Hashicorp ကောင်စစ်ဝန်၏ Kubernetes ခွင့်ပြုချက်အား နိဒါန်း

လွှတ်ပြီးရင် မှန်တယ်။ Hashicorp ကောင်စစ်ဝန် ၁.၅.၀ မေလ 2019 ခုနှစ်အစတွင်၊ Consul တွင် သင်သည် မူရင်း Kubernetes တွင် လုပ်ဆောင်နေသော အပလီကေးရှင်းများနှင့် ဝန်ဆောင်မှုများကို ခွင့်ပြုနိုင်သည်။

ဤသင်ခန်းစာတွင် အဆင့်ဆင့်ဖန်တီးပါမည်။ POC (အယူအဆအထောက်အထား၊ PoC) ဤအင်္ဂါရပ်အသစ်ကို သရုပ်ပြထားသည်။ သင် Kubernetes နှင့် Hashicorp ၏ကောင်စစ်ဝန်နှင့်ပတ်သက်သော အခြေခံအသိပညာရှိရန် မျှော်လင့်ပါသည်။ သင်သည် မည်သည့် cloud ပလပ်ဖောင်း သို့မဟုတ် ဝုဏ်အတွင်းပတ်ဝန်းကျင်ကိုမဆို အသုံးပြုနိုင်ပြီး၊ ဤသင်ခန်းစာတွင် ကျွန်ုပ်တို့သည် Google ၏ Cloud Platform ကို အသုံးပြုပါမည်။

ယေဘုယျအမြင်

သွားမယ်ဆိုရင် ကောင်စစ်ဝန်၏ခွင့်ပြုချက်နည်းလမ်းအတွက်စာရွက်စာတမ်းများ၎င်း၏ ရည်ရွယ်ချက်နှင့် အသုံးပြုမှုကိစ္စအပေါ် အမြန်ခြုံငုံသုံးသပ်ချက်အပြင် နည်းပညာပိုင်းဆိုင်ရာ အသေးစိတ်အချက်များနှင့် ယုတ္တိဗေဒဆိုင်ရာ ယေဘုယျခြုံငုံသုံးသပ်ချက်ကို ကျွန်ုပ်တို့ ရရှိပါမည်။ ကျွန်တော် အခုရှင်းပြပြီး ဝါးနေမှာမို့ ရှေ့မဆက်ခင် အနည်းဆုံး တစ်ကြိမ်လောက် ဖတ်ကြည့်ဖို့ အကြံပြုလိုပါတယ်။

ပုံ ၁- ကောင်စစ်ဝန်ခွင့်ပြုချက်နည်းလမ်း၏တရားဝင်ခြုံငုံသုံးသပ်ချက်

ဝင်ကြည့်ရအောင် သီးခြား Kubernetes ခွင့်ပြုချက်နည်းလမ်းအတွက် စာရွက်စာတမ်း.

သေချာတာပေါ့၊ အဲဒီမှာ အသုံးဝင်တဲ့ အချက်အလက်တွေရှိတယ်၊ ဒါပေမယ့် အဲဒါအားလုံးကို လက်တွေ့ဘယ်လိုသုံးရမလဲဆိုတာ လမ်းညွှန်ချက်မရှိဘူး။ ထို့ကြောင့် ဉာဏ်ကောင်းသူတိုင်းသည် လမ်းညွှန်မှုရယူရန် အင်တာနက်ကို ဖြုန်းတီးနေပါသည်။ ပြီးတော့... မင်း ပျက်သွားတယ်။ ဖြစ်ပျက်။ ဒါကိုပြင်ရအောင်။

ကျွန်ုပ်တို့၏ POC ကိုဖန်တီးခြင်းမပြုမီ၊ ကောင်စစ်ဝန်၏ခွင့်ပြုချက်နည်းလမ်းများ၏ခြုံငုံသုံးသပ်ချက် (Diagram 1) သို့ပြန်သွားကာ Kubernetes ၏အကြောင်းအရာကို ပြန်လည်ပြင်ဆင်ကြပါစို့။

