ഹാഷികോർപ്പ് കോൺസലിന്റെ കുബർനെറ്റസ് ഓതറൈസേഷന്റെ ആമുഖം

അത് ശരിയാണ്, റിലീസിന് ശേഷം ഹാഷികോർപ്പ് കോൺസൽ 1.5.0 2019 മെയ് തുടക്കത്തിൽ, കോൺസലിൽ നിങ്ങൾക്ക് പ്രാദേശികമായി കുബർനെറ്റസിൽ പ്രവർത്തിക്കുന്ന ആപ്ലിക്കേഷനുകളും സേവനങ്ങളും അംഗീകരിക്കാൻ കഴിയും.

ഈ ട്യൂട്ടോറിയലിൽ ഞങ്ങൾ ഘട്ടം ഘട്ടമായി സൃഷ്ടിക്കും POC (സങ്കൽപ്പത്തിന്റെ തെളിവ്, PoC) ഈ പുതിയ സവിശേഷത പ്രദർശിപ്പിക്കുന്നു. നിങ്ങൾക്ക് കുബർനെറ്റസ്, ഹാഷികോർപ്പിന്റെ കോൺസൽ എന്നിവയെക്കുറിച്ച് അടിസ്ഥാന അറിവ് ഉണ്ടായിരിക്കുമെന്ന് പ്രതീക്ഷിക്കുന്നു. നിങ്ങൾക്ക് ഏതെങ്കിലും ക്ലൗഡ് പ്ലാറ്റ്‌ഫോം അല്ലെങ്കിൽ പരിസരത്തെ പരിസ്ഥിതി ഉപയോഗിക്കാമെങ്കിലും, ഈ ട്യൂട്ടോറിയലിൽ ഞങ്ങൾ Google-ന്റെ ക്ലൗഡ് പ്ലാറ്റ്‌ഫോം ഉപയോഗിക്കും.

പൊതു അവലോകനം

നമ്മൾ പോയാൽ അതിന്റെ അംഗീകാര രീതിയെക്കുറിച്ചുള്ള കോൺസൽ ഡോക്യുമെന്റേഷൻ, അതിന്റെ ഉദ്ദേശ്യത്തെയും ഉപയോഗത്തെയും കുറിച്ചുള്ള ഒരു ദ്രുത അവലോകനവും ചില സാങ്കേതിക വിശദാംശങ്ങളും യുക്തിയുടെ പൊതുവായ അവലോകനവും നമുക്ക് ലഭിക്കും. തുടരുന്നതിന് മുമ്പ് ഒരിക്കലെങ്കിലും ഇത് വായിക്കാൻ ഞാൻ വളരെ ശുപാർശ ചെയ്യുന്നു, കാരണം ഞാൻ ഇപ്പോൾ എല്ലാം വിശദീകരിക്കുകയും ചവയ്ക്കുകയും ചെയ്യും.

ഡയഗ്രം 1: കോൺസൽ അധികാരപ്പെടുത്തൽ രീതിയുടെ ഔദ്യോഗിക അവലോകനം

നമുക്ക് അകത്തേക്ക് നോക്കാം ഒരു നിർദ്ദിഷ്‌ട കുബർനെറ്റസ് അംഗീകാര രീതിക്കുള്ള ഡോക്യുമെന്റേഷൻ.

തീർച്ചയായും, അവിടെ ഉപയോഗപ്രദമായ വിവരങ്ങൾ ഉണ്ട്, എന്നാൽ എല്ലാം യഥാർത്ഥത്തിൽ എങ്ങനെ ഉപയോഗിക്കണം എന്നതിനെ കുറിച്ച് ഒരു ഗൈഡും ഇല്ല. അതിനാൽ, വിവേകമുള്ള ഏതൊരു വ്യക്തിയെയും പോലെ, നിങ്ങൾ മാർഗനിർദേശത്തിനായി ഇന്റർനെറ്റ് പരതുന്നു. പിന്നെ... നിങ്ങൾ പരാജയപ്പെടുന്നു. അത് സംഭവിക്കുന്നു. നമുക്ക് ഇത് ശരിയാക്കാം.

ഞങ്ങളുടെ പി‌ഒ‌സി സൃഷ്‌ടിക്കുന്നതിലേക്ക് പോകുന്നതിന് മുമ്പ്, നമുക്ക് കോൺസലിന്റെ അധികാരപ്പെടുത്തൽ രീതികളുടെ (ഡയഗ്രം 1) അവലോകനത്തിലേക്ക് മടങ്ങുകയും കുബർനെറ്റസിന്റെ പശ്ചാത്തലത്തിൽ അത് പരിഷ്കരിക്കുകയും ചെയ്യാം.

വാസ്തുവിദ്യ

ഈ ട്യൂട്ടോറിയലിൽ, ഇൻസ്റ്റാൾ ചെയ്ത കോൺസൽ ക്ലയന്റുമായി ഒരു കുബർനെറ്റസ് ക്ലസ്റ്ററുമായി ആശയവിനിമയം നടത്തുന്ന ഒരു പ്രത്യേക മെഷീനിൽ ഞങ്ങൾ ഒരു കോൺസൽ സെർവർ സൃഷ്ടിക്കും. തുടർന്ന് ഞങ്ങൾ ഞങ്ങളുടെ ഡമ്മി ആപ്ലിക്കേഷൻ പോഡിൽ സൃഷ്‌ടിക്കുകയും കോൺസൽ കീ/മൂല്യം സ്റ്റോറിൽ നിന്ന് വായിക്കാൻ കോൺഫിഗർ ചെയ്‌ത അംഗീകാര രീതി ഉപയോഗിക്കുകയും ചെയ്യും.

ചുവടെയുള്ള ഡയഗ്രം ഈ ട്യൂട്ടോറിയലിൽ ഞങ്ങൾ സൃഷ്ടിക്കുന്ന ആർക്കിടെക്ചറിനെയും അംഗീകാര രീതിയുടെ പിന്നിലെ യുക്തിയെയും വിശദമായി വിവരിക്കുന്നു, അത് പിന്നീട് വിശദീകരിക്കും.

ഡയഗ്രം 2: കുബർനെറ്റസ് ഓതറൈസേഷൻ രീതി അവലോകനം

ഒരു പെട്ടെന്നുള്ള കുറിപ്പ്: ഇത് പ്രവർത്തിക്കുന്നതിന് കോൺസൽ സെർവർ കുബർനെറ്റസ് ക്ലസ്റ്ററിന് പുറത്ത് താമസിക്കേണ്ടതില്ല. പക്ഷേ അതെ, അയാൾക്ക് അത് ഇങ്ങനെയും ചെയ്യാൻ കഴിയും.

