เดจเดฟเดเตเดเดณเตเดเต LDAP เดธเตเตผเดตเดฑเดฟเดฒเตเดเตเดเต Kubernetes เดฌเดจเตเดงเดฟเดชเตเดชเดฟเดเตเดเตเดจเตเดจเดคเดฟเดจเตเด เดเดชเดฏเตเดเตเดคเดพเดเตเดเดณเตเดเตเดฏเตเด เดเตเดฐเตเดชเตเดชเตเดเดณเตเดเตเดฏเตเด เดเดฑเดเตเดเตเดฎเดคเดฟ เดธเดเตเดเตเดเดฐเดฟเดเตเดเตเดจเตเดจเดคเดฟเดจเตเด Keycloak เดเดเตเดเดจเต เดเดชเดฏเตเดเดฟเดเตเดเดพเดฎเตเดจเตเดจเดคเดฟเดจเตเดเตเดเตเดฑเดฟเดเตเดเตเดณเตเดณ เดเดฐเต เดเตเดฑเดฟเดฏ เดเตเดฏเตเดเตเดเตเดฑเดฟเดฏเตฝ. เดเดคเต เดจเดฟเดเตเดเดณเตเดเต เดเดชเดฏเตเดเตเดคเดพเดเตเดเตพเดเตเดเดพเดฏเดฟ RBAC เดธเดเตเดเตเดเดฐเดฟเดเตเดเดพเดจเตเด Kubernetes เดกเดพเดทเตโเดฌเตเตผเดกเตเด เดธเตเดตเดฏเด เดเดเตเดเดจเต เด เดเดเตเดเดฐเดฟเดเตเดเดฃเดฎเตเดจเตเดจเต เด เดฑเดฟเดฏเดพเดคเตเดค เดฎเดฑเตเดฑเต เดเดชเตเดฒเดฟเดเตเดเตเดทเดจเตเดเดณเตเด เดชเดฐเดฟเดฐเดเตเดทเดฟเดเตเดเตเดจเตเดจเดคเดฟเดจเต auth-proxy เดเดชเดฏเตเดเดฟเดเตเดเดพเดจเตเด เดจเดฟเดเตเดเดณเต เด เดจเตเดตเดฆเดฟเดเตเดเตเด.
เดเตเดเตเดฒเตเดเตเดเต เดเตปเดธเตเดฑเตเดฑเดพเดณเตเดทเตป
เดจเดฟเดเตเดเตพเดเตเดเต เดเดคเดฟเดจเดเด เดเดฐเต LDAP เดธเตเตผเดตเตผ เดเดฃเตเดเตเดจเตเดจเต เดเดฐเตเดคเตเด. เด เดคเต เดเดเตเดฑเตเดฑเตเดตเต เดกเดฏเดฑเดเตเดเดฑเดฟ, เดซเตเดฐเตเดเดชเดฟเด, เดเดชเตเดชเตบเดเตฝเดกเดฟเดเดชเดฟ เด เดฒเตเดฒเตเดเตเดเดฟเตฝ เดฎเดฑเตเดฑเตเดจเตเดคเตเดเตเดเดฟเดฒเตเด เดเดเดพเด. เดจเดฟเดเตเดเตพเดเตเดเต เดเดฐเต LDAP เดธเตเตผเดตเตผ เดเดฒเตเดฒเตเดเตเดเดฟเตฝ, เดคเดคเตเดตเดคเตเดคเดฟเตฝ เดจเดฟเดเตเดเตพเดเตเดเต Keycloak เดเดจเตเดฑเตผเดซเตเดธเดฟเตฝ เดจเตเดฐเดฟเดเตเดเต เดเดชเดฏเตเดเตเดคเดพเดเตเดเดณเต เดธเตเดทเตเดเดฟเดเตเดเดพเด, เด เดฒเตเดฒเตเดเตเดเดฟเตฝ เดชเตเดคเต oidc เดฆเดพเดคเดพเดเตเดเดณเต (Google, Github, Gitlab) เดเดชเดฏเตเดเดฟเดเตเดเดพเด, เดซเดฒเด เดเดคเดพเดฃเตเดเต เดธเดฎเดพเดจเดฎเดพเดฏเดฟเดฐเดฟเดเตเดเตเด.