ဗိသုကာအတတ်ပညာ

ဤသင်ခန်းစာတွင်၊ ထည့်သွင်းထားသော Consul client နှင့် Kubernetes အစုအဝေးတစ်ခုနှင့် ဆက်သွယ်မည့် သီးခြားစက်တစ်ခုတွင် ကောင်စစ်ဝန်ဆာဗာကို ကျွန်ုပ်တို့ ဖန်တီးပါမည်။ ထို့နောက် ကျွန်ုပ်တို့သည် ကျွန်ုပ်တို့၏အသုံးအဆောင်အပလီကေးရှင်းကို pod တွင်ဖန်တီးပြီး ကျွန်ုပ်တို့၏ကောင်စစ်ဝန်သော့/တန်ဖိုးစတိုးမှဖတ်ရှုရန် ကျွန်ုပ်တို့၏ပြင်ဆင်ထားသောခွင့်ပြုချက်နည်းလမ်းကိုအသုံးပြုပါမည်။

အောက်ဖော်ပြပါ ပုံသည် ဤကျူတိုရီရယ်တွင် ကျွန်ုပ်တို့ဖန်တီးနေသည့် ဗိသုကာလက်ရာနှင့် ခွင့်ပြုချက်နည်းလမ်းနောက်ကွယ်ရှိ ယုတ္တိဗေဒတို့ကို အသေးစိတ်ဖော်ပြထားသည်၊၊ နောက်ပိုင်းတွင် ရှင်းပြပါမည်။

ပုံ 2- Kubernetes ခွင့်ပြုချက်နည်းလမ်း ခြုံငုံသုံးသပ်ချက်

အမြန်မှတ်စု- ၎င်းကိုအလုပ်လုပ်ရန်အတွက် ကောင်စစ်ဝန်ဆာဗာသည် Kubernetes အစုအဝေးပြင်ပတွင် နေထိုင်ရန် မလိုအပ်ပါ။ ဒါပေမယ့် ဟုတ်တယ်၊ သူက ဒီနည်းနဲ့ လုပ်နိုင်တယ်။

ထို့ကြောင့်၊ Consul ခြုံငုံသုံးသပ်ချက် ဇယား (Diagram 1) ကိုယူပြီး ၎င်းနှင့် Kubernetes ကို အသုံးပြုခြင်းဖြင့်၊ ကျွန်ုပ်တို့သည် အထက်ဖော်ပြပါ ပုံကြမ်း (Diagram 2) ကို ရရှိပြီး ဤနေရာတွင် ယုတ္တိဗေဒမှာ အောက်ပါအတိုင်း ဖြစ်ပါသည်။

1. ပေါ့ဒ်တစ်ခုစီတွင် Kubernetes မှ ထုတ်လုပ်ပြီး သိထားသည့် JWT တိုကင်တစ်ခုပါရှိသော ၎င်းနှင့် ချိတ်ဆက်ထားသော ဝန်ဆောင်မှုအကောင့်တစ်ခု ရှိပါမည်။ ဤတိုကင်ကို မူရင်းအတိုင်း pod ထဲသို့ ထည့်သွင်းပါသည်။
2. pod အတွင်းရှိကျွန်ုပ်တို့၏အပလီကေးရှင်းသို့မဟုတ်ဝန်ဆောင်မှုသည်ကျွန်ုပ်တို့၏ကောင်စစ်ဝန်ဖောက်သည်ထံသို့ဝင်ရောက်ရန်အမိန့်ပေးသည်။ အကောင့်ဝင်ရန် တောင်းဆိုချက်တွင် ကျွန်ုပ်တို့၏ တိုကင်နှင့် အမည်လည်း ပါဝင်မည်ဖြစ်သည်။ အထူးဖန်တီးထားသည်။ ခွင့်ပြုချက်နည်းလမ်း ( Kubernetes အမျိုးအစား)။ ဤအဆင့် နံပါတ် 2 သည် ကောင်စစ်ဝန်ပုံကြမ်း (အစီအစဥ် 1) ၏ အဆင့် 1 နှင့် ကိုက်ညီပါသည်။
3. ကျွန်ုပ်တို့၏ ကောင်စစ်ဝန်သည် ဤတောင်းဆိုချက်ကို ကျွန်ုပ်တို့၏ကောင်စစ်ဝန်ဆာဗာထံ ပေးပို့ပါမည်။
4. မျက်လှည့်! ဤနေရာတွင် ကောင်စစ်ဝန်ဆာဗာသည် တောင်းဆိုချက်၏ စစ်မှန်မှုကို စစ်ဆေးပြီး တောင်းဆိုချက်၏ အထောက်အထားနှင့် ပတ်သက်သော အချက်အလက်များကို စုဆောင်းကာ ဆက်စပ်ကြိုတင်သတ်မှတ်ထားသော စည်းမျဉ်းများနှင့် နှိုင်းယှဉ်ပါသည်။ ဒါကို သရုပ်ဖော်ဖို့ အောက်မှာ နောက်ထပ် ပုံတစ်ပုံ ပါပါတယ်။ ဤအဆင့်သည် ကောင်စစ်ဝန်ခြုံငုံသုံးသပ်ချက်ပုံကြမ်း (Diagram 3) ၏ အဆင့် 4၊ 5 နှင့် 1 တို့နှင့် သက်ဆိုင်သည်။
5. ကျွန်ုပ်တို့၏ ကောင်စစ်ဝန်ဆာဗာသည် တောင်းဆိုသူ၏အထောက်အထားနှင့်ပတ်သက်၍ ကျွန်ုပ်တို့၏သတ်မှတ်ထားသော ခွင့်ပြုချက်နည်းလမ်းစည်းမျဉ်းများ (ကျွန်ုပ်တို့သတ်မှတ်ထားသော) ခွင့်ပြုချက်ဖြင့် ကောင်စစ်ဝန်တိုကင်ကို ထုတ်ပေးပါသည်။ ပြီးရင် အဲဒီ token ကို ပြန်ပို့ပေးမယ်။ ၎င်းသည် ကောင်စစ်ဝန်မြေပုံ (ပုံ ၁) ၏ အဆင့် ၆ နှင့် ကိုက်ညီသည်။
6. ကျွန်ုပ်တို့၏ကောင်စစ်ဝန်ဖောက်သည်သည် တောင်းဆိုနေသောလျှောက်လွှာ သို့မဟုတ် ဝန်ဆောင်မှုသို့ တိုကင်ကို ပေးပို့သည်။