അതിനാൽ, കോൺസൽ അവലോകന ഡയഗ്രം (ഡയഗ്രം 1) എടുത്ത് അതിൽ കുബർനെറ്റസ് പ്രയോഗിക്കുമ്പോൾ, മുകളിലുള്ള ഡയഗ്രം നമുക്ക് ലഭിക്കും (ഡയഗ്രം 2), ഇവിടെയുള്ള യുക്തി ഇപ്രകാരമാണ്:

1. ഓരോ പോഡിലും കുബർനെറ്റസ് ജനറേറ്റുചെയ്‌തതും അറിയപ്പെടുന്നതുമായ ഒരു JWT ടോക്കൺ അടങ്ങുന്ന ഒരു സേവന അക്കൗണ്ട് അറ്റാച്ച് ചെയ്‌തിരിക്കും. ഈ ടോക്കണും ഡിഫോൾട്ടായി പോഡിലേക്ക് ചേർത്തിട്ടുണ്ട്.
2. പോഡിനുള്ളിലെ ഞങ്ങളുടെ ആപ്ലിക്കേഷനോ സേവനമോ ഞങ്ങളുടെ കോൺസൽ ക്ലയന്റിലേക്ക് ഒരു ലോഗിൻ കമാൻഡ് ആരംഭിക്കുന്നു. ലോഗിൻ അഭ്യർത്ഥനയിൽ ഞങ്ങളുടെ ടോക്കണും പേരും ഉൾപ്പെടും പ്രത്യേകം സൃഷ്ടിച്ചത് അംഗീകാര രീതി (കുബർനെറ്റസ് തരം). ഈ ഘട്ടം #2 കോൺസൽ ഡയഗ്രാമിന്റെ (സ്കീം 1) ഘട്ടം 1 ന് സമാനമാണ്.
3. ഞങ്ങളുടെ കോൺസൽ ക്ലയന്റ് ഈ അഭ്യർത്ഥന ഞങ്ങളുടെ കോൺസൽ സെർവറിലേക്ക് കൈമാറും.
4. ജാലവിദ്യ! ഇവിടെയാണ് കോൺസൽ സെർവർ അഭ്യർത്ഥനയുടെ ആധികാരികത പരിശോധിക്കുന്നത്, അഭ്യർത്ഥനയുടെ ഐഡന്റിറ്റിയെക്കുറിച്ചുള്ള വിവരങ്ങൾ ശേഖരിക്കുകയും ഏതെങ്കിലും അനുബന്ധ മുൻനിർവചിച്ച നിയമങ്ങളുമായി താരതമ്യം ചെയ്യുകയും ചെയ്യുന്നു. ഇത് വ്യക്തമാക്കുന്ന മറ്റൊരു ഡയഗ്രം ചുവടെയുണ്ട്. ഈ ഘട്ടം കോൺസൽ അവലോകന ഡയഗ്രാമിന്റെ (ഡയഗ്രം 3) 4, 5, 1 ഘട്ടങ്ങളുമായി പൊരുത്തപ്പെടുന്നു.
5. അഭ്യർത്ഥിക്കുന്നയാളുടെ ഐഡന്റിറ്റി സംബന്ധിച്ച് ഞങ്ങളുടെ നിർദ്ദിഷ്ട അംഗീകാര രീതി നിയമങ്ങൾ (ഞങ്ങൾ നിർവചിച്ചിരിക്കുന്നത്) അനുസരിച്ച് ഞങ്ങളുടെ കോൺസൽ സെർവർ അനുമതികളോടെ ഒരു കോൺസൽ ടോക്കൺ സൃഷ്ടിക്കുന്നു. പിന്നീട് ആ ടോക്കൺ തിരികെ അയക്കും. ഇത് കോൺസൽ ഡയഗ്രാമിന്റെ (ഡയഗ്രം 6) ഘട്ടം 1 ന് സമാനമാണ്.
6. ഞങ്ങളുടെ കോൺസൽ ക്ലയന്റ് അഭ്യർത്ഥിക്കുന്ന ആപ്ലിക്കേഷനിലേക്കോ സേവനത്തിലേക്കോ ടോക്കൺ കൈമാറുന്നു.

ടോക്കണിന്റെ പ്രത്യേകാവകാശങ്ങൾ അനുസരിച്ച്, ഞങ്ങളുടെ കോൺസൽ ഡാറ്റയുമായി ആശയവിനിമയം നടത്താൻ ഞങ്ങളുടെ ആപ്ലിക്കേഷനോ സേവനത്തിനോ ഇപ്പോൾ ഈ കോൺസൽ ടോക്കൺ ഉപയോഗിക്കാം.

മാന്ത്രികത വെളിപ്പെട്ടു!

നിങ്ങളിൽ തൊപ്പിയിൽ നിന്ന് ഒരു മുയലിനെ തൃപ്തരാക്കാത്തവർക്കായി, അത് എങ്ങനെ പ്രവർത്തിക്കുന്നുവെന്ന് അറിയാൻ ആഗ്രഹിക്കുന്നു ... "എത്ര ആഴത്തിലുള്ളതാണെന്ന് ഞാൻ കാണിച്ചുതരാം മുയൽ ദ്വാരം".

നേരത്തെ സൂചിപ്പിച്ചതുപോലെ, കോൺസൽ സെർവർ അഭ്യർത്ഥനയെ ആധികാരികമാക്കുകയും അഭ്യർത്ഥനയെക്കുറിച്ചുള്ള വിവരങ്ങൾ ശേഖരിക്കുകയും ബന്ധപ്പെട്ട ഏതെങ്കിലും മുൻ‌നിർവ്വചിച്ച നിയമങ്ങളുമായി താരതമ്യം ചെയ്യുകയും ചെയ്യുന്നിടത്താണ് ഞങ്ങളുടെ "മാജിക്" ഘട്ടം (ചിത്രം 2: ഘട്ടം 4). ഈ ഘട്ടം കോൺസൽ അവലോകന ഡയഗ്രാമിന്റെ (ഡയഗ്രം 3) 4, 5, 1 ഘട്ടങ്ങളുമായി പൊരുത്തപ്പെടുന്നു. താഴെ ഒരു ഡയഗ്രം (ഡയഗ്രം 3), യഥാർത്ഥത്തിൽ എന്താണ് സംഭവിക്കുന്നതെന്ന് വ്യക്തമായി കാണിക്കുക എന്നതാണ് ഇതിന്റെ ഉദ്ദേശ്യം മേൽക്കുര്യുടെ അടിയിൽ നിർദ്ദിഷ്ട കുബർനെറ്റസ് അംഗീകാര രീതി.

ഡയഗ്രം 3: മാന്ത്രികത വെളിപ്പെട്ടു!

