ကျွန်ုပ်တို့သည် Keycloak ကို အသုံးပြု၍ ActiveDirectory ခွင့်ပြုချက်ကို Kubernetes သို့ ချိတ်ဆွဲထားသည်။

ဒီဆောင်းပါးကို အကျယ်ချဲ့ပြီး ရေးထားတာပါ။ ရှိပြီးသားသို့သော် Microsoft ActiveDirectory နှင့် အစုအဝေး၏အင်္ဂါရပ်များအကြောင်း ဆွေးနွေးပြီး ၎င်းကို ဖြည့်စွက်ထားသည်။

ဒီဆောင်းပါးမှာ ဘယ်လို install လုပ်ပြီး configure လုပ်ရမလဲဆိုတာ ပြောပြပါမယ်။

• သော့ချိတ် open source ပရောဂျက်တစ်ခုဖြစ်သည်။ ၎င်းသည် အပလီကေးရှင်းများအတွက် ဝင်ခွင့်အမှတ်တစ်ခုတည်းကို ပံ့ပိုးပေးသည်။ ကျွန်ုပ်တို့စိတ်ဝင်စားသည့် LDAP နှင့် OpenID အပါအဝင် ပရိုတိုကောများစွာဖြင့် အလုပ်လုပ်ပါသည်။
• သော့ခတ်တံခါးစောင့် - Keycloak မှတဆင့် ခွင့်ပြုချက်ကို ပေါင်းစပ်ခွင့်ပြုသော ပြောင်းပြန် proxy အပလီကေးရှင်း။
• ဂန်းဝေး - OpenID မှတဆင့် Kubernetes API သို့ သင်ဝင်ရောက်ပြီး Kubernetes API သို့ ချိတ်ဆက်နိုင်သည့် kubectl အတွက် config ကိုထုတ်ပေးသည့် application တစ်ခု။

Kubernetes တွင် ခွင့်ပြုချက်များ အလုပ်လုပ်ပုံ။

RBAC ကို အသုံးပြု၍ အသုံးပြုသူ / အုပ်စုအခွင့်အရေးများကို ကျွန်ုပ်တို့ စီမံခန့်ခွဲနိုင်သည်၊ ဤအကြောင်း ဆောင်းပါးများစွာကို ဖန်တီးထားပြီးဖြစ်သည်၊ ကျွန်ုပ်သည် ဤအကြောင်းကို အသေးစိတ် မပြောပါ။ ပြဿနာမှာ အသုံးပြုသူအခွင့်အရေးကို ကန့်သတ်ရန် RBAC ကို သင်သုံးနိုင်သော်လည်း Kubernetes သည် အသုံးပြုသူများအကြောင်း ဘာမှမသိပါ။ Kubernetes တွင် အသုံးပြုသူပေးပို့သည့် ယန္တရားတစ်ခု လိုအပ်ကြောင်း တွေ့ရှိရပါသည်။ ၎င်းကိုလုပ်ဆောင်ရန်၊ ဤကဲ့သို့သောအသုံးပြုသူ အမှန်တကယ်ရှိကြောင်းကို Kuberntes OpenID တွင် ပံ့ပိုးပေးသူတစ်ဦးကို ပေါင်းထည့်မည်ဖြစ်ပြီး Kubernetes ကိုယ်တိုင်က သူ့အား အခွင့်အရေးပေးမည်ဖြစ်သည်။

လေ့ကျင့်ရေး

• သင်သည် Kubernetes အစုအဝေး သို့မဟုတ် မီနီကူဘီ လိုအပ်မည်ဖြစ်သည်။
• active Directory
• ဒိုမိန်းများ-
  keycloak.example.org
  kubernetes-dashboard.example.org
  gangway.example.org
• ဒိုမိန်းများအတွက် လက်မှတ် သို့မဟုတ် ကိုယ်တိုင်လက်မှတ်ထိုးထားသော လက်မှတ်