ကျွန်ုပ်တို့၏ အပလီကေးရှင်း သို့မဟုတ် ဝန်ဆောင်မှုသည် တိုကင်၏အခွင့်ထူးများဖြင့် ဆုံးဖြတ်ထားသည့်အတိုင်း ကျွန်ုပ်တို့၏ကောင်စစ်ဝန်ဒေတာနှင့် ဆက်သွယ်ရန်အတွက် ယခု ဤကောင်စစ်ဝန်တိုကင်ကို အသုံးပြုနိုင်ပါသည်။

မှော်ပညာသည် ထင်ရှားလာ၏။

ဦးထုပ်ထဲက ယုန်တစ်ကောင်နဲ့ အဆင်မပြေတဲ့ သူတွေအတွက် ဘယ်လို လေးနက်တယ်ဆိုတာ ပြပါရစေ...။ ယုန်ပေါက်"။

အစောပိုင်းတွင်ဖော်ပြခဲ့သည့်အတိုင်း၊ ကျွန်ုပ်တို့၏ "မှော်ပညာ" အဆင့် (ပုံ 2- အဆင့် 4) သည် ကောင်စစ်ဝန်ဆာဗာသည် တောင်းဆိုချက်ကို စစ်မှန်ကြောင်းသက်သေပြပြီး တောင်းဆိုချက်အချက်အလက်များကို စုဆောင်းကာ ၎င်းနှင့်ဆက်စပ်နေသော ကြိုတင်သတ်မှတ်ထားသောစည်းမျဉ်းများနှင့် နှိုင်းယှဉ်ထားသည့်နေရာဖြစ်သည်။ ဤအဆင့်သည် ကောင်စစ်ဝန်ခြုံငုံသုံးသပ်ချက်ပုံကြမ်း (Diagram 3) ၏ အဆင့် 4၊ 5 နှင့် 1 တို့နှင့် သက်ဆိုင်သည်။ အောက်တွင်ဖော်ပြထားသော ပုံကြမ်း (Diagram 3) သည် အမှန်တကယ်ဖြစ်ပျက်နေသည့်အရာကို ရှင်းရှင်းလင်းလင်းပြသရန် ရည်ရွယ်သည်။ အဆိုပါပါးပျဉ်းအောက်မှာ သီးခြား Kubernetes ခွင့်ပြုချက်နည်းလမ်း။