1. ഒരു ആരംഭ പോയിന്റ് എന്ന നിലയിൽ, ഞങ്ങളുടെ കോൺസൽ ക്ലയന്റ് ലോഗിൻ അഭ്യർത്ഥന ഞങ്ങളുടെ കോൺസൽ സെർവറിലേക്ക് കുബർനെറ്റസ് അക്കൗണ്ട് ടോക്കണും മുമ്പ് സൃഷ്ടിച്ച അംഗീകാര രീതിയുടെ നിർദ്ദിഷ്ട ഉദാഹരണവും ഉപയോഗിച്ച് കൈമാറുന്നു. ഈ ഘട്ടം മുമ്പത്തെ സർക്യൂട്ട് വിശദീകരണത്തിലെ ഘട്ടം 3 ന് സമാനമാണ്.
2. ഇപ്പോൾ കോൺസൽ സെർവർ (അല്ലെങ്കിൽ നേതാവ്) സ്വീകരിച്ച ടോക്കണിന്റെ ആധികാരികത പരിശോധിക്കേണ്ടതുണ്ട്. അതിനാൽ, ഇത് കുബർനെറ്റസ് ക്ലസ്റ്ററുമായി (കൺസൽ ക്ലയന്റ് വഴി) കൂടിയാലോചിക്കുകയും ഉചിതമായ അനുമതികളോടെ, ടോക്കൺ യഥാർത്ഥമാണോ എന്നും അത് ആരുടേതാണെന്നും ഞങ്ങൾ കണ്ടെത്തും.
3. സാധൂകരിച്ച അഭ്യർത്ഥന കോൺസൽ നേതാവിന് തിരികെ നൽകും, കൂടാതെ കോൺസൽ സെർവർ ലോഗിൻ അഭ്യർത്ഥനയിൽ നിന്ന് (കുബെർനെറ്റസ് തരത്തിലും) നിർദ്ദിഷ്ട പേരിനൊപ്പം അംഗീകാര രീതി ഉദാഹരണം നോക്കുന്നു.
4. കോൺസൽ നേതാവ് നിർദ്ദിഷ്‌ട ഓതറൈസേഷൻ രീതി ഉദാഹരണം (കണ്ടെത്തുകയാണെങ്കിൽ) തിരിച്ചറിയുകയും അതിനോട് ഘടിപ്പിച്ചിരിക്കുന്ന ബൈൻഡിംഗ് നിയമങ്ങളുടെ സെറ്റ് വായിക്കുകയും ചെയ്യുന്നു. ഇത് പിന്നീട് ഈ നിയമങ്ങൾ വായിക്കുകയും പരിശോധിച്ച ഐഡന്റിറ്റി ആട്രിബ്യൂട്ടുകളുമായി താരതമ്യം ചെയ്യുകയും ചെയ്യുന്നു.
5. TA-dah! മുമ്പത്തെ സർക്യൂട്ട് വിശദീകരണത്തിലെ 5-ാം ഘട്ടത്തിലേക്ക് പോകാം.

ഒരു സാധാരണ വെർച്വൽ മെഷീനിൽ കോൺസൽ-സെർവർ പ്രവർത്തിപ്പിക്കുക

ഇനി മുതൽ, പൂർണ്ണ വാക്യ വിശദീകരണങ്ങളില്ലാതെ, പലപ്പോഴും ബുള്ളറ്റ് പോയിന്റുകളിൽ ഈ POC എങ്ങനെ സൃഷ്ടിക്കാം എന്നതിനെക്കുറിച്ചുള്ള നിർദ്ദേശങ്ങൾ ഞാൻ കൂടുതലും നൽകും. കൂടാതെ, നേരത്തെ സൂചിപ്പിച്ചതുപോലെ, എല്ലാ ഇൻഫ്രാസ്ട്രക്ചറുകളും സൃഷ്ടിക്കാൻ ഞാൻ GCP ഉപയോഗിക്കും, എന്നാൽ നിങ്ങൾക്ക് മറ്റെവിടെയെങ്കിലും സമാനമായ ഇൻഫ്രാസ്ട്രക്ചർ സൃഷ്ടിക്കാൻ കഴിയും.

• വെർച്വൽ മെഷീൻ ആരംഭിക്കുക (ഉദാഹരണം/സെർവർ).

• ഫയർവാളിനായി ഒരു നിയമം സൃഷ്ടിക്കുക (AWS-ലെ സുരക്ഷാ ഗ്രൂപ്പ്):
• റൂളിനും നെറ്റ്‌വർക്ക് ടാഗിനും ഒരേ മെഷീൻ നാമം നൽകാൻ ഞാൻ ആഗ്രഹിക്കുന്നു, ഈ സാഹചര്യത്തിൽ "skywiz-consul-server-poc".
• നിങ്ങളുടെ പ്രാദേശിക കമ്പ്യൂട്ടറിന്റെ IP വിലാസം കണ്ടെത്തി ഉറവിട IP വിലാസങ്ങളുടെ പട്ടികയിലേക്ക് ചേർക്കുക, അതുവഴി ഞങ്ങൾക്ക് ഉപയോക്തൃ ഇന്റർഫേസ് (UI) ആക്സസ് ചെയ്യാൻ കഴിയും.
• UI-യ്‌ക്കായി പോർട്ട് 8500 തുറക്കുക. സൃഷ്ടിക്കുക ക്ലിക്ക് ചെയ്യുക. ഞങ്ങൾ ഈ ഫയർവാൾ ഉടൻ മാറ്റും [ലിങ്ക്].
• ഉദാഹരണത്തിലേക്ക് ഒരു ഫയർവാൾ നിയമം ചേർക്കുക. കോൺസൽ സെർവറിലെ VM ഡാഷ്‌ബോർഡിലേക്ക് തിരികെ പോയി നെറ്റ്‌വർക്ക് ടാഗ് ഫീൽഡിലേക്ക് “skywiz-consul-server-poc” ചേർക്കുക. സേവ് ക്ലിക്ക് ചെയ്യുക.