ကိုယ်တိုင်လက်မှတ်ထိုးထားသည့် လက်မှတ်ကို ဖန်တီးနည်းကို ကျွန်ုပ်မစဉ်းစားပါ၊ သင်သည် လက်မှတ် 2 ခုကို ဖန်တီးရန် လိုအပ်သည်၊ ၎င်းသည် *.example.org ဒိုမိန်းအတွက် အမြစ် (လက်မှတ်အာဏာပိုင်) နှင့် ခရင်ကတ်ဖောက်သည်

သင်/ထုတ်ပေးသည့် လက်မှတ်များကို လက်ခံရရှိပြီးနောက်၊ သုံးစွဲသူအား Kubernetes သို့ ပေါင်းထည့်ရမည်ဖြစ်ပြီး၊ ၎င်းအတွက် ကျွန်ုပ်တို့သည် ၎င်းအတွက် လျှို့ဝှက်ချက်တစ်ခု ဖန်တီးပေးသည်-

kubectl create secret tls tls-keycloak --cert=example.org.crt --key=example.org.pem

ထို့နောက် ကျွန်ုပ်တို့၏ Ingress controller အတွက် ၎င်းကို အသုံးပြုပါမည်။

သော့ချိတ်တပ်ဆင်ခြင်း။

အလွယ်ဆုံးနည်းလမ်းက ဒီအတွက် အဆင်သင့်လုပ်ထားတဲ့ ဖြေရှင်းနည်းတွေကို သုံးဖို့ ဆုံးဖြတ်ခဲ့တယ်

repository ကို ထည့်သွင်းပြီး အပ်ဒိတ်လုပ်ပါ။

helm repo add codecentric https://codecentric.github.io/helm-charts
helm repo update

အောက်ပါအကြောင်းအရာဖြင့် keycloak.yml ဖိုင်ကို ဖန်တီးပါ-

keycloak.yml

keycloak:
  # Имя администратора
  username: "test_admin"
  # Пароль администратор  
  password: "admin"
  # Эти флаги нужны что бы позволить загружать в Keycloak скрипты прямо через web морду. Это нам 
  понадобиться что бы починить один баг, о котором ниже.
  extraArgs: "-Dkeycloak.profile.feature.script=enabled -Dkeycloak.profile.feature.upload_scripts=enabled" 
  # Включаем ingress, указываем имя хоста и сертификат который мы предварительно сохранили в secrets
  ingress:
    enabled: true 
    path: /
    annotations:
      kubernetes.io/ingress.class: nginx
      ingress.kubernetes.io/affinity: cookie
    hosts:
      - keycloak.example.org
    tls:
    - hosts:
        - keycloak.example.org
      secretName: tls-keycloak
  # Keycloak для своей работы требует базу данных, в тестовых целях я разворачиваю Postgresql прямо в Kuberntes, в продакшене так лучше не делать!
  persistence:
    deployPostgres: true
    dbVendor: postgres

postgresql:
  postgresUser: keycloak
  postgresPassword: ""
  postgresDatabase: keycloak
  persistence:
    enabled: true

အဖွဲ့ချုပ်ဖွဲ့စည်းမှု

ထို့နောက် ဝဘ်အင်တာဖေ့စ်ကို သွားပါ။ keycloak.example.org

ဘယ်ဘက်ထောင့်ကိုနှိပ်ပါ။ နယ်ပယ်ထည့်ပါ။

သော့
အဘိုး

အမည်
Kubernetes

ဖော်ပြမည့်အမည်
Kubernetes

အသုံးပြုသူအီးမေးလ်အတည်ပြုခြင်းကို ပိတ်ပါ-
Client နယ်ပယ်များ —> Email —> Mappers —> အီးမေးလ်ကို စစ်ဆေးပြီး (ဖျက်ရန်)