Diagram 3- မှော်ပညာကို ထုတ်ဖော်ပြသလိုက်ပါပြီ။

1. စတင်သည့်အချက်အနေဖြင့်၊ ကျွန်ုပ်တို့၏ကောင်စစ်ဝန်ဖောက်သည်သည် Kubernetes အကောင့်တိုကင်နှင့် အစောပိုင်းဖန်တီးထားသည့် ခွင့်ပြုချက်နည်းလမ်း၏ သီးခြားဥပမာအမည်ဖြင့် ကျွန်ုပ်တို့၏ကောင်စစ်ဝန်ဆာဗာထံ အကောင့်ဝင်ရန် တောင်းဆိုချက်ကို ပေးပို့ပါသည်။ ဤအဆင့်သည် ယခင် circuit ရှင်းပြချက်တွင် အဆင့် 3 နှင့် ကိုက်ညီပါသည်။
2. ယခုအခါ ကောင်စစ်ဝန်ဆာဗာ (သို့မဟုတ် ခေါင်းဆောင်) သည် ရရှိထားသော တိုကင်၏ စစ်မှန်ကြောင်း အတည်ပြုရန် လိုအပ်သည်။ ထို့ကြောင့်၊ ၎င်းသည် Kubernetes အစုအဝေး (ကောင်စစ်ဝန်ကလိုင်းယင့်မှတစ်ဆင့်) နှင့် တိုင်ပင်မည်ဖြစ်ပြီး၊ သင့်လျော်သောခွင့်ပြုချက်များဖြင့်၊ တိုကင်သည် အစစ်အမှန်ဟုတ်မဟုတ်၊ မည်သူနှင့်သက်ဆိုင်သည်ကို ကျွန်ုပ်တို့ သိရှိပါမည်။
3. ထို့နောက် အတည်ပြုထားသော တောင်းဆိုချက်အား ကောင်စစ်ဝန်ခေါင်းဆောင်ထံ ပြန်လည်ပေးပို့ပြီး ကောင်စစ်ဝန်ဆာဗာသည် အကောင့်ဝင်ရန် တောင်းဆိုချက်မှ သတ်မှတ်ထားသော အမည်ဖြင့် ခွင့်ပြုချက်နည်းလမ်းကို စံနမူနာပြထားသည် (နှင့် Kubernetes အမျိုးအစား)။
4. ကောင်စစ်ဝန်ခေါင်းဆောင်သည် သတ်မှတ်ထားသော ခွင့်ပြုချက်နည်းလမ်း ဥပမာ (တွေ့ရှိပါက) ဖော်ထုတ်ပြီး ၎င်းနှင့် ပူးတွဲပါရှိသော စည်းမျဥ်းစည်းမျဥ်းအစုံကို ဖတ်ပြသည်။ ထို့နောက် ၎င်းသည် ဤစည်းမျဉ်းများကို ဖတ်ပြီး ၎င်းတို့ကို အတည်ပြုထားသော အထောက်အထားများ နှင့် နှိုင်းယှဉ်ပါသည်။
5. ဟင့်အင်း! ယခင် circuit ရှင်းပြချက်တွင် အဆင့် 5 သို့ ဆက်သွားကြပါစို့။

ပုံမှန် virtual machine တစ်ခုတွင် Consul-server ကိုဖွင့်ပါ။

ယခုမှစပြီး ဝါကျအပြည့်အစုံဖြင့် ရှင်းလင်းချက်မပြဘဲ ဤ POC ကို ကျည်ဆံအမှတ်များဖြင့် မကြာခဏ ဖန်တီးနည်းကို ကျွန်ုပ် အများစုအား လမ်းညွှန်ပေးပါမည်။ ထို့အပြင်၊ အစောပိုင်းတွင်ဖော်ပြခဲ့သည့်အတိုင်း၊ အခြေခံအဆောက်အဦအားလုံးကိုဖန်တီးရန် GCP ကိုအသုံးပြုမည်၊ သို့သော်သင်သည်အခြားမည်သည့်နေရာတွင်မဆိုတူညီသောအခြေခံအဆောက်အအုံကိုဖန်တီးနိုင်သည်။