• ഒരു വെർച്വൽ മെഷീനിൽ കോൺസൽ ഇൻസ്റ്റാൾ ചെയ്യുക, ഇവിടെ പരിശോധിക്കുക. നിങ്ങൾക്ക് കോൺസൽ പതിപ്പ് ≥ 1.5 ആവശ്യമാണെന്ന് ഓർക്കുക [ലിങ്ക്]
• നമുക്ക് ഒരു ഒറ്റ നോഡ് കോൺസൽ ഉണ്ടാക്കാം - കോൺഫിഗറേഷൻ ഇപ്രകാരമാണ്.

groupadd --system consul
useradd -s /sbin/nologin --system -g consul consul
mkdir -p /var/lib/consul
chown -R consul:consul /var/lib/consul
chmod -R 775 /var/lib/consul
mkdir /etc/consul.d
chown -R consul:consul /etc/consul.d

• കോൺസൽ ഇൻസ്റ്റാൾ ചെയ്യുന്നതിനെക്കുറിച്ചും 3 നോഡുകളുടെ ഒരു ക്ലസ്റ്റർ സജ്ജീകരിക്കുന്നതിനെക്കുറിച്ചും കൂടുതൽ വിശദമായ ഗൈഡിനായി, കാണുക ഇവിടെ.
• ഇനിപ്പറയുന്ന രീതിയിൽ ഒരു ഫയൽ /etc/consul.d/agent.json സൃഷ്‌ടിക്കുക [ലിങ്ക്]:

### /etc/consul.d/agent.json
{
 "acl" : {
 "enabled": true,
 "default_policy": "deny",
 "enable_token_persistence": true
 }
}

• ഞങ്ങളുടെ കോൺസൽ സെർവർ ആരംഭിക്കുക:

consul agent 
-server 
-ui 
-client 0.0.0.0 
-data-dir=/var/lib/consul 
-bootstrap-expect=1 
-config-dir=/etc/consul.d

• നിങ്ങൾ ഒരു കൂട്ടം ഔട്ട്‌പുട്ട് കാണുകയും "... ACL-കൾ അപ്‌ഡേറ്റ് തടഞ്ഞു" എന്ന് അവസാനിക്കുകയും ചെയ്യും.
• കോൺസൽ സെർവറിന്റെ ബാഹ്യ IP വിലാസം കണ്ടെത്തി പോർട്ട് 8500-ൽ ഈ IP വിലാസമുള്ള ഒരു ബ്രൗസർ തുറക്കുക. UI തുറക്കുന്നുവെന്ന് ഉറപ്പാക്കുക.
• ഒരു കീ/മൂല്യം ജോടി ചേർക്കാൻ ശ്രമിക്കുക. ഒരു തെറ്റുണ്ടായിരിക്കാം. ഞങ്ങൾ കോൺസൽ സെർവർ ഒരു ACL ഉപയോഗിച്ച് ലോഡ് ചെയ്യുകയും എല്ലാ നിയമങ്ങളും പ്രവർത്തനരഹിതമാക്കുകയും ചെയ്തതിനാലാണിത്.
• കോൺസൽ സെർവറിലെ നിങ്ങളുടെ ഷെല്ലിലേക്ക് തിരികെ പോയി അത് പ്രവർത്തിപ്പിക്കുന്നതിന് പശ്ചാത്തലത്തിലോ മറ്റെന്തെങ്കിലും മാർഗത്തിലോ പ്രക്രിയ ആരംഭിക്കുക, ഇനിപ്പറയുന്നവ നൽകുക:

consul acl bootstrap

• "SecretID" മൂല്യം കണ്ടെത്തി UI-യിലേക്ക് മടങ്ങുക. ACL ടാബിൽ, നിങ്ങൾ ഇപ്പോൾ പകർത്തിയ ടോക്കണിന്റെ രഹസ്യ ഐഡി നൽകുക. SecretID മറ്റെവിടെയെങ്കിലും പകർത്തുക, ഞങ്ങൾക്ക് അത് പിന്നീട് ആവശ്യമായി വരും.
• ഇപ്പോൾ ഒരു കീ/മൂല്യം ജോടി ചേർക്കുക. ഈ POC-യ്‌ക്കായി, ഇനിപ്പറയുന്നവ ചേർക്കുക: കീ: “custom-ns/test_key”, മൂല്യം: “ഞാൻ കസ്റ്റം-എൻഎസ് ഫോൾഡറിലാണ്!”

ഡെമോൺസെറ്റായി കോൺസൽ ക്ലയന്റുമായി ഞങ്ങളുടെ ആപ്ലിക്കേഷനായി ഒരു കുബർനെറ്റസ് ക്ലസ്റ്റർ സമാരംഭിക്കുന്നു

• ഒരു K8s (കുബർനെറ്റസ്) ക്ലസ്റ്റർ സൃഷ്ടിക്കുക. വേഗത്തിലുള്ള ആക്‌സസ്സിനായി സെർവറിന്റെ അതേ സോണിൽ ഞങ്ങൾ ഇത് സൃഷ്‌ടിക്കും, അതിനാൽ ആന്തരിക IP വിലാസങ്ങളുമായി എളുപ്പത്തിൽ കണക്റ്റുചെയ്യാൻ ഞങ്ങൾക്ക് അതേ സബ്‌നെറ്റ് ഉപയോഗിക്കാം. ഞങ്ങൾ അതിനെ "skywiz-app-with-consul-client-poc" എന്ന് വിളിക്കും.

• ഒരു സൈഡ് നോട്ട് എന്ന നിലയിൽ, കോൺസൽ കണക്റ്റിനൊപ്പം ഒരു POC കോൺസൽ ക്ലസ്റ്റർ സജ്ജീകരിക്കുമ്പോൾ ഞാൻ കണ്ട ഒരു നല്ല ട്യൂട്ടോറിയൽ ഇതാ.
• വിപുലീകൃത മൂല്യങ്ങളുടെ ഫയലുള്ള ഹാഷികോർപ്പ് ഹെൽം ചാർട്ടും ഞങ്ങൾ ഉപയോഗിക്കും.
• ഹെൽം ഇൻസ്റ്റാൾ ചെയ്ത് കോൺഫിഗർ ചെയ്യുക. കോൺഫിഗറേഷൻ ഘട്ടങ്ങൾ:

kubectl create serviceaccount tiller --namespace kube-system
kubectl create clusterrolebinding tiller-admin-binding 
   --clusterrole=cluster-admin --serviceaccount=kube-system:tiller
./helm init --service-account=tiller
./helm update

• ഹെൽം ചാർട്ട്: https://www.consul.io/docs/platform/k8s/helm.html
• ഇനിപ്പറയുന്ന മൂല്യമുള്ള ഫയൽ ഉപയോഗിക്കുക (ഞാൻ ഏറ്റവും കൂടുതൽ പ്രവർത്തനരഹിതമാക്കിയത് ശ്രദ്ധിക്കുക):

### poc-helm-consul-values.yaml
global:
 enabled: false
 image: "consul:latest"
# Expose the Consul UI through this LoadBalancer
ui:
 enabled: false
# Allow Consul to inject the Connect proxy into Kubernetes containers
connectInject:
 enabled: false
# Configure a Consul client on Kubernetes nodes. GRPC listener is required for Connect.
client:
 enabled: true
 join: ["<PRIVATE_IP_CONSUL_SERVER>"]
 extraConfig: |
{
  "acl" : {
 "enabled": true,   
 "default_policy": "deny",   
 "enable_token_persistence": true 
  }
}
# Minimal Consul configuration. Not suitable for production.
server:
 enabled: false
# Sync Kubernetes and Consul services
syncCatalog:
 enabled: false