เดเดจเตเดจเดพเดฎเดคเดพเดฏเดฟ, เดจเดฎเตเดเตเดเต เดเตเดเตเดฒเตเดเตเดเต เดคเดจเตเดจเต เดเตปเดธเตเดฑเตเดฑเดพเตพ เดเตเดฏเตเดฏเดพเด, เดเตปเดธเตเดฑเตเดฑเดพเดณเตเดทเตป เดชเตเดฐเดคเตเดฏเตเดเด เด เดฒเตเดฒเตเดเตเดเดฟเตฝ เดจเตเดฐเดฟเดเตเดเต เดเตเดฌเตผเดจเตเดฑเตเดฑเตเดธเต เดเตเดฒเดธเตเดฑเตเดฑเดฑเดฟเดฒเตเดเตเดเต เดจเดเดคเตเดคเดพเด, เดเดฐเต เดเดเตเดเด เดชเตเดฒเต, เดจเดฟเดเตเดเตพเดเตเดเต เดจเดฟเดฐเดตเดงเดฟ เดเตเดฌเตผเดจเตเดฑเตเดฑเตเดธเต เดเตเดฒเดธเตเดฑเตเดฑเดฑเตเดเตพ เดเดฃเตเดเตเดเตเดเดฟเตฝ, เด เดคเต เดตเตเดตเตเดตเตเดฑเต เดเตปเดธเตเดฑเตเดฑเดพเตพ เดเตเดฏเตเดฏเตเดจเตเดจเดคเต เดเดณเตเดชเตเดชเดฎเดพเดฏเดฟเดฐเดฟเดเตเดเตเด. เดฎเดฑเตเดตเดถเดคเตเดคเต, เดจเดฟเดเตเดเตพเดเตเดเต เดเดฒเตเดฒเดพเดฏเตเดชเตเดชเตเดดเตเด เดเดชเดฏเตเดเดฟเดเตเดเดพเด เดจเดฟเดเตเดเดณเตเดเต เดเตเดฒเดธเตเดฑเตเดฑเดฑเดฟเดฒเตเดเตเดเต เดจเตเดฐเดฟเดเตเดเต เดเตปเดธเตเดฑเตเดฑเดพเตพ เดเตเดฏเตเดฏเตเด.
เดเตเดเตเดฒเตเดเตเดเต เดกเดพเดฑเตเดฑ เดธเดเดญเดฐเดฟเดเตเดเตเดจเตเดจเดคเดฟเดจเต, เดจเดฟเดเตเดเตพเดเตเดเต เดเดฐเต เดกเดพเดฑเตเดฑเดพเดฌเตเดธเต เดเดตเดถเตเดฏเดฎเดพเดฃเต. เดธเตเดฅเดฟเดฐเดธเตเดฅเดฟเดคเดฟเดฏเดพเดฃเต h2 (เดเดฒเตเดฒเดพ เดกเดพเดฑเตเดฑเดฏเตเด เดชเตเดฐเดพเดฆเตเดถเดฟเดเดฎเดพเดฏเดฟ เดธเดเดญเดฐเดฟเดเตเดเดฟเดฐเดฟเดเตเดเตเดจเตเดจเต), เดเดจเตเดจเดพเตฝ เดเดคเต เดเดชเดฏเตเดเดฟเดเตเดเดพเดจเตเด เดธเดพเดงเตเดฏเดฎเดพเดฃเต postgres, mysql เด
เดฅเดตเดพ mariadb.
เดจเดฟเดเตเดเตพ เดเดชเตเดชเตเดดเตเด เดเตเดเตเดฒเตเดเตเดเต เดตเตเดตเตเดตเตเดฑเต เดเตปเดธเตเดฑเตเดฑเดพเตพ เดเตเดฏเตเดฏเดพเตป เดคเตเดฐเตเดฎเดพเดจเดฟเดเตเดเตเดเดฏเดพเดฃเตเดเตเดเดฟเตฝ, เดจเดฟเดเตเดเตพเดเตเดเต เดเตเดเตเดคเตฝ เดตเดฟเดถเดฆเดฎเดพเดฏ เดจเดฟเตผเดฆเตเดฆเตเดถเดเตเดเตพ เดเดฃเตเดเตเดคเตเดคเดพเดจเดพเดเตเด .
เดซเตเดกเดฑเตเดทเตป เดเตเดฐเดฎเตเดเดฐเดฃเด
เดเดจเตเดจเดพเดฎเดคเดพเดฏเดฟ, เดจเดฎเตเดเตเดเต เดเดฐเต เดชเตเดคเดฟเดฏ เดฎเดฃเตเดกเดฒเด เดธเตเดทเตเดเดฟเดเตเดเดพเด. เดเดเตเดเดณเตเดเต เดเดชเตเดฒเดฟเดเตเดเตเดทเดจเตเดฑเต เดเดเดฎเดพเดฃเต เดฐเดพเดเตเดฏเด. เดเดฐเต เดเดชเตเดฒเดฟเดเตเดเตเดทเดจเตเด เดตเตเดฏเดคเตเดฏเดธเตโเดค เดเดชเดฏเตเดเตเดคเดพเดเตเดเดณเตเด เด เดเดเตเดเดพเดฐ เดเตเดฐเดฎเตเดเดฐเดฃเดเตเดเดณเตเด เดเดณเตเดณ เดธเตเดตเดจเตเดคเด เดฎเตเดเดฒ เดเดฃเตเดเดพเดฏเดฟเดฐเดฟเดเตเดเดพเด. เดชเตเดฐเดงเดพเดจ เดฎเดฃเตเดกเดฒเด เดเตเดเตเดฒเตเดเตเดเต เดคเดจเตเดจเต เดเดชเดฏเตเดเดฟเดเตเดเตเดจเตเดจเต, เด เดคเต เดฎเดฑเตเดฑเตเดจเตเดคเดฟเดจเตเด เดเดชเดฏเตเดเดฟเดเตเดเตเดจเตเดจเดคเต เดคเตเดฑเตเดฑเดพเดฃเต.