ActiveDirectory မှ သုံးစွဲသူများကို တင်သွင်းရန် အဖွဲ့ချုပ်ကို တည်ထောင်ထားပြီး၊ ကျွန်ုပ်သည် အောက်တွင် ဖန်သားပြင်ဓာတ်ပုံများကို ချန်ထားခဲ့မည်၊ ပိုရှင်းလင်းမည်ဟု ကျွန်ုပ် ထင်ပါတယ်။

အသုံးပြုသူအသင်းချုပ် —> ပံ့ပိုးသူထည့်ရန်… —> ldap

အဖွဲ့ချုပ်ဖွဲ့စည်းမှု


အားလုံးအဆင်ပြေရင် ခလုတ်ကိုနှိပ်လိုက်ပါ။ အသုံးပြုသူများအားလုံးကို ထပ်တူပြုပါ။ သုံးစွဲသူများ၏ အောင်မြင်သော တင်သွင်းမှုအကြောင်း မက်ဆေ့ချ်ကို သင်တွေ့ရပါမည်။

နောက်တစ်ခုက ကျွန်တော်တို့အဖွဲ့တွေကို မြေပုံဆွဲရမယ်။

အသုံးပြုသူအသင်းချုပ် --> ldap_localhost --> Mappers --> ဖန်တီးပါ။

မြေပုံဆွဲဖန်တီးခြင်း။

Client စနစ်ထည့်သွင်းခြင်း။

Keycloak ၏စည်းကမ်းချက်များအရ၊ ၎င်းသည်သူထံမှခွင့်ပြုချက်ရရှိမည့် application တစ်ခုဖြစ်သည်။ အနီရောင်ဖြင့် စခရင်ရှော့တွင် အရေးကြီးသောအချက်များကို ကျွန်ုပ်ဖော်ပြပါမည်။

ဖောက်သည်များ—> ဖန်တီးပါ။

Client စနစ်ထည့်သွင်းခြင်း။

အဖွဲ့များအတွက် scupe ဖန်တီးကြပါစို့။

Client Scopes —> ဖန်တီးပါ။

နယ်ပယ်ဖန်တီးပါ။

ပြီးလျှင် သူတို့အတွက် မြေပုံဆရာကို သတ်မှတ်ပါ။

Client Scopes —> groups —> Mappers —> ဖန်တီးပါ။

မြေပုံဆရာ

ကျွန်ုပ်တို့၏အဖွဲ့များ၏ မြေပုံဆွဲခြင်းကို မူရင်း Client Scopes တွင် ထည့်ပါ-

ဖောက်သည်များ—> kubernetes—> Client Scopes—> မူရင်း Client နယ်ပယ်များ
ရွေးချယ်ခြင်း အုပ်စုတွေ в ရနိုင်သော Client နယ်ပယ်များ, နှိပ်ပါ ရွေးထည့်ပါ။

ကျွန်ုပ်တို့သည် Keycloak တွင် ခွင့်ပြုချက်အတွက် အသုံးပြုမည့် လျှို့ဝှက်ချက်ကို ရရှိသည် (၎င်းကို စာတွဲတွင်ရေးထားသည်)

ဖောက်သည်များ—> kubernetes—> အထောက်အထားများ—> လျှို့ဝှက်ချက်
၎င်းသည် စနစ်ထည့်သွင်းမှုကို ပြီးမြောက်စေသော်လည်း၊ ခွင့်ပြုချက်အောင်မြင်ပြီးနောက် အမှား 403 ကို လက်ခံရရှိသောအခါတွင် ကျွန်ုပ်တွင် အမှားအယွင်းတစ်ခုရှိခဲ့ပါသည်။ ချွတ်ယွင်းချက်အစီရင်ခံစာ.