• ഹെൽം ചാർട്ട് പ്രയോഗിക്കുക:

./helm install -f poc-helm-consul-values.yaml ./consul-helm - name skywiz-app-with-consul-client-poc

• അത് പ്രവർത്തിപ്പിക്കാൻ ശ്രമിക്കുമ്പോൾ, കോൺസൽ സെർവറിനുള്ള അനുമതികൾ ആവശ്യമായി വരും, അതിനാൽ നമുക്ക് അവ ചേർക്കാം.
• ക്ലസ്റ്റർ ഡാഷ്‌ബോർഡിൽ സ്ഥിതി ചെയ്യുന്ന "Pod വിലാസ ശ്രേണി" ശ്രദ്ധിക്കുകയും ഞങ്ങളുടെ "skywiz-consul-server-poc" ഫയർവാൾ റൂളിലേക്ക് മടങ്ങുകയും ചെയ്യുക.
• IP വിലാസങ്ങളുടെ ലിസ്റ്റിലേക്ക് പോഡിന്റെ വിലാസ ശ്രേണി ചേർക്കുക, 8301, 8300 എന്നീ പോർട്ടുകൾ തുറക്കുക.

• കോൺസൽ യുഐയിലേക്ക് പോകുക, കുറച്ച് മിനിറ്റുകൾക്ക് ശേഷം നോഡുകൾ ടാബിൽ ഞങ്ങളുടെ ക്ലസ്റ്റർ ദൃശ്യമാകുന്നത് നിങ്ങൾ കാണും.

കോൺസലിനെ കുബെർനെറ്റുമായി സംയോജിപ്പിച്ച് ഒരു ഓതറൈസേഷൻ രീതി കോൺഫിഗർ ചെയ്യുന്നു

• കോൺസൽ സെർവർ ഷെല്ലിലേക്ക് മടങ്ങുക, നിങ്ങൾ നേരത്തെ സംരക്ഷിച്ച ടോക്കൺ കയറ്റുമതി ചെയ്യുക:

export CONSUL_HTTP_TOKEN=<SecretID>

• പ്രാമാണീകരണ രീതിയുടെ ഒരു ഉദാഹരണം സൃഷ്‌ടിക്കാൻ ഞങ്ങളുടെ കുബർനെറ്റസ് ക്ലസ്റ്ററിൽ നിന്നുള്ള വിവരങ്ങൾ ആവശ്യമാണ്:
• kubernetes-host

kubectl get endpoints | grep kubernetes

• kubernetes-service-account-jwt

kubectl get sa <helm_deployment_name>-consul-client -o yaml | grep "- name:"
kubectl get secret <secret_name_from_prev_command> -o yaml | grep token:

• ടോക്കൺ ബേസ്64 എൻകോഡ് ചെയ്‌തതാണ്, അതിനാൽ നിങ്ങളുടെ പ്രിയപ്പെട്ട ഉപകരണം ഉപയോഗിച്ച് ഇത് ഡീക്രിപ്റ്റ് ചെയ്യുക [ലിങ്ക്]
• kubernetes-ca-cert

kubectl get secret <secret_name_from_prev_command> -o yaml | grep ca.crt:

• "ca.crt" സർട്ടിഫിക്കറ്റ് (base64 ഡീകോഡിംഗിന് ശേഷം) എടുത്ത് "ca.crt" ഫയലിൽ എഴുതുക.
• നിങ്ങൾക്ക് ഇപ്പോൾ ലഭിച്ച മൂല്യങ്ങൾ ഉപയോഗിച്ച് പ്ലെയ്‌സ്‌ഹോൾഡറുകൾ മാറ്റിസ്ഥാപിച്ച് ഓത്ത് രീതി ഉടനടി നൽകുക.

consul acl auth-method create 
-type "kubernetes" 
-name "auth-method-skywiz-consul-poc" 
-description "This is an auth method using kubernetes for the cluster skywiz-app-with-consul-client-poc" 
-kubernetes-host "<k8s_endpoint_retrieved earlier>" 
[email protected] 
-kubernetes-service-account-
jwt="<decoded_token_retrieved_earlier>"

• അടുത്തതായി നമ്മൾ ഒരു റൂൾ ഉണ്ടാക്കുകയും അത് പുതിയ റോളിലേക്ക് കൂട്ടിച്ചേർക്കുകയും വേണം. ഈ ഭാഗത്തിനായി നിങ്ങൾക്ക് കോൺസൽ യുഐ ഉപയോഗിക്കാം, പക്ഷേ ഞങ്ങൾ കമാൻഡ് ലൈൻ ഉപയോഗിക്കും.
• ഒരു നിയമം എഴുതുക

### kv-custom-ns-policy.hcl
key_prefix "custom-ns/" {
 policy = "write"
}

• നിയമം പ്രയോഗിക്കുക

consul acl policy create 
-name kv-custom-ns-policy 
-description "This is an example policy for kv at custom-ns/" 
-rules @kv-custom-ns-policy.hcl

• ഔട്ട്‌പുട്ടിൽ നിന്ന് നിങ്ങൾ ഇപ്പോൾ സൃഷ്‌ടിച്ച നിയമത്തിന്റെ ഐഡി കണ്ടെത്തുക.
• ഒരു പുതിയ നിയമം ഉപയോഗിച്ച് ഒരു റോൾ സൃഷ്ടിക്കുക.

consul acl role create 
-name "custom-ns-role" 
-description "This is an example role for custom-ns namespace" 
-policy-id <policy_id>

• ഇപ്പോൾ ഞങ്ങൾ ഞങ്ങളുടെ പുതിയ റോളിനെ ഓത്ത് രീതി ഉദാഹരണവുമായി ബന്ധപ്പെടുത്തും. ഞങ്ങളുടെ ലോഗിൻ അഭ്യർത്ഥനയ്ക്ക് ഈ റോൾ ലഭിക്കുമോ എന്ന് "സെലക്ടർ" ഫ്ലാഗ് നിർണ്ണയിക്കുന്നു എന്നത് ശ്രദ്ധിക്കുക. മറ്റ് സെലക്ടർ ഓപ്ഷനുകൾക്കായി ഇവിടെ പരിശോധിക്കുക: https://www.consul.io/docs/acl/auth-methods/kubernetes.html#trusted-identity-attributes

consul acl binding-rule create 
-method=auth-method-skywiz-consul-poc 
-bind-type=role 
-bind-name='custom-ns-role' 
-selector='serviceaccount.namespace=="custom-ns"'