เดชเตเดทเต เดฎเดฃเตเดกเดฒเด เดเตเตผเดเตเดเตเด
เดเดชเตเดทเตป
เดตเดฟเดฒ
เดชเตเดฐเต
kubernetes
เดชเตเดฐเดฆเตผเดถเดจ เดจเดพเดฎเด
Kubernetes
HTML เดกเดฟเดธเตเดชเตเดฒเต เดจเดพเดฎเด
<img src="https://kubernetes.io/images/nav_logo.svg" width="400" >
เดเดชเดฏเตเดเตเดคเดพเดตเดฟเดจเตเดฑเต เดเดฎเตเดฏเดฟเตฝ เดธเตเดฅเดฟเดฐเตเดเดฐเดฟเดเตเดเดฟเดเตเดเตเดฃเตเดเต เดเดฒเตเดฒเดฏเต เดเดจเตเดจเต เดธเตเดฅเดฟเดฐเดธเตเดฅเดฟเดคเดฟเดฏเดพเดฏเดฟ Kubernetes เดชเดฐเดฟเดถเตเดงเดฟเดเตเดเตเดจเตเดจเต. เดเดเตเดเตพ เดเดเตเดเดณเตเดเต เดธเตเดตเดจเตเดคเด LDAP เดธเตเตผเดตเตผ เดเดชเดฏเตเดเดฟเดเตเดเตเดจเตเดจเดคเดฟเดจเดพเตฝ, เด เดเตเดเตเดเต เดฎเดฟเดเตเดเดตเดพเดฑเตเด เดเดฒเตเดฒเดพเดฏเตโเดชเตเดชเตเดดเตเด เดฎเดเดเตเดเดฟเดตเดฐเตเด false. Kubernetes-เตฝ เด เดเตเดฐเดฎเตเดเดฐเดฃเดคเตเดคเดฟเดจเตเดฑเต เดชเตเดฐเดพเดคเดฟเดจเดฟเดงเตเดฏเด เดชเตเดฐเดตเตผเดคเตเดคเดจเดฐเดนเดฟเดคเดฎเดพเดเตเดเดพเด:
เดเตเดฒเดฏเดจเตเดฑเต เดธเตเดเตเดชเตเดชเตเดเตพ -> เดเดฎเตเดฏเดฟเตฝ -> เดฎเดพเดชเตเดชเตผเดฎเดพเตผ -> เดเดฎเตเดฏเดฟเตฝ เดชเดฐเดฟเดถเตเดงเดฟเดเตเดเต (เดเดฒเตเดฒเดพเดคเดพเดเตเดเตเด)
เดเดจเดฟ เดจเดฎเตเดเตเดเต เดซเตเดกเดฑเตเดทเตป เดธเดเตเดเตเดเดฐเดฟเดเตเดเดพเด, เดเดคเดฟเดจเดพเดฏเดฟ เดจเดฎเตเดฎเตพ เดชเตเดเตเดจเตเดจเต:
เดฏเตเดธเตผ เดซเตเดกเดฑเตเดทเตป -> เดฆเดพเดคเดพเดตเดฟเดจเต เดเตเตผเดเตเดเตเด... -> ldap
FreeIPA-เดฏเตเดเตเดเตเดณเตเดณ เดเดฐเต เดเดฆเดพเดนเดฐเดฃ เดธเดเตเดเตเดเดฐเดฃเด เดเดคเดพ:
เดเดชเตเดทเตป
เดตเดฟเดฒ
เดเตบเดธเตเตพ เดกเดฟเดธเตเดชเตเดฒเต เดชเตเดฐเต
freeipa.example.org
เดตเตเดฃเตเดเตผ
Red Hat Directory Server
UUID LDAP เดเดเตเดฐเดฟเดฌเตเดฏเตเดเตเดเต
ipauniqueid
เดเดฃเดเตเดทเตป URL
ldaps://freeipa.example.org
เดเดชเดฏเตเดเตเดคเดพเดตเต DN
cn=users,cn=accounts,dc=example,dc=org
DN เดฌเตเตปเดกเต เดเตเดฏเตเดฏเตเด
uid=keycloak-svc,cn=users,cn=accounts,dc=example,dc=org
เดเตเดฐเตเดกเตปเดทเตเดฏเตฝ เดฌเตเตปเดกเต เดเตเดฏเตเดฏเตเด
<password>
Kerberos เดชเตเดฐเดพเดฎเดพเดฃเตเดเดฐเดฃเด เด
เดจเตเดตเดฆเดฟเดเตเดเตเด:
on
เดเตเตผเดฌเดฑเตเดธเต เดธเดพเดฎเตเดฐเดพเดเตเดฏเด:
EXAMPLE.ORG
เดธเตเตผเดตเตผ เดชเตเดฐเดฟเตปเดธเดฟเดชเตเดชเตฝ:
HTTP/[email protected]
เดเต เดเดพเดฌเต:
/etc/krb5.keytab
เดเดชเดฏเตเดเตเดคเดพเดตเต keycloak-svc เดเดเตเดเดณเตเดเต LDAP เดธเตเตผเดตเดฑเดฟเตฝ เดฎเตเตปเดเตเดเตเดเดฟ เดธเตเดทเตเดเดฟเดเตเดเดฟเดฐเดฟเดเตเดเดฃเด.