• virtual machine (ဥပမာ/ဆာဗာ) ကို စတင်ပါ။

• Firewall အတွက် စည်းမျဉ်းတစ်ခု ဖန်တီးပါ (AWS ရှိ လုံခြုံရေးအဖွဲ့)
• ဤကိစ္စတွင် "skywiz-consul-server-poc" နှင့် rule နှင့် network tag နှစ်ခုလုံးတွင် တူညီသောစက်အမည်ကို သတ်မှတ်ပေးလိုပါသည်။
• သင့်ပြည်တွင်းကွန်ပျူတာ၏ IP လိပ်စာကိုရှာဖွေပြီး အသုံးပြုသူအင်တာဖေ့စ် (UI) ကို ဝင်ရောက်ကြည့်ရှုနိုင်စေရန်အတွက် ရင်းမြစ် IP လိပ်စာများစာရင်းသို့ ပေါင်းထည့်ပါ။
• UI အတွက် port 8500 ကိုဖွင့်ပါ။ Create ကိုနှိပ်ပါ။ ကျွန်ုပ်တို့သည် ဤ firewall ကို မကြာမီ ထပ်မံပြောင်းလဲပါမည် [link ကို].
• ဥပမာတွင် Firewall စည်းမျဉ်းတစ်ခုထည့်ပါ။ Consul Server ရှိ VM ဒက်ရှ်ဘုတ်သို့ ပြန်သွားပြီး “skywiz-consul-server-poc” ကို ကွန်ရက်တက်ဂ်အကွက်တွင် ထည့်ပါ။ Save ကိုနှိပ်ပါ။

• virtual machine တွင် Consul ကိုထည့်သွင်းပါ၊ ဤနေရာတွင်စစ်ဆေးပါ။ ကောင်စစ်ဝန်ဗားရှင်း ≥ 1.5 [link] လိုအပ်သည်ကို မမေ့ပါနှင့်။
• တစ်ခုတည်းသော node ကောင်စစ်ဝန်ကိုဖန်တီးကြပါစို့ - ဖွဲ့စည်းမှုပုံစံသည်အောက်ပါအတိုင်းဖြစ်သည်။

groupadd --system consul
useradd -s /sbin/nologin --system -g consul consul
mkdir -p /var/lib/consul
chown -R consul:consul /var/lib/consul
chmod -R 775 /var/lib/consul
mkdir /etc/consul.d
chown -R consul:consul /etc/consul.d

• Consul တပ်ဆင်ခြင်းနှင့် node 3 ခု၏အစုအဝေးတစ်ခုတည်ဆောက်ခြင်းဆိုင်ရာ နောက်ထပ်အသေးစိတ်လမ်းညွှန်ချက်အတွက် ကြည့်ပါ။ ဒီမှာ.
• အောက်ပါအတိုင်း /etc/consul.d/agent.json ဖိုင်တစ်ခုဖန်တီးပါ [link ကို]:

### /etc/consul.d/agent.json
{
 "acl" : {
 "enabled": true,
 "default_policy": "deny",
 "enable_token_persistence": true
 }
}

• ကျွန်ုပ်တို့၏ကောင်စစ်ဝန်ဆာဗာကို စတင်ပါ။

consul agent 
-server 
-ui 
-client 0.0.0.0 
-data-dir=/var/lib/consul 
-bootstrap-expect=1 
-config-dir=/etc/consul.d

• အထွက်အမြောက်အမြားကို သင်တွေ့မြင်ပြီး "... အပ်ဒိတ်များကို ACLs မှပိတ်ဆို့ထားသည်။" ဖြင့် အဆုံးသတ်ပါ။
• Consul ဆာဗာ၏ ပြင်ပ IP လိပ်စာကို ရှာပြီး port 8500 တွင် ဤ IP လိပ်စာဖြင့် ဘရောက်ဆာကိုဖွင့်ပါ။ UI ကိုဖွင့်ထားကြောင်း သေချာပါစေ။
• သော့/တန်ဖိုးအတွဲကို ထည့်ကြည့်ပါ။ တစ်ခုခုမှားသွားတာဖြစ်မယ်။ အဘယ်ကြောင့်ဆိုသော် ကျွန်ုပ်တို့သည် Consul ဆာဗာအား ACL တစ်ခုဖြင့် တင်ပြီး စည်းမျဉ်းအားလုံးကို ပိတ်ထားသောကြောင့်ဖြစ်သည်။
• Consul ဆာဗာရှိ သင်၏ shell သို့ ပြန်သွားပြီး လုပ်ငန်းစဉ်ကို နောက်ခံတွင် သို့မဟုတ် ၎င်းကို လည်ပတ်စေရန် အခြားနည်းလမ်းဖြင့် စတင်ပြီး အောက်ပါတို့ကို ထည့်သွင်းပါ-

consul acl bootstrap

• "SecretID" တန်ဖိုးကိုရှာပြီး UI သို့ပြန်သွားပါ။ ACL တက်ဘ်တွင်၊ သင်ကူးယူလိုက်