അവസാനമായി കോൺഫിഗറേഷനുകൾ

ആക്സസ് അവകാശങ്ങൾ

• ആക്സസ് അവകാശങ്ങൾ സൃഷ്ടിക്കുക. K8s സേവന അക്കൗണ്ട് ടോക്കണിന്റെ ഐഡന്റിറ്റി പരിശോധിക്കാനും തിരിച്ചറിയാനും ഞങ്ങൾ കോൺസൽ അനുമതി നൽകേണ്ടതുണ്ട്.
• ഫയലിൽ ഇനിപ്പറയുന്നവ എഴുതുക [ലിങ്ക്]:

###skywiz-poc-consul-server_rbac.yaml
---
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
 name: review-tokens
 namespace: default
subjects:
- kind: ServiceAccount
 name: skywiz-app-with-consul-client-poc-consul-client
 namespace: default
roleRef:
 kind: ClusterRole
 name: system:auth-delegator
 apiGroup: rbac.authorization.k8s.io
---
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
 name: service-account-getter
 namespace: default
rules:
- apiGroups: [""]
 resources: ["serviceaccounts"]
 verbs: ["get"]
---
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
 name: get-service-accounts
 namespace: default
subjects:
- kind: ServiceAccount
 name: skywiz-app-with-consul-client-poc-consul-client
 namespace: default
roleRef:
 kind: ClusterRole
 name: service-account-getter
 apiGroup: rbac.authorization.k8s.io

• നമുക്ക് പ്രവേശന അവകാശങ്ങൾ സൃഷ്ടിക്കാം

kubectl create -f skywiz-poc-consul-server_rbac.yaml

കോൺസൽ ക്ലയന്റുമായി ബന്ധിപ്പിക്കുന്നു

• സൂചിപ്പിച്ചതുപോലെ ഇവിടെഡെമോൺസെറ്റിലേക്ക് ബന്ധിപ്പിക്കുന്നതിന് നിരവധി ഓപ്ഷനുകൾ ഉണ്ട്, എന്നാൽ ഞങ്ങൾ ഇനിപ്പറയുന്ന ലളിതമായ പരിഹാരത്തിലേക്ക് പോകും:
• ഇനിപ്പറയുന്ന ഫയൽ പ്രയോഗിക്കുക [ലിങ്ക്].

### poc-consul-client-ds-svc.yaml
apiVersion: v1
kind: Service
metadata:
 name: consul-ds-client
spec:
 selector:
   app: consul
   chart: consul-helm
   component: client
   hasDNS: "true"
   release: skywiz-app-with-consul-client-poc
 ports:
 - protocol: TCP
   port: 80
   targetPort: 8500

• ഒരു കോൺഫിഗറേഷൻ സൃഷ്ടിക്കാൻ ഇനിപ്പറയുന്ന ബിൽട്ടിൻ കമാൻഡ് ഉപയോഗിക്കുക [ലിങ്ക്]. ഞങ്ങളുടെ സേവനത്തിന്റെ പേരാണ് ഞങ്ങൾ പരാമർശിക്കുന്നതെന്ന കാര്യം ശ്രദ്ധിക്കുക, ആവശ്യമെങ്കിൽ അത് മാറ്റിസ്ഥാപിക്കുക.

cat <<EOF | kubectl apply -f -
apiVersion: v1
kind: ConfigMap
metadata:
 labels:
   addonmanager.kubernetes.io/mode: EnsureExists
 name: kube-dns
 namespace: kube-system
data:
 stubDomains: |
   {"consul": ["$(kubectl get svc consul-ds-client -o jsonpath='{.spec.clusterIP}')"]}
EOF

ഓത്ത് രീതി പരിശോധിക്കുന്നു

ഇപ്പോൾ നമുക്ക് മാജിക് പ്രവർത്തനത്തിൽ കാണാം!

• ഒരേ ടോപ്പ് ലെവൽ കീ ഉപയോഗിച്ച് നിരവധി കീ ഫോൾഡറുകൾ സൃഷ്‌ടിക്കുക (അതായത്. /സാമ്പിൾ_കീ) കൂടാതെ നിങ്ങൾ തിരഞ്ഞെടുത്ത മൂല്യവും. പുതിയ പ്രധാന പാതകൾക്കായി ഉചിതമായ നയങ്ങളും റോളുകളും സൃഷ്ടിക്കുക. ഞങ്ങൾ ബൈൻഡിംഗുകൾ പിന്നീട് ചെയ്യും.

ഇഷ്‌ടാനുസൃത നെയിംസ്‌പേസ് പരിശോധന:

• നമുക്ക് നമ്മുടെ സ്വന്തം നെയിംസ്പേസ് ഉണ്ടാക്കാം:

kubectl create namespace custom-ns

• നമുക്ക് നമ്മുടെ പുതിയ നെയിംസ്പേസിൽ ഒരു പോഡ് ഉണ്ടാക്കാം. പോഡിന്റെ കോൺഫിഗറേഷൻ എഴുതുക.

###poc-ubuntu-custom-ns.yaml
apiVersion: v1
kind: Pod
metadata:
 name: poc-ubuntu-custom-ns
 namespace: custom-ns
spec:
 containers:
 - name: poc-ubuntu-custom-ns
   image: ubuntu
   command: ["/bin/bash", "-ec", "sleep infinity"]
 restartPolicy: Never

• താഴെ സൃഷ്ടിക്കുക:

kubectl create -f poc-ubuntu-custom-ns.yaml

• കണ്ടെയ്നർ പ്രവർത്തിപ്പിച്ചുകഴിഞ്ഞാൽ, അവിടെ പോയി ചുരുളൻ ഇൻസ്റ്റാൾ ചെയ്യുക.

kubectl exec poc-ubuntu-custom-ns -n custom-ns -it /bin/bash
apt-get update && apt-get install curl -y

• ഇപ്പോൾ ഞങ്ങൾ നേരത്തെ സൃഷ്ടിച്ച അംഗീകാര രീതി ഉപയോഗിച്ച് കോൺസലിന് ഒരു ലോഗിൻ അഭ്യർത്ഥന അയയ്‌ക്കും [ലിങ്ക്].
• നിങ്ങളുടെ സേവന അക്കൗണ്ടിൽ നിന്ന് നൽകിയ ടോക്കൺ കാണുന്നതിന്:

cat /run/secrets/kubernetes.io/serviceaccount/token

• കണ്ടെയ്നറിനുള്ളിലെ ഒരു ഫയലിലേക്ക് ഇനിപ്പറയുന്നവ എഴുതുക:

### payload.json
{
 "AuthMethod": "auth-method-test",
 "BearerToken": "<jwt_token>"
}

• ലോഗിൻ!

curl 
--request POST 
--data @payload.json 
consul-ds-client.default.svc.cluster.local/v1/acl/login