เดธเดเตเดต เดกเดฏเดฑเดเตเดเดฑเดฟเดฏเตเดเต เดเดพเดฐเตเดฏเดคเตเดคเดฟเตฝ, เดฒเดณเดฟเดคเดฎเดพเดฏเดฟ เดคเดฟเดฐเดเตเดเตเดเตเดเตเดเตเด เดตเตเดฃเตเดเตผ: เดธเดเตเดต เดกเดฏเดฑเดเตเดเดฑเดฟ เดเดตเดถเตเดฏเดฎเดพเดฏ เดเตเดฐเดฎเตเดเดฐเดฃเดเตเดเตพ เดธเตเดตเดฏเดฎเตเดต เดซเตเดฎเดฟเตฝ เดเตเตผเดเตเดเตเด.
เดชเตเดทเต เดฐเดเตเดทเดฟเดเตเดเตเด
เดเดจเดฟ เดจเดฎเตเดเตเดเต เดฎเตเดจเตเดจเตเดเตเดเต เดชเตเดเดพเด:
เดฏเตเดธเตผ เดซเตเดกเดฑเตเดทเตป -> freeipa.example.org -> เดฎเดพเดชเตเดชเตผเดฎเดพเตผ -> เดชเตเดฐเดฟเดจเตเดฑเต เดเดฆเตเดฏเดญเดพเดเด
เดเดชเตเดทเตป
เดตเดฟเดฒ
Ldap เดเดเตเดฐเดฟเดฌเตเดฏเตเดเตเดเตเดเตพ
givenName
เดเดชเตเดชเตเตพ เดเตเดฐเตเดชเตเดชเต เดฎเดพเดชเตเดชเดฟเดเดเต เดชเตเดฐเดตเตผเดคเตเดคเดจเดเตเดทเดฎเดฎเดพเดเตเดเตเด:
เดฏเตเดธเตผ เดซเตเดกเดฑเตเดทเตป -> freeipa.example.org -> เดฎเดพเดชเตเดชเตผเดฎเดพเตผ -> เดธเตเดทเตเดเดฟเดเตเดเดพเตป
เดเดชเตเดทเตป
เดตเดฟเดฒ
เดชเตเดฐเต
groups
เดฎเดพเดชเตเดชเตผ เดคเดฐเด
group-ldap-mapper
LDAP เดเตเดฐเตเดชเตเดชเตเดเตพ DN
cn=groups,cn=accounts,dc=example,dc=org
เดเดชเดฏเตเดเตเดคเต เดเตเดฐเตเดชเตเดชเต เดตเตเดฃเตเดเตเดเตเดเตเดเตฝ เดคเดจเตเดคเตเดฐเด
GET_GROUPS_FROM_USER_MEMBEROF_ATTRIBUTE
เดเดคเต เดซเตเดกเดฑเตเดทเตป เดธเดเตเดเตเดเดฐเดฃเด เดชเตเตผเดคเตเดคเดฟเดฏเดพเดเตเดเตเดจเตเดจเต, เดจเดฎเตเดเตเดเต เดเตเดฒเดฏเดจเตเดฑเต เดธเดเตเดเตเดเดฐเดฟเดเตเดเตเดจเตเดจเดคเดฟเดฒเตเดเตเดเต เดชเตเดเดพเด.
เดเตเดฒเดฏเดจเตเดฑเต เดธเดเตเดเตเดเดฐเดฃเด
เดจเดฎเตเดเตเดเต เดเดฐเต เดชเตเดคเดฟเดฏ เดเตเดฒเดฏเดจเตเดฑเต เดธเตเดทเตเดเดฟเดเตเดเดพเด (เดเตเดเตเดฒเตเดเตเดเดฟเตฝ เดจเดฟเดจเตเดจเต เดเดชเดฏเตเดเตเดคเดพเดเตเดเดณเต เดธเตเดตเตเดเดฐเดฟเดเตเดเตเดจเตเดจ เดเดฐเต เดเดชเตเดฒเดฟเดเตเดเตเดทเตป). เดจเดฎเตเดเตเดเต เดชเตเดพเดเดพเด:
เดเตเดฒเดฏเดจเตเดฑเตเดเตพ -> เดธเตเดทเตเดเดฟเดเตเดเดพเตป
เดเดชเตเดทเตป
เดตเดฟเดฒ
เดเตเดฒเดฏเดจเตเดฑเต เดเดกเดฟ
kubernetes
เดชเตเดฐเดตเตเดถเดจ เดคเดฐเด
confidenrial
เดฑเตเดเตเดเต URL
http://kubernetes.example.org/
เดธเดพเดงเตเดตเดพเดฏ เดฑเตเดกเดฏเดฑเดเตโเดเต เดฏเตเดเตผเดเดเตพ
http://kubernetes.example.org/*
เด
เดกเตโเดฎเดฟเตป URL
http://kubernetes.example.org/