ပြင်ဆင်ပါ

Client Scopes —> အခန်းကဏ္ဍ —> Mappers —> ဖန်တီးပါ။

Mapper များ

ဇာတ်ညွှန်းကုဒ်

// add current client-id to token audience
token.addAudience(token.getIssuedFor());

// return token issuer as dummy result assigned to iss again
token.getIssuer();

Kubernetes ကို ပြင်ဆင်ခြင်း

ဆိုက်မှ ကျွန်ုပ်တို့၏ အမြစ်အသိအမှတ်ပြုလက်မှတ်သည် မည်သည့်နေရာနှင့် ODDC ဝန်ဆောင်မှုပေးသည့်နေရာတွင် ရှိနေသည်ကို သတ်မှတ်ရန် လိုအပ်သည်။
ဒါကိုလုပ်ဖို့ /etc/kubernetes/manifests/kube-apiserver.yaml ဖိုင်ကို တည်းဖြတ်ပါ။

kube-apiserver.yaml

...
spec:
  containers:
  - command:
    - kube-apiserver
...
    - --oidc-ca-file=/var/lib/minikube/certs/My_Root.crt
    - --oidc-client-id=kubernetes
    - --oidc-groups-claim=groups
    - --oidc-issuer-url=https://keycloak.example.org/auth/realms/kubernetes
    - --oidc-username-claim=email
...

အစုအဝေးရှိ kubeadm config ကို အပ်ဒိတ်လုပ်ပါ။

kubeadmconfig

kubectl edit -n kube-system configmaps kubeadm-config

...
data:
  ClusterConfiguration: |
    apiServer:
      extraArgs:
        oidc-ca-file: /var/lib/minikube/certs/My_Root.crt
        oidc-client-id: kubernetes
        oidc-groups-claim: groups
        oidc-issuer-url: https://keycloak.example.org/auth/realms/kubernetes
        oidc-username-claim: email
...

auth-proxy သတ်မှတ်ခြင်း။

သင့်ဝဘ်အက်ပလီကေးရှင်းကိုကာကွယ်ရန် သော့ပိတ်တံခါးစောင့်ကို သင်သုံးနိုင်သည်။ စာမျက်နှာကို မပြမီ ဤပြောင်းပြန် proxy သည် သုံးစွဲသူအား ခွင့်ပြုပေးမည့်အချက်အပြင်၊ ၎င်းသည် သင့်အကြောင်း အချက်အလက်များကို ခေါင်းစီးရှိ အဆုံးအပလီကေးရှင်းထံ ပေးပို့မည်ဖြစ်သည်။ ထို့ကြောင့် သင့်အပလီကေးရှင်းသည် OpenID ကို ပံ့ပိုးပါက၊ အသုံးပြုသူအား ချက်ချင်းခွင့်ပြုချက်ရရှိမည်ဖြစ်သည်။ Kubernetes Dashboard ၏ ဥပမာကို သုံးသပ်ကြည့်ပါ။

Kubernetes Dashboard ကို ထည့်သွင်းခြင်း။

helm install stable/kubernetes-dashboard --name dashboard -f values_dashboard.yaml

values_dashboard.yaml

enableInsecureLogin: true
service:
  externalPort: 80
rbac:
  clusterAdminRole: true
  create: true
serviceAccount:
  create: true
  name: 'dashboard-test'

ဝင်ရောက်ခွင့်များကို သတ်မှတ်ခြင်း-

DataOPS အုပ်စုရှိ သုံးစွဲသူများအတွက် အစုအဖွဲ့ စီမံခန့်ခွဲပိုင်ခွင့်များ (Standard ClusterRole cluster-admin) ကို ပေးမည့် ClusterRoleBinding တစ်ခုကို ဖန်တီးကြပါစို့။

kubectl apply -f rbac.yaml

rbac.yaml

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: dataops_group
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: Group
  name: DataOPS

သော့ချိတ်တံခါးမှူးကို တပ်ဆင်ပါ-

helm repo add gabibbo97 https://gabibbo97.github.io/charts/
helm repo update
helm install gabibbo97/keycloak-gatekeeper --version 2.1.0 --name keycloak-gatekeeper -f values_proxy.yaml

values_proxy.yaml

# Включаем ingress
ingress:
  enabled: true
  annotations:
    kubernetes.io/ingress.class: nginx
  path: /
  hosts:
    - kubernetes-dashboard.example.org
  tls:
   - secretName: tls-keycloak
     hosts:
       - kubernetes-dashboard.example.org

