo tagad es to visu izskaidrošu un košļāšu.

1. diagramma: Oficiālais pārskats par konsula autorizācijas metodi

Ieskatīsimies dokumentācija konkrētai Kubernetes autorizācijas metodei.

Protams, tur ir noderīga informācija, taču nav ceļveža, kā to visu izmantot. Tātad, kā jebkurš saprātīgs cilvēks, jūs meklējat padomus internetā. Un tad... Jums neizdodas. Tas notiek. Labosim šo.

Pirms pārejam pie mūsu POC izveides, atgriezīsimies pie konsula autorizācijas metožu pārskata (1. diagramma) un precizēsim to Kubernetes kontekstā.

Arhitektūra

Šajā apmācībā mēs izveidosim Consul serveri atsevišķā mašīnā, kas sazināsies ar Kubernetes klasteru ar instalētu Consul klientu. Pēc tam mēs podā izveidosim savu fiktīvo lietojumprogrammu un izmantosim mūsu konfigurēto autorizācijas metodi, lai lasītu no mūsu Consul atslēgu/vērtību krātuves.

Tālāk esošajā diagrammā ir detalizēti aprakstīta arhitektūra, ko veidojam šajā apmācībā, kā arī autorizācijas metodes loģika, kas tiks izskaidrota vēlāk.

2. diagramma: Kubernetes autorizācijas metodes pārskats

Īsa piezīme: lai tas darbotos, Consul serverim nav jādzīvo ārpus Kubernetes klastera. Bet jā, viņš var tā un šitā.

Tātad, ņemot Consul pārskata diagrammu (1. diagramma) un piemērojot tai Kubernetes, mēs iegūstam iepriekš redzamo diagrammu (2. diagramma), un loģika šeit ir šāda:

Katram podam būs pievienots pakalpojuma konts, kurā būs Kubernetes ģenerēts un zināms JWT marķieris. Šis marķieris pēc noklusējuma tiek ievietots arī podā.
Mūsu lietojumprogramma vai pakalpojums podā uzsāk pieteikšanās komandu mūsu Consul klientam. Pieteikšanās pieprasījumā būs arī mūsu pilnvara un vārds īpaši izveidots autorizācijas metode (Kubernetes tips). Šis 2. solis atbilst konsula diagrammas 1. solim (1. shēma).
Mūsu Consul klients pēc tam pārsūtīs šo pieprasījumu uz mūsu konsula serveri.
MAĢIJA! Šeit Consul serveris pārbauda pieprasījuma autentiskumu, apkopo informāciju par pieprasījuma identitāti un salīdzina to ar jebkuriem saistītajiem iepriekš definētajiem noteikumiem. Zemāk ir cita diagramma, kas to ilustrē. Šis solis atbilst 3., 4. un 5. solim konsulu pārskata diagrammā (1. diagramma).
Mūsu Consul serveris ģenerē Consul marķieri ar atļaujām saskaņā ar mūsu norādītajiem autorizācijas metodes noteikumiem (ko esam definējuši) attiecībā uz pieprasītāja identitāti. Pēc tam tas nosūtīs šo marķieri atpakaļ. Tas atbilst konsula diagrammas 6. solim (1. diagramma).
Mūsu konsula klients pārsūta marķieri pieprasītājai lietojumprogrammai vai pakalpojumam.

Mūsu lietojumprogramma vai pakalpojums tagad var izmantot šo Consul pilnvaru, lai sazinātos ar mūsu konsula datiem, kā noteikts pilnvaras privilēģijās.

Maģija ir atklāta!

Tiem no jums, kuri nav apmierināti ar trušu no cepures un vēlas uzzināt, kā tas darbojas... ļaujiet man parādīt, cik dziļi truša ala'.

Kā minēts iepriekš, mūsu "maģiskais" solis (2. attēls: 4. darbība) ir tas, kurā Consul serveris autentificē pieprasījumu, apkopo informāciju par pieprasījumu un salīdzina to ar jebkuriem saistītajiem iepriekš definētajiem noteikumiem. Šis solis atbilst 3., 4. un 5. solim konsulu pārskata diagrammā (1. diagramma). Zemāk ir diagramma (3. diagramma), kuras mērķis ir skaidri parādīt, kas patiesībā notiek zem kapuces specifiska Kubernetes autorizācijas metode.

3. diagramma: Maģija ir atklāta!