เดเตเดฐเตเดชเตเดชเตเดเตพเดเตเดเดพเดฏเดฟ เดเดเตเดเตพ เดเดฐเต เดธเตเดเตเดชเตเดชเตเด เดธเตเดทเตเดเดฟเดเตเดเตเด:
เดเตเดฒเดฏเดจเตเดฑเต เดธเตเดเตเดชเตเดชเตเดเตพ -> เดธเตเดทเตเดเดฟเดเตเดเดพเตป
เดเดชเตเดทเตป
เดตเดฟเดฒ
เดซเดฒเดเด
No template
เดชเตเดฐเต
groups
เดฎเตเดดเตเดตเตป เดเตเดฐเตเดชเตเดชเต เดชเดพเดค
false
เด เดตเตผเดเตเดเดพเดฏเดฟ เดเดฐเต เดฎเดพเดชเตเดชเตผ เดธเดเตเดเดฎเดพเดเตเดเตเด:
เดเตเดฒเดฏเดจเตเดฑเต เดธเตเดเตเดชเตเดชเตเดเตพ -> เดเตเดฐเตเดชเตเดชเตเดเตพ -> เดฎเดพเดชเตเดชเตผเดฎเดพเตผ -> เดธเตเดทเตเดเดฟเดเตเดเดพเตป
เดเดชเตเดทเตป
เดตเดฟเดฒ
เดชเตเดฐเต
groups
เดฎเดพเดชเตเดชเตผ เดคเดฐเด
Group membership
เดเตเดเตเดเตบ เดเตเดฒเตเดฏเดฟเด เดชเตเดฐเต
groups
เดเดชเตเดชเตเตพ เดเดเตเดเดณเตเดเต เดเตเดฒเดฏเดจเตเดฑเต เดธเตเดเตเดชเตเดชเดฟเตฝ เดเตเดฐเตเดชเตเดชเต เดฎเดพเดชเตเดชเดฟเดเดเต เดชเตเดฐเดตเตผเดคเตเดคเดจเดเตเดทเดฎเดฎเดพเดเตเดเตเดฃเตเดเดคเตเดฃเตเดเต:
เดเตเดฒเดฏเดจเตเดฑเตเดเตพ -> เดเตเดฌเตเตผเดจเตเดฑเตเดฑเตเดธเต -> เดเตเดฒเดฏเดจเตเดฑเต เดธเตเดเตเดชเตเดชเตเดเตพ -> เดกเดฟเดซเตเตพเดเตเดเต เดเตเดฒเดฏเดจเตเดฑเต เดธเตเดเตเดชเตเดชเตเดเตพ
เดคเดฟเดฐเดเตเดเตเดเตเดเตเดเตเด เดเตเดฐเตเดชเตเดชเตเดเตพ ะฒ เดฒเดญเตเดฏเดฎเดพเดฏ เดเตเดฒเดฏเดจเตเดฑเต เดธเตเดเตเดชเตเดชเตเดเตพเดเตเดฒเดฟเดเตเดเตเดเตเดฏเตเดฏเตเด เดคเดฟเดฐเดเตเดเตเดเตเดคเตเดคเดคเต เดเตเตผเดเตเดเตเด
เดเดจเดฟ เดจเดฎเตเดเตเดเต เดจเดฎเตเดฎเตเดเต เดเดชเตเดฒเดฟเดเตเดเตเดทเดจเตเดฑเต เดเดงเดฟเดเดพเดฐเดฟเดเดค เดธเดเตเดเตเดเดฐเดฟเดเตเดเดพเด, เดเดคเดฟเดฒเตเดเตเดเต เดชเตเดเตเด:
เดเตเดฒเดฏเดจเตเดฑเตเดเตพ -> เดเตเดฌเตเตผเดจเตเดฑเตเดฑเตเดธเต
เดเดชเตเดทเตป
เดตเดฟเดฒ
เด
เดเดเตเดเดพเดฐเด เดชเตเดฐเดตเตผเดคเตเดคเดจเดเตเดทเดฎเดฎเดพเดเตเดเดฟ
ON
เดจเดฎเตเดเตเดเต เดคเดณเตเดณเดพเด เดธเดเดฐเดเตเดทเดฟเดเตเดเตเด เดเดคเต เดเตเดฒเดฏเดจเตเดฑเต เดธเดเตเดเตเดเดฐเดฃเด เดชเตเตผเดคเตเดคเดฟเดฏเดพเดเตเดเตเดจเตเดจเต, เดเดชเตเดชเตเตพ เดเดพเดฌเดฟเตฝ
เดเตเดฒเดฏเดจเตเดฑเตเดเตพ -> เดเตเดฌเตเตผเดจเตเดฑเตเดฑเตเดธเต -> เดเตเดฐเตเดกเตปเดทเตเดฏเตฝ
เดจเดฟเดเตเดเตพเดเตเดเต เดเดฟเดเตเดเดพเด เดธเตเดเตเดฐเดเตเดเต เด เดคเต เดเดเตเดเตพ เดชเดฟเดจเตเดจเตเดเต เดเดชเดฏเตเดเดฟเดเตเดเตเด.