• മുകളിലുള്ള ഘട്ടങ്ങൾ ഒരു വരിയിൽ പൂർത്തിയാക്കാൻ (ഞങ്ങൾ ഒന്നിലധികം ടെസ്റ്റുകൾ നടത്തുന്നതിനാൽ), നിങ്ങൾക്ക് ഇനിപ്പറയുന്നവ ചെയ്യാം:

echo "{ 
"AuthMethod": "auth-method-skywiz-consul-poc", 
"BearerToken": "$(cat /run/secrets/kubernetes.io/serviceaccount/token)" 
}" 
| curl 
--request POST 
--data @- 
consul-ds-client.default.svc.cluster.local/v1/acl/login

• പ്രവർത്തിക്കുന്നു! കുറഞ്ഞത് അത് വേണം. ഇപ്പോൾ SecretID എടുത്ത് നമുക്ക് ആക്സസ് ചെയ്യേണ്ട കീ/മൂല്യം ആക്സസ് ചെയ്യാൻ ശ്രമിക്കുക.

curl 
consul-ds-client.default.svc.cluster.local/v1/kv/custom-ns/test_key --header “X-Consul-Token: <SecretID_from_prev_response>”

• നിങ്ങൾക്ക് "മൂല്യം" അടിസ്ഥാന64 ഡീകോഡ് ചെയ്യാനും UI-യിലെ custom-ns/test_key-ലെ മൂല്യവുമായി ഇത് പൊരുത്തപ്പെടുന്നത് കാണാനും കഴിയും. ഈ ട്യൂട്ടോറിയലിൽ മുകളിലുള്ള അതേ മൂല്യം നിങ്ങൾ ഉപയോഗിച്ചിട്ടുണ്ടെങ്കിൽ, നിങ്ങളുടെ എൻകോഡ് ചെയ്ത മൂല്യം IkknbSBpbiB0aGUgY3VzdG9tLW5zIGZvbGRlciEi ആയിരിക്കും.

ഉപയോക്തൃ സേവന അക്കൗണ്ട് പരിശോധന:

• ഇനിപ്പറയുന്ന കമാൻഡ് ഉപയോഗിച്ച് ഒരു ഇഷ്‌ടാനുസൃത സേവന അക്കൗണ്ട് സൃഷ്‌ടിക്കുക [ലിങ്ക്].

kubectl apply -f - <<EOF
apiVersion: v1
kind: ServiceAccount
metadata:
 name: custom-sa
EOF

• പോഡിനായി ഒരു പുതിയ കോൺഫിഗറേഷൻ ഫയൽ സൃഷ്ടിക്കുക. അധ്വാനം ലാഭിക്കാൻ ഞാൻ ചുരുളൻ ഇൻസ്റ്റാളേഷൻ ഉൾപ്പെടുത്തിയിട്ടുണ്ട് എന്നത് ശ്രദ്ധിക്കുക :)

###poc-ubuntu-custom-sa.yaml
apiVersion: v1
kind: Pod
metadata:
 name: poc-ubuntu-custom-sa
 namespace: default
spec:
 serviceAccountName: custom-sa
 containers:
 - name: poc-ubuntu-custom-sa
   image: ubuntu
   command: ["/bin/bash","-ec"]
   args: ["apt-get update && apt-get install curl -y; sleep infinity"]
 restartPolicy: Never

• അതിനുശേഷം, കണ്ടെയ്നറിനുള്ളിൽ ഒരു ഷെൽ പ്രവർത്തിപ്പിക്കുക.

kubectl exec -it poc-ubuntu-custom-sa /bin/bash

• ലോഗിൻ!

echo "{ 
"AuthMethod": "auth-method-skywiz-consul-poc", 
"BearerToken": "$(cat /run/secrets/kubernetes.io/serviceaccount/token)" 
}" 
| curl 
--request POST 
--data @- 
consul-ds-client.default.svc.cluster.local/v1/acl/login

• അനുമതി നിഷേധിച്ചു. ഓ, ഉചിതമായ അനുമതികളോടെ ഒരു പുതിയ നിയമങ്ങൾ ചേർക്കാൻ ഞങ്ങൾ മറന്നു, ഇപ്പോൾ അത് ചെയ്യാം.

മുകളിലുള്ള മുൻ ഘട്ടങ്ങൾ ആവർത്തിക്കുക:
a) “കസ്റ്റം-സ/” എന്ന പ്രിഫിക്‌സിന് സമാനമായ ഒരു നയം സൃഷ്‌ടിക്കുക.
b) ഒരു റോൾ സൃഷ്ടിക്കുക, അതിനെ "കസ്റ്റം-സാ-റോൾ" എന്ന് വിളിക്കുക
സി) റോളിലേക്ക് നയം അറ്റാച്ചുചെയ്യുക.

• ഒരു റൂൾ-ബൈൻഡിംഗ് സൃഷ്ടിക്കുക (cli/api-ൽ നിന്ന് മാത്രം സാധ്യമാണ്). സെലക്ടർ ഫ്ലാഗിന്റെ വ്യത്യസ്ത അർത്ഥം ശ്രദ്ധിക്കുക.

consul acl binding-rule create 
-method=auth-method-skywiz-consul-poc 
-bind-type=role 
-bind-name='custom-sa-role' 
-selector='serviceaccount.name=="custom-sa"'

• "poc-ubuntu-custom-sa" കണ്ടെയ്‌നറിൽ നിന്ന് വീണ്ടും ലോഗിൻ ചെയ്യുക. വിജയം!
• കസ്റ്റം-സ/ കീ പാത്തിലേക്കുള്ള ഞങ്ങളുടെ ആക്‌സസ് പരിശോധിക്കുക.

curl 
consul-ds-client.default.svc.cluster.local/v1/kv/custom-sa/test_key --header “X-Consul-Token: <SecretID>”

• ഈ ടോക്കൺ "കസ്റ്റം-എൻഎസ്/" എന്നതിൽ kv-ലേക്ക് ആക്‌സസ് നൽകുന്നില്ലെന്നും നിങ്ങൾക്ക് ഉറപ്പാക്കാം. "custom-sa" മാറ്റി "custom-ns" എന്ന പ്രിഫിക്‌സ് ഉപയോഗിച്ച് മുകളിലുള്ള കമാൻഡ് ആവർത്തിക്കുക.
  അനുമതി നിഷേധിച്ചു.