Sākumā mūsu Consul klients pārsūta pieteikšanās pieprasījumu uz mūsu Consul serveri ar Kubernetes konta pilnvaru un iepriekš izveidotās autorizācijas metodes konkrētu instances nosaukumu. Šis solis atbilst 3. darbībai iepriekšējā ķēdes skaidrojumā.
Tagad konsula serverim (vai vadītājam) ir jāpārbauda saņemtā marķiera autentiskums. Tāpēc tā konsultēsies ar Kubernetes klasteru (ar Consul klienta starpniecību) un ar atbilstošām atļaujām noskaidrosim, vai marķieris ir īsts un kam tas pieder.
Pēc tam apstiprinātais pieprasījums tiek atgriezts konsula vadītājam, un Consul serveris meklē autorizācijas metodes gadījumu ar norādīto nosaukumu no pieteikšanās pieprasījuma (un Kubernetes veida).
Konsula vadītājs identificē norādīto autorizācijas metodes gadījumu (ja ir atrasts) un nolasa tai pievienoto saistošo noteikumu kopumu. Pēc tam tas nolasa šos noteikumus un salīdzina tos ar pārbaudītajiem identitātes atribūtiem.
TA-dah! Pārejam uz 5. darbību iepriekšējā shēmas skaidrojumā.

Palaidiet Consul-serveri parastā virtuālajā mašīnā

Turpmāk es galvenokārt sniegšu norādījumus, kā izveidot šo POC, bieži vien aizzīmju punktos, bez pilniem teikumu paskaidrojumiem. Tāpat, kā minēts iepriekš, es izmantošu GCP, lai izveidotu visu infrastruktūru, taču jūs varat izveidot tādu pašu infrastruktūru jebkur citur.

Sāciet virtuālo mašīnu (instance/serveris).

Izveidojiet kārtulu ugunsmūrim (drošības grupa AWS):
Man patīk gan kārtulai, gan tīkla tagam piešķirt vienu un to pašu mašīnas nosaukumu, šajā gadījumā "skywiz-consul-server-poc".
Atrodiet sava lokālā datora IP adresi un pievienojiet to avota IP adrešu sarakstam, lai mēs varētu piekļūt lietotāja interfeisam (UI).
Atveriet 8500. portu lietotāja interfeisam. Noklikšķiniet uz Izveidot. Drīzumā mēs atkal mainīsim šo ugunsmūri [saite].
Pievienojiet instancē ugunsmūra kārtulu. Dodieties atpakaļ uz VM informācijas paneli vietnē Consul Server un tīkla tagu laukā pievienojiet “skywiz-consul-server-poc”. Noklikšķiniet uz Saglabāt.

Instalējiet Consul virtuālajā mašīnā, pārbaudiet šeit. Atcerieties, ka jums ir nepieciešama Consul versija ≥ 1.5 [saite]
Izveidosim vienu mezglu Consul - konfigurācija ir šāda.

groupadd --system consul
useradd -s /sbin/nologin --system -g consul consul
mkdir -p /var/lib/consul
chown -R consul:consul /var/lib/consul
chmod -R 775 /var/lib/consul
mkdir /etc/consul.d
chown -R consul:consul /etc/consul.d

Detalizētāku rokasgrāmatu par Consul instalēšanu un 3 mezglu kopas iestatīšanu skatiet šeit.
Izveidojiet failu /etc/consul.d/agent.json šādi [saite]:

### /etc/consul.d/agent.json
{
 "acl" : {
 "enabled": true,
 "default_policy": "deny",
 "enable_token_persistence": true
 }
}

Sāciet mūsu Consul serveri:

consul agent 
-server 
-ui 
-client 0.0.0.0 
-data-dir=/var/lib/consul 
-bootstrap-expect=1 
-config-dir=/etc/consul.d

Jums vajadzētu redzēt virkni izvadu, un beigās tiks parādīts ziņojums “... atjauninājumu bloķē ACL”.
Atrodiet Consul servera ārējo IP adresi un atveriet pārlūkprogrammu ar šo IP adresi portā 8500. Pārliecinieties, vai tiek atvērts lietotāja interfeiss.
Mēģiniet pievienot atslēgas/vērtības pāri. Ir jābūt kļūdai. Tas ir tāpēc, ka mēs ielādējām Consul serveri ar ACL un atspējojām visus noteikumus.
Atgriezieties pie sava apvalka Consul serverī un sāciet procesu fonā vai kādā citā veidā, lai to palaistu, un ievadiet šo:

consul acl bootstrap

Atrodiet "SecretID" vērtību un atgriezieties lietotāja saskarnē. Cilnē ACL ievadiet tikko nokopētā marķiera slepeno ID. Kopējiet SecretID kaut kur citur, mums tas būs vajadzīgs vēlāk.
Tagad pievienojiet atslēgas/vērtības pāri. Šim POC pievienojiet šādu: atslēga: “custom-ns/test_key”, vērtība: “Es esmu mapē custom-ns!”