เดเตเดฌเตผเดจเตเดฑเตเดฑเดธเต เดเตเตบเดซเดฟเดเตผ เดเตเดฏเตเดฏเตเดจเตเดจเต
OIDC เด
เดเดเตเดเดพเดฐเดคเตเดคเดฟเดจเดพเดฏเดฟ Kubernetes เดธเดเตเดเตเดเดฐเดฟเดเตเดเตเดจเตเดจเดคเต เดตเดณเดฐเต เดจเดฟเดธเตเดธเดพเดฐเดฎเดพเดฃเต, เดตเดณเดฐเต เดธเดเตเดเตเตผเดฃเตเดฃเดฎเดพเดฏ เดเดจเตเดจเดฒเตเดฒ. เดจเดฟเดเตเดเดณเตเดเต OIDC เดธเตเตผเดตเดฑเดฟเดจเตเดฑเต CA เดธเตผเดเตเดเดฟเดซเดฟเดเตเดเดฑเตเดฑเต เดเดเตเด เดฎเดพเดคเตเดฐเดฎเดพเดฃเต เดจเดฟเดเตเดเตพ เดเตเดฏเตเดฏเตเดฃเตเดเดคเต /etc/kubernetes/pki/oidc-ca.pem เดเตเดเดพเดคเต kube-apiserver-เดจเต เดเดตเดถเตเดฏเดฎเดพเดฏ เดเดชเตเดทเดจเตเดเตพ เดเตเตผเดเตเดเตเด.
เดเดคเต เดเตเดฏเตเดฏเตเดจเตเดจเดคเดฟเดจเต, เด
เดชเตเดกเตเดฑเตเดฑเต เดเตเดฏเตเดฏเตเด /etc/kubernetes/manifests/kube-apiserver.yaml เดจเดฟเดเตเดเดณเตเดเต เดเดฒเตเดฒเดพ เดฏเดเดฎเดพเดจเดจเตเดฎเดพเดฐเดฟเดฒเตเด:
...
spec:
containers:
- command:
- kube-apiserver
...
- --oidc-ca-file=/etc/kubernetes/pki/oidc-ca.pem
- --oidc-client-id=kubernetes
- --oidc-groups-claim=groups
- --oidc-issuer-url=https://keycloak.example.org/auth/realms/kubernetes
- --oidc-username-claim=email
...เด เดชเตโเดกเตเดฑเตเดฑเต เดธเดฎเดฏเดคเตเดคเต เด เดเตเดฐเดฎเตเดเดฐเดฃเดเตเดเตพ เดจเดทเตโเดเดชเตเดชเตเดเดพเดคเดฟเดฐเดฟเดเตเดเดพเตป เดเตเดฒเดธเตเดฑเตเดฑเดฑเดฟเดฒเต kubeadm เดเตเตบเดซเดฟเดเดฑเตเดทเดจเตเด เด เดชเตโเดกเตเดฑเตเดฑเต เดเตเดฏเตเดฏเตเด:
kubectl edit -n kube-system configmaps kubeadm-config...
data:
ClusterConfiguration: |
apiServer:
extraArgs:
oidc-ca-file: /etc/kubernetes/pki/oidc-ca.pem
oidc-client-id: kubernetes
oidc-groups-claim: groups
oidc-issuer-url: https://keycloak.example.org/auth/realms/kubernetes
oidc-username-claim: email
...เดเดคเต เดเตเดฌเตผเดจเตเดฑเตเดฑเดธเต เดธเดเตเดเตเดเดฐเดฃเด เดชเตเตผเดคเตเดคเดฟเดฏเดพเดเตเดเตเดจเตเดจเต. เดจเดฟเดเตเดเดณเตเดเต เดเดฒเตเดฒเดพ เดเตเดฌเตผเดจเตเดฑเตเดฑเดธเต เดเตเดฒเดธเตเดฑเตเดฑเดฑเตเดเดณเดฟเดฒเตเดเดจเตเดณเด เดจเดฟเดเตเดเตพเดเตเดเต เด เดเดเตเดเดเตเดเตพ เดเดตเตผเดคเตเดคเดฟเดเตเดเดพเด.
เดชเตเดฐเดพเดฐเดเดญ เด เดเดเตเดเดพเดฐเด
เด เดเดเตเดเดเตเดเตพเดเตเดเต เดถเตเดทเด, เดจเดฟเดเตเดเตพเดเตเดเต เดเดคเดฟเดจเดเด เดคเดจเตเดจเต OIDC เด เดเดเตเดเดพเดฐเดฎเตเดณเตเดณ เดเดฐเต เดเตเดฌเตผเดจเตเดฑเตเดฑเดธเต เดเตเดฒเดธเตเดฑเตเดฑเตผ เดเดฃเตเดเดพเดฏเดฟเดฐเดฟเดเตเดเตเด. เดจเดฟเดเตเดเดณเตเดเต เดเดชเดฏเตเดเตเดคเดพเดเตเดเตพเดเตเดเต เดเดคเตเดตเดฐเต เดเดฐเต เดเตเดฒเดฏเดจเตเดฑเตเด เด เดตเดฐเตเดเต เดธเตเดตเดจเตเดคเด kubeconfig-เดเด เดเตเตบเดซเดฟเดเตผ เดเตเดฏเตเดคเดฟเดเตเดเดฟเดฒเตเดฒ เดเดจเตเดจเดคเดพเดฃเต เดเด เดเดพเดฐเตเดฏเด. เด เดชเตเดฐเดถเตเดจเด เดชเดฐเดฟเดนเดฐเดฟเดเตเดเตเดจเตเดจเดคเดฟเดจเต, เดตเดฟเดเดฏเดเดฐเดฎเดพเดฏ เด เดเดเตเดเดพเดฐเดคเตเดคเดฟเดจเต เดถเตเดทเด เดเดชเดฏเตเดเตเดคเดพเดเตเดเตพเดเตเดเต kubeconfig-เดจเตเดฑเต เดธเตเดตเดฏเดฎเตเดต เดเดทเตเดฏเต เดเตเดฏเตเดฏเตเดจเตเดจเดคเต เดจเดฟเดเตเดเตพ เดเตเตบเดซเดฟเดเตผ เดเตเดฏเตเดฏเตเดฃเตเดเดคเตเดฃเตเดเต.