ഓവർലേ ഉദാഹരണം:

• ഈ അവകാശങ്ങളുള്ള ടോക്കണിലേക്ക് എല്ലാ റൂൾ-ബൈൻഡിംഗ് മാപ്പിംഗുകളും ചേർക്കും എന്നത് ശ്രദ്ധിക്കേണ്ടതാണ്.
• ഞങ്ങളുടെ കണ്ടെയ്‌നർ "poc-ubuntu-custom-sa" ഡിഫോൾട്ട് നെയിംസ്‌പെയ്‌സിലാണ് - അതിനാൽ നമുക്ക് ഇത് മറ്റൊരു റൂൾ-ബൈൻഡിംഗിനായി ഉപയോഗിക്കാം.
• മുമ്പത്തെ ഘട്ടങ്ങൾ ആവർത്തിക്കുക:
  a) “ഡിഫോൾട്ട്/” കീ പ്രിഫിക്‌സിന് സമാനമായ ഒരു നയം സൃഷ്‌ടിക്കുക.
  b) ഒരു റോൾ സൃഷ്ടിക്കുക, അതിന് "default-ns-role" എന്ന് പേര് നൽകുക
  സി) റോളിലേക്ക് നയം അറ്റാച്ചുചെയ്യുക.
• ഒരു റൂൾ-ബൈൻഡിംഗ് സൃഷ്ടിക്കുക (cli/api-ൽ നിന്ന് മാത്രം സാധ്യമാണ്)

consul acl binding-rule create 
-method=auth-method-skywiz-consul-poc 
-bind-type=role 
-bind-name='default-ns-role' 
-selector='serviceaccount.namespace=="default"'

• ഞങ്ങളുടെ "poc-ubuntu-custom-sa" കണ്ടെയ്‌നറിലേക്ക് തിരികെ പോയി "default/" kv പാത്ത് ആക്‌സസ് ചെയ്യാൻ ശ്രമിക്കുക.
• അനുമതി നിഷേധിച്ചു.
  ACL > ടോക്കണുകൾക്ക് കീഴിൽ UI-യിലെ ഓരോ ടോക്കണിനുമുള്ള നിർദ്ദിഷ്ട ക്രെഡൻഷ്യലുകൾ നിങ്ങൾക്ക് കാണാൻ കഴിയും. നിങ്ങൾക്ക് കാണാനാകുന്നതുപോലെ, ഞങ്ങളുടെ നിലവിലെ ടോക്കണിൽ ഒരു "കസ്റ്റം-സാ-റോൾ" മാത്രമേ ഘടിപ്പിച്ചിട്ടുള്ളൂ. ഞങ്ങൾ നിലവിൽ ഉപയോഗിക്കുന്ന ടോക്കൺ ഞങ്ങൾ ലോഗിൻ ചെയ്‌തപ്പോൾ ജനറേറ്റ് ചെയ്‌തതാണ്, അന്ന് പൊരുത്തപ്പെടുന്ന ഒരു റൂൾ-ബൈൻഡിംഗ് മാത്രമേ ഉണ്ടായിരുന്നുള്ളൂ. ഞങ്ങൾ വീണ്ടും ലോഗിൻ ചെയ്ത് പുതിയ ടോക്കൺ ഉപയോഗിക്കേണ്ടതുണ്ട്.
• "കസ്റ്റം-സ/", "ഡിഫോൾട്ട്/" കെവി പാതകളിൽ നിന്നും നിങ്ങൾക്ക് വായിക്കാനാകുമെന്ന് ഉറപ്പാക്കുക.
  വിജയിച്ചു!
  കാരണം, ഞങ്ങളുടെ "poc-ubuntu-custom-sa", "custom-sa", "default-ns" റൂൾ ബൈൻഡിംഗുകളുമായി പൊരുത്തപ്പെടുന്നു.

തീരുമാനം

TTL ടോക്കൺ mgmt?

ഇത് എഴുതുന്ന സമയത്ത്, ഈ അംഗീകാര രീതി സൃഷ്ടിച്ച ടോക്കണുകൾക്കുള്ള TTL നിർണ്ണയിക്കാൻ ഒരു സംയോജിത മാർഗമില്ല. കോൺസൽ അംഗീകാരത്തിന്റെ സുരക്ഷിതമായ ഓട്ടോമേഷൻ നൽകാനുള്ള മികച്ച അവസരമാണിത്.

TTL ഉപയോഗിച്ച് ഒരു ടോക്കൺ സ്വമേധയാ സൃഷ്ടിക്കുന്നതിനുള്ള ഒരു ഓപ്ഷൻ ഉണ്ട്:

• https://www.consul.io/docs/acl/acl-system.html#acl-tokens
  കാലഹരണപ്പെടുന്ന സമയം - ഈ ടോക്കൺ അസാധുവാക്കപ്പെടുന്ന സമയം. (ഓപ്ഷണൽ; കോൺസൽ 1.5.0 ൽ ചേർത്തു)
• സ്വമേധയാ സൃഷ്‌ടിക്കുന്നതിനും/അപ്‌ഡേറ്റ് ചെയ്യുന്നതിനും മാത്രമായി നിലവിലുണ്ട് https://www.consul.io/api/acl/tokens.html#expirationtime

സമീപഭാവിയിൽ ടോക്കണുകൾ എങ്ങനെ ജനറേറ്റുചെയ്യുന്നു (നിയമത്തിനോ അംഗീകാര രീതിയിലോ) TTL ചേർക്കുന്നത് നിയന്ത്രിക്കാൻ ഞങ്ങൾക്ക് കഴിയുമെന്ന് പ്രതീക്ഷിക്കുന്നു.

അതുവരെ, നിങ്ങളുടെ ലോജിക്കിൽ ഒരു ലോഗ്ഔട്ട് എൻഡ് പോയിന്റ് ഉപയോഗിക്കാൻ നിർദ്ദേശിക്കുന്നു.

• https://www.consul.io/api/acl/acl.html#logout-from-auth-method
• https://www.consul.io/docs/acl/acl-auth-methods.html#overall-login-process

ഞങ്ങളുടെ ബ്ലോഗിലെ മറ്റ് ലേഖനങ്ങളും വായിക്കുക:

• ClickHouse-ൽ നിന്ന് അനുമതിയില്ലാതെ ClickHouse-ലേക്ക് അനുമതിയോടെയുള്ള മൈഗ്രേഷൻ എന്തിലേക്ക് നയിച്ചു?
• GitLab CI/CD ഉപയോഗിച്ച് ഒന്നിലധികം പൈപ്പ്ലൈനുകൾ എങ്ങനെ പ്രവർത്തിപ്പിക്കാം
• ഡോക്കർ ഇമേജുകൾ ചുരുക്കുന്നതിനുള്ള മൂന്ന് ലളിതമായ തന്ത്രങ്ങൾ
• K8S-ന്റെ Ingress കൺട്രോളറായി Traefik
• ധാരാളം വൈവിധ്യമാർന്ന വെബ് പ്രോജക്റ്റുകളുടെ ബാക്കപ്പ്
• Redmine-നുള്ള ടെലിഗ്രാം ബോട്ട്. നിങ്ങൾക്കും മറ്റുള്ളവർക്കുമായി ജീവിതം എങ്ങനെ ലളിതമാക്കാം

അവലംബം: www.habr.com