Kubernetes klastera palaišana mūsu lietojumprogrammai ar Consul klientu kā Daemonset

Izveidojiet K8s (Kubernetes) kopu. Mēs to izveidosim tajā pašā zonā, kur atrodas serveris, lai nodrošinātu ātrāku piekļuvi, un tādējādi mēs varam izmantot to pašu apakštīklu, lai viegli izveidotu savienojumu ar iekšējām IP adresēm. Mēs to sauksim par "skywiz-app-with-consul-client-poc".

Kā sānu piezīmi, šeit ir laba apmācība, ar kuru es saskāros, izveidojot POC Consul kopu ar Consul Connect.
Mēs izmantosim arī Hashicorp stūres diagrammu ar paplašinātu vērtību failu.
Instalējiet un konfigurējiet Helm. Konfigurācijas soļi:

kubectl create serviceaccount tiller --namespace kube-system
kubectl create clusterrolebinding tiller-admin-binding 
   --clusterrole=cluster-admin --serviceaccount=kube-system:tiller
./helm init --service-account=tiller
./helm update

stūres diagramma: https://www.consul.io/docs/platform/k8s/helm.html
Izmantojiet šādu vērtību failu (ņemiet vērā, ka lielāko daļu esmu atspējojis):

### poc-helm-consul-values.yaml
global:
 enabled: false
 image: "consul:latest"
# Expose the Consul UI through this LoadBalancer
ui:
 enabled: false
# Allow Consul to inject the Connect proxy into Kubernetes containers
connectInject:
 enabled: false
# Configure a Consul client on Kubernetes nodes. GRPC listener is required for Connect.
client:
 enabled: true
 join: ["<PRIVATE_IP_CONSUL_SERVER>"]
 extraConfig: |
{
  "acl" : {
 "enabled": true,   
 "default_policy": "deny",   
 "enable_token_persistence": true 
  }
}
# Minimal Consul configuration. Not suitable for production.
server:
 enabled: false
# Sync Kubernetes and Consul services
syncCatalog:
 enabled: false

Izmantojiet stūres diagrammu:

./helm install -f poc-helm-consul-values.yaml ./consul-helm - name skywiz-app-with-consul-client-poc

Kad tas mēģina palaist, tam būs nepieciešamas Consul servera atļaujas, tāpēc pievienosim tās.
Ņemiet vērā “Pod Address Range”, kas atrodas klastera informācijas panelī, un skatiet mūsu ugunsmūra noteikumu “skywiz-consul-server-poc”.
Pievienojiet podziņas adrešu diapazonu IP adrešu sarakstam un atveriet portus 8301 un 8300.

Dodieties uz Consul lietotāja interfeisu, un pēc dažām minūtēm mezglu cilnē redzēsit mūsu kopu.

Autorizācijas metodes konfigurēšana, integrējot konsulu ar Kubernetes

Atgriezieties Consul servera apvalkā un eksportējiet iepriekš saglabāto marķieri:

export CONSUL_HTTP_TOKEN=<SecretID>

Lai izveidotu autentifikācijas metodes gadījumu, mums būs nepieciešama informācija no mūsu Kubernetes klastera:
kubernetes-host

kubectl get endpoints | grep kubernetes

kubernetes-service-account-jwt

kubectl get sa <helm_deployment_name>-consul-client -o yaml | grep "- name:"
kubectl get secret <secret_name_from_prev_command> -o yaml | grep token:

Tokens ir kodēts base64, tāpēc atšifrējiet to, izmantojot savu iecienītāko rīku [saite]
kubernetes-ca-cert

kubectl get secret <secret_name_from_prev_command> -o yaml | grep ca.crt:

Paņemiet “ca.crt” sertifikātu (pēc base64 dekodēšanas) un ierakstiet to failā “ca.crt”.
Tagad izveidojiet autentifikācijas metodi, aizstājot vietturus ar tikko saņemtajām vērtībām.