เดเดคเต เดเตเดฏเตเดฏเตเดจเตเดจเดคเดฟเดจเต, เดเดชเดฏเตเดเตเดคเดพเดตเดฟเดจเต เดเดงเดฟเดเดพเดฐเดฟเดเดฎเดพเดเตเดเดพเตป เดจเดฟเดเตเดเดณเต เด เดจเตเดตเดฆเดฟเดเตเดเตเดจเตเดจ เดชเตเดฐเดคเตเดฏเตเด เดตเตเดฌเต เดเดชเตเดฒเดฟเดเตเดเตเดทเดจเตเดเตพ เดจเดฟเดเตเดเตพเดเตเดเต เดเดชเดฏเตเดเดฟเดเตเดเดพเด, เดคเตเดเตผเดจเตเดจเต เดชเตเตผเดคเตเดคเดฟเดฏเดพเดฏ kubeconfig เดกเตเตบเดฒเตเดกเต เดเตเดฏเตเดฏเตเด. เดเดฑเตเดฑเดตเตเด เดธเตเดเดฐเตเดฏเดชเตเดฐเดฆเดฎเดพเดฏ เดเดจเตเดจเดพเดฃเต , เดเดฒเตเดฒเดพ เดเตเดฌเตผเดจเตเดฑเตเดฑเดธเต เดเตเดฒเดธเตเดฑเตเดฑเดฑเตเดเดณเตเด เดเดฐเต เดเตเตบเดซเดฟเดเดฑเดฟเตฝ เดตเดฟเดตเดฐเดฟเดเตเดเดพเดจเตเด เด เดตเดฏเตเดเตเดเดฟเดเดฏเดฟเตฝ เดเดณเตเดชเตเดชเดคเตเดคเดฟเตฝ เดฎเดพเดฑเดพเดจเตเด เดเดคเต เดจเดฟเดเตเดเดณเต เด เดจเตเดตเดฆเดฟเดเตเดเตเดจเตเดจเต.
Kuberos เดเตเตบเดซเดฟเดเตผ เดเตเดฏเตเดฏเตเดจเตเดจเดคเดฟเดจเต, kubeconfig-เดจเตเดณเตเดณ เดเตเดเดชเตเดฒเตเดฑเตเดฑเต เดตเดฟเดตเดฐเดฟเดเตเดเต เดเดจเดฟเดชเตเดชเดฑเดฏเตเดจเตเดจ เดชเดพเดฐเดพเดฎเตเดฑเตเดฑเดฑเตเดเตพ เดเดชเดฏเตเดเดฟเดเตเดเต เดชเตเดฐเดตเตผเดคเตเดคเดฟเดชเตเดชเดฟเดเตเดเดพเตฝ เดฎเดคเดฟเดฏเดพเดเตเด:
kuberos https://keycloak.example.org/auth/realms/kubernetes kubernetes /cfg/secret /cfg/templateเดเตเดเตเดคเตฝ เดตเดฟเดตเดฐเดเตเดเตพเดเตเดเต เดเดพเดฃเตเด Github-เตฝ.
เดเดชเดฏเตเดเดฟเดเตเดเดพเดจเตเด เดธเดพเดงเดฟเดเตเดเตเด เดจเดฟเดเตเดเตพเดเตเดเต เดเดชเดฏเตเดเตเดคเดพเดตเดฟเดจเตเดฑเต เดเดฎเตเดชเตเดฏเตเดเตเดเดฑเดฟเตฝ เดจเตเดฐเดฟเดเตเดเต เด เดเดเตเดเดพเดฐเด เดจเตฝเดเดฃเดฎเตเดเตเดเดฟเตฝ. เด เดธเดพเดนเดเดฐเตเดฏเดคเตเดคเดฟเตฝ, เดเดชเดฏเตเดเตเดคเดพเดตเต เดฒเตเดเตเดเตฝ เดนเตเดธเตเดฑเตเดฑเดฟเตฝ เดเดฐเต เด เดเดเตเดเดพเดฐ เดซเตเด เดเดณเตเดณ เดเดฐเต เดฌเตเดฐเตเดธเตผ เดคเตเดฑเดเตเดเตเด.
เดคเดคเตเดซเดฒเดฎเดพเดฏเตเดฃเตเดเดพเดเตเดจเตเดจ kubeconfig เดธเตเดฑเตเดฑเดฟเตฝ เดชเดฐเดฟเดถเตเดงเดฟเดเตเดเดพเดตเตเดจเตเดจเดคเดพเดฃเต . เดฎเตเดฒเตเดฏเด เดชเดเตผเดคเตเดคเดฟเดฏเดพเตฝ เดฎเดคเดฟ users[].user.auth-provider.config.id-token เดจเดฟเดเตเดเดณเตเดเต kubeconfig-เตฝ เดจเดฟเดจเตเดจเต เดธเตเดฑเตเดฑเดฟเดฒเต เดเดฐเต เดซเตเดฎเดฟเดฒเตเดเตเดเต เดเดเตป เดคเดจเตเดจเต เดเตเดฐเดพเตปเดธเตเดเตเดฐเดฟเดชเตเดฑเตเดฑเต เดจเตเดเตเด.