# Говорим где мы будем авторизовываться у OIDC провайдера
discoveryURL: "https://keycloak.example.org/auth/realms/kubernetes"
# Имя клиента которого мы создали в Keycloak
ClientID: "kubernetes"
# Secret который я просил записать
ClientSecret: "c6ec03b8-d0b8-4cb6-97a0-03becba1d727"
# Куда перенаправить в случае успешной авторизации. Формат <SCHEMA>://<SERVICE_NAME>.><NAMESAPCE>.<CLUSTER_NAME>
upstreamURL: "http://dashboard-kubernetes-dashboard.default.svc.cluster.local"
# Пропускаем проверку сертификата, если у нас самоподписанный
skipOpenidProviderTlsVerify: true
# Настройка прав доступа, пускаем на все path если мы в группе DataOPS
rules:
  - "uri=/*|groups=DataOPS"

အဲဒီနောက် သွားဖို့ ကြိုးစားတဲ့အခါ kubernetes-dashboard.example.orgကျွန်ုပ်တို့သည် Keycloak သို့ ပြန်ညွှန်းသွားမည်ဖြစ်ပြီး ခွင့်ပြုချက်အောင်မြင်ပါက ကျွန်ုပ်တို့သည် ဝင်ရောက်ပြီးသော Dashboard သို့ ရောက်ရှိသွားပါမည်။

gangway တပ်ဆင်ခြင်း။

အဆင်ပြေစေရန်အတွက်၊ ကျွန်ုပ်တို့၏အသုံးပြုသူလက်အောက်ရှိ Kubernetes သို့ ကျွန်ုပ်တို့ရောက်ရှိမည့်အကူအညီဖြင့် kubectl အတွက် config ဖိုင်ကိုထုတ်ပေးမည့် gangway ကို သင်ထည့်နိုင်သည်။

helm install --name gangway stable/gangway -f values_gangway.yaml

values_gangway.yaml

gangway:
  # Произвольное имя кластера
  clusterName: "my-k8s"
  # Где у нас OIDC провайдер
  authorizeURL: "https://keycloak.example.org/auth/realms/kubernetes/protocol/openid-connect/auth"
  tokenURL: "https://keycloak.example.org/auth/realms/kubernetes/protocol/openid-connect/token"
  audience: "https://keycloak.example.org/auth/realms/kubernetes/protocol/openid-connect/userinfo"
  # Теоритически сюда можно добавить groups которые мы замапили
  scopes: ["openid", "profile", "email", "offline_access"]
  redirectURL: "https://gangway.example.org/callback"
  # Имя клиента
  clientID: "kubernetes"
  # Секрет
  clientSecret: "c6ec03b8-d0b8-4cb6-97a0-03becba1d727"
  # Если оставить дефолтное значние, то за имя пользователя будет братья <b>Frist name</b> <b>Second name</b>, а при "sub" его логин
  usernameClaim: "sub"
  # Доменное имя или IP адресс API сервера
  apiServerURL: "https://192.168.99.111:8443"

# Включаем Ingress
ingress:
  enabled: true
  annotations:
    kubernetes.io/ingress.class: nginx
    nginx.ingress.kubernetes.io/proxy-buffer-size: "64k"
  path: /
  hosts:
  - gangway.example.org
  tls:
  - secretName: tls-keycloak
    hosts:
      - gangway.example.org

# Если используем самоподписанный сертификат, то его(открытый корневой сертификат) надо указать.
trustedCACert: |-
 -----BEGIN CERTIFICATE-----
 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
 -----END CERTIFICATE-----

ဒီပုံပါပဲ။ config ဖိုင်ကို ချက်ချင်းဒေါင်းလုဒ်လုပ်ပြီး command အစုံကို အသုံးပြု၍ ၎င်းကို ထုတ်လုပ်ခွင့်ပြုသည်-

source: www.habr.com