consul acl auth-method create 
-type "kubernetes" 
-name "auth-method-skywiz-consul-poc" 
-description "This is an auth method using kubernetes for the cluster skywiz-app-with-consul-client-poc" 
-kubernetes-host "<k8s_endpoint_retrieved earlier>" 
[email protected] 
-kubernetes-service-account-
jwt="<decoded_token_retrieved_earlier>"

Tālāk mums ir jāizveido noteikums un jāpievieno tā jaunajai lomai. Šai daļai varat izmantot Consul UI, bet mēs izmantosim komandrindu.
Uzrakstiet noteikumu

### kv-custom-ns-policy.hcl
key_prefix "custom-ns/" {
 policy = "write"
}

Piemērot noteikumu

consul acl policy create 
-name kv-custom-ns-policy 
-description "This is an example policy for kv at custom-ns/" 
-rules @kv-custom-ns-policy.hcl

Atrodiet no izvades tikko izveidotās kārtulas ID.
Izveidojiet lomu ar jaunu noteikumu.

consul acl role create 
-name "custom-ns-role" 
-description "This is an example role for custom-ns namespace" 
-policy-id <policy_id>

Tagad mēs saistīsim savu jauno lomu ar autentifikācijas metodes gadījumu. Ņemiet vērā, ka karodziņš “selector” nosaka, vai mūsu pieteikšanās pieprasījums saņems šo lomu. Pārējās atlasītāja opcijas skatiet šeit: https://www.consul.io/docs/acl/auth-methods/kubernetes.html#trusted-identity-attributes

consul acl binding-rule create 
-method=auth-method-skywiz-consul-poc 
-bind-type=role 
-bind-name='custom-ns-role' 
-selector='serviceaccount.namespace=="custom-ns"'

Visbeidzot konfigurācijas

Piekļuves tiesības

Izveidojiet piekļuves tiesības. Mums ir jādod konsulam atļauja pārbaudīt un identificēt K8s pakalpojuma konta pilnvaras identitāti.
Ierakstiet failā sekojošo [saite]:

###skywiz-poc-consul-server_rbac.yaml
---
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
 name: review-tokens
 namespace: default
subjects:
- kind: ServiceAccount
 name: skywiz-app-with-consul-client-poc-consul-client
 namespace: default
roleRef:
 kind: ClusterRole
 name: system:auth-delegator
 apiGroup: rbac.authorization.k8s.io
---
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
 name: service-account-getter
 namespace: default
rules:
- apiGroups: [""]
 resources: ["serviceaccounts"]
 verbs: ["get"]
---
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
 name: get-service-accounts
 namespace: default
subjects:
- kind: ServiceAccount
 name: skywiz-app-with-consul-client-poc-consul-client
 namespace: default
roleRef:
 kind: ClusterRole
 name: service-account-getter
 apiGroup: rbac.authorization.k8s.io

Izveidosim piekļuves tiesības

kubectl create -f skywiz-poc-consul-server_rbac.yaml

Savienojuma izveide ar konsula klientu

Kā atzīmēts šeitIr vairākas iespējas, kā izveidot savienojumu ar daemonset, taču mēs pāriesim pie šāda vienkāršā risinājuma:
Lietojiet šādu failu [saite].

### poc-consul-client-ds-svc.yaml
apiVersion: v1
kind: Service
metadata:
 name: consul-ds-client
spec:
 selector:
   app: consul
   chart: consul-helm
   component: client
   hasDNS: "true"
   release: skywiz-app-with-consul-client-poc
 ports:
 - protocol: TCP
   port: 80
   targetPort: 8500

Pēc tam izmantojiet šo iebūvēto komandu, lai izveidotu konfigurācijas karti [saite]. Lūdzu, ņemiet vērā, ka mēs atsaucamies uz mūsu pakalpojuma nosaukumu, vajadzības gadījumā nomainiet to.

cat <<EOF | kubectl apply -f -
apiVersion: v1
kind: ConfigMap
metadata:
 labels:
   addonmanager.kubernetes.io/mode: EnsureExists
 name: kube-dns
 namespace: kube-system
data:
 stubDomains: |
   {"consul": ["$(kubectl get svc consul-ds-client -o jsonpath='{.spec.clusterIP}')"]}
EOF

Autentifikācijas metodes pārbaude

Tagad redzēsim burvību darbībā!

Izveidojiet vēl vairākas atslēgu mapes ar to pašu augstākā līmeņa taustiņu (t.i., /sample_key) un vērtību pēc jūsu izvēles. Izveidojiet atbilstošas politikas un lomas jauniem galvenajiem ceļiem. Iesiešanu veiksim vēlāk.

Pielāgotas nosaukumvietas pārbaude:

Izveidosim savu nosaukumvietu:

kubectl create namespace custom-ns

Izveidosim aplikumu mūsu jaunajā nosaukumvietā. Uzrakstiet podziņas konfigurāciju.

###poc-ubuntu-custom-ns.yaml
apiVersion: v1
kind: Pod
metadata:
 name: poc-ubuntu-custom-ns
 namespace: custom-ns
spec:
 containers:
 - name: poc-ubuntu-custom-ns
   image: ubuntu
   command: ["/bin/bash", "-ec", "sleep infinity"]
 restartPolicy: Never

Izveidot zem:

kubectl create -f poc-ubuntu-custom-ns.yaml

Kad konteiners darbojas, dodieties uz turieni un instalējiet curl.

kubectl exec poc-ubuntu-custom-ns -n custom-ns -it /bin/bash
apt-get update && apt-get install curl -y

Tagad mēs nosūtīsim pieteikšanās pieprasījumu konsulam, izmantojot iepriekš izveidoto autorizācijas metodi [saite].
Lai skatītu ievadīto marķieri no sava pakalpojuma konta:

cat /run/secrets/kubernetes.io/serviceaccount/token

Ierakstiet tālāk norādīto failu konteinerā:

### payload.json
{
 "AuthMethod": "auth-method-test",
 "BearerToken": "<jwt_token>"
}

Pieslēgties!

curl 
--request POST 
--data @payload.json 
consul-ds-client.default.svc.cluster.local/v1/acl/login

Lai veiktu iepriekš minētās darbības vienā rindā (jo mēs veiksim vairākus testus), varat rīkoties šādi:

echo "{ 
"AuthMethod": "auth-method-skywiz-consul-poc", 
"BearerToken": "$(cat /run/secrets/kubernetes.io/serviceaccount/token)" 
}" 
| curl 
--request POST 
--data @- 
consul-ds-client.default.svc.cluster.local/v1/acl/login

Darbojas! Vismaz vajadzētu. Tagad paņemiet SecretID un mēģiniet piekļūt atslēgai/vērtībai, kurai mums vajadzētu piekļūt.

curl 
consul-ds-client.default.svc.cluster.local/v1/kv/custom-ns/test_key --header “X-Consul-Token: <SecretID_from_prev_response>”

Varat base64 atšifrēt vērtību “Vērtība” un pārbaudīt, vai tā atbilst vērtībai lietotāja interfeisa sadaļā custom-ns/test_key. Ja šajā apmācībā izmantojāt to pašu vērtību, jūsu kodētā vērtība būtu IkknbSBpbiB0aGUgY3VzdG9tLW5zIGZvbGRlciEi.

Lietotāja pakalpojuma konta pārbaude:

Izveidojiet pielāgotu ServiceAccount, izmantojot šo komandu [saite].

kubectl apply -f - <<EOF
apiVersion: v1
kind: ServiceAccount
metadata:
 name: custom-sa
EOF

Izveidojiet jaunu konfigurācijas failu podam. Lūdzu, ņemiet vērā, ka es iekļāvu loku uzstādīšanu, lai ietaupītu darbu :)

###poc-ubuntu-custom-sa.yaml
apiVersion: v1
kind: Pod
metadata:
 name: poc-ubuntu-custom-sa
 namespace: default
spec:
 serviceAccountName: custom-sa
 containers:
 - name: poc-ubuntu-custom-sa
   image: ubuntu
   command: ["/bin/bash","-ec"]
   args: ["apt-get update && apt-get install curl -y; sleep infinity"]
 restartPolicy: Never

Pēc tam palaidiet čaulu konteinera iekšpusē.

kubectl exec -it poc-ubuntu-custom-sa /bin/bash

Pieslēgties!

echo "{ 
"AuthMethod": "auth-method-skywiz-consul-poc", 
"BearerToken": "$(cat /run/secrets/kubernetes.io/serviceaccount/token)" 
}" 
| curl 
--request POST 
--data @- 
consul-ds-client.default.svc.cluster.local/v1/acl/login

Atļauja liegta. Ak, mēs aizmirsām pievienot jaunus noteikumus, kas ir saistoši ar atbilstošām atļaujām, darīsim to tūlīt.

Atkārtojiet iepriekš minētās darbības:
a) Izveidojiet identisku politiku prefiksam “custom-sa/”.
b) Izveidojiet lomu, nosauciet to par “pielāgotu lomu”
c) Pievienojiet lomai politiku.

Izveidojiet kārtulu saistošo elementu (iespējams tikai no cli/api). Ņemiet vērā atlasītāja karoga atšķirīgo nozīmi.

consul acl binding-rule create 
-method=auth-method-skywiz-consul-poc 
-bind-type=role 
-bind-name='custom-sa-role' 
-selector='serviceaccount.name=="custom-sa"'

Piesakieties vēlreiz no konteinera "poc-ubuntu-custom-sa". Veiksmi!
Apskatiet mūsu piekļuvi pielāgotajam-sa/ atslēgas ceļam.

curl 
consul-ds-client.default.svc.cluster.local/v1/kv/custom-sa/test_key --header “X-Consul-Token: <SecretID>”

Varat arī nodrošināt, ka šis marķieris nepiešķir piekļuvi kv failā "custom-ns/". Vienkārši atkārtojiet iepriekš minēto komandu pēc "custom-sa" aizstāšanas ar prefiksu "custom-ns".
Atļauja liegta.

Pārklājuma piemērs:

Ir vērts atzīmēt, ka visi kārtulu saistošie kartējumi tiks pievienoti pilnvarai ar šīm tiesībām.
Mūsu konteiners “poc-ubuntu-custom-sa” atrodas noklusējuma nosaukumvietā — tāpēc izmantosim to citai noteikumu saistīšanai.
Atkārtojiet iepriekšējās darbības:
a) Izveidojiet identisku politiku “noklusējuma/” atslēgas prefiksam.
b) Izveidojiet lomu, nosauciet to par “default-ns-role”
c) Pievienojiet lomai politiku.
Izveidojiet kārtulu saistošu elementu (iespējams tikai no cli/api)

consul acl binding-rule create 
-method=auth-method-skywiz-consul-poc 
-bind-type=role 
-bind-name='default-ns-role' 
-selector='serviceaccount.namespace=="default"'

Atgriezieties mūsu "poc-ubuntu-custom-sa" konteinerā un mēģiniet piekļūt "noklusējuma/" kv ceļam.
Atļauja liegta.
Katrai pilnvarai norādītos akreditācijas datus varat skatīt UI sadaļā ACL > Tokens. Kā redzat, mūsu pašreizējam marķierim ir pievienota tikai viena “pielāgota loma”. Pašlaik izmantojamais marķieris tika ģenerēts, kad mēs pieteicāmies, un tajā brīdī bija tikai viens kārtulu saistošais elements. Mums vēlreiz jāpiesakās un jāizmanto jaunais marķieris.
Pārliecinieties, vai varat lasīt gan no kv ceļiem "custom-sa/", gan "default/".
Veiksme!
Tas ir tāpēc, ka mūsu “poc-ubuntu-custom-sa” atbilst “custom-sa” un “default-ns” kārtulu saistījumiem.

Secinājums

TTL pilnvaras mgmt?

Šīs rakstīšanas laikā nebija integrēta veida, kā noteikt TTL marķieriem, kas ģenerēti ar šo autorizācijas metodi. Tā būtu lieliska iespēja nodrošināt drošu konsulu autorizācijas automatizāciju.

Ir iespēja manuāli izveidot marķieri ar TTL:

https://www.consul.io/docs/acl/acl-system.html#acl-tokens
Derīguma termiņš — laiks, kurā šis marķieris tiks atsaukts. (Neobligāti; pievienots Consul 1.5.0)
Pastāv tikai manuālai izveidei/atjaunināšanai https://www.consul.io/api/acl/tokens.html#expirationtime

Cerams, ka tuvākajā nākotnē mēs varēsim kontrolēt, kā tiek ģenerēti marķieri (pēc kārtulas vai autorizācijas metodes), un pievienot TTL.

Līdz tam ir ieteicams savā loģikā izmantot atteikšanās galapunktu.

Lasiet arī citus rakstus mūsu emuārā:

Avots: www.habr.com

Ievads Hashicorp konsula Kubernetes pilnvarojumā