RBAC เดธเดเตเดเตเดเดฐเดฃเด
RBAC เดเตเตบเดซเดฟเดเตผ เดเตเดฏเตเดฏเตเดฎเตเดชเตเตพ, เดจเดฟเดเตเดเตพเดเตเดเต เดฐเดฃเตเดเต เดเดชเดฏเตเดเตเดคเตเดจเดพเดฎเดตเตเด (เดซเตเตฝเดกเต name jwt เดเตเดเตเดเดฃเดฟเดฒเตเด เดเดฐเต เดเตเดเตเดเด เดเดชเดฏเตเดเตเดคเดพเดเตเดเตพเดเตเดเตเด (เดซเตเตฝเดกเต groups jwt เดเตเดเตเดเดฃเดฟเตฝ). เดเดฐเต เดเตเดฐเตเดชเตเดชเดฟเดจเตเดณเตเดณ เด
เดจเตเดฎเดคเดฟเดเตพ เดเตเดฐเดฎเตเดเดฐเดฟเดเตเดเตเดจเตเดจเดคเดฟเดจเตเดณเตเดณ เดเดฐเต เดเดฆเดพเดนเดฐเดฃเด เดเดคเดพ kubernetes-default-namespace-admins:
kubernetes-default-namespace-admins.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
name: default-admins
namespace: default
rules:
- apiGroups:
- '*'
resources:
- '*'
verbs:
- '*'
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: kubernetes-default-namespace-admins
namespace: default
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: Role
name: default-admins
subjects:
- apiGroup: rbac.authorization.k8s.io
kind: Group
name: kubernetes-default-namespace-adminsRBAC-เดฏเตเดเต เดเตเดเตเดคเตฝ เดเดฆเดพเดนเดฐเดฃเดเตเดเตพ เดเดคเดฟเตฝ เดเดพเดฃเดพเด
auth-proxy เดธเดเตเดเตเดเดฐเดฟเดเตเดเตเดจเตเดจเต
เด เดคเดฟเดถเดฏเดเดฐเดฎเดพเดฏ เดเดฐเต เดชเดฆเตเดงเดคเดฟเดฏเตเดฃเตเดเต , OIDC เดธเตเตผเดตเดฑเดฟเดฒเตเดเตเดเต เดเดงเดฟเดเดพเดฐเดฟเดเดค เดเดฑเดชเตเดชเดพเดเตเดเดพเตป เดเดชเดฏเตเดเตเดคเดพเดตเดฟเดจเต เด เดจเตเดตเดฆเดฟเดเตเดเตเดเตเดฃเตเดเต เดเดคเต เดเดชเตเดฒเดฟเดเตเดเตเดทเดจเตเด เดธเตเดฐเดเตเดทเดฟเดคเดฎเดพเดเตเดเดพเตป เดเดคเต เดจเดฟเดเตเดเดณเต เด เดจเตเดตเดฆเดฟเดเตเดเตเดจเตเดจเต. เดเดฐเต เดเดฆเดพเดนเดฐเดฃเดฎเดพเดฏเดฟ เดเตเดฌเตผเดจเตเดฑเตเดฑเดธเต เดกเดพเดทเตโเดฌเตเตผเดกเต เดเดชเดฏเตเดเดฟเดเตเดเต เดจเดฟเดเตเดเตพเดเตเดเต เดเดคเต เดเดเตเดเดจเต เดธเดเตเดเตเดเดฐเดฟเดเตเดเดพเดฎเตเดจเตเดจเต เดเดพเตป เดเดพเดฃเดฟเดเตเดเตเดคเดฐเดพเด:
dashboard-proxy.yaml
apiVersion: extensions/v1beta1
kind: Deployment
metadata:
name: kubernetes-dashboard-proxy
spec:
replicas: 1
template:
metadata:
labels:
app: kubernetes-dashboard-proxy
spec:
containers:
- args:
- --listen=0.0.0.0:80
- --discovery-url=https://keycloak.example.org/auth/realms/kubernetes
- --client-id=kubernetes
- --client-secret=<your-client-secret-here>
- --redirection-url=https://kubernetes-dashboard.example.org
- --enable-refresh-tokens=true
- --encryption-key=ooTh6Chei1eefooyovai5ohwienuquoh
- --upstream-url=https://kubernetes-dashboard.kube-system
- --resources=uri=/*
image: keycloak/keycloak-gatekeeper
name: kubernetes-dashboard-proxy
ports:
- containerPort: 80
livenessProbe:
httpGet:
path: /oauth/health
port: 80
initialDelaySeconds: 3
timeoutSeconds: 2
readinessProbe:
httpGet:
path: /oauth/health
port: 80
initialDelaySeconds: 3
timeoutSeconds: 2
---
apiVersion: v1
kind: Service
metadata:
name: kubernetes-dashboard-proxy
spec:
ports:
- port: 80
protocol: TCP
targetPort: 80
selector:
app: kubernetes-dashboard-proxy
type: ClusterIPเด เดตเดฒเดเดฌเด: www.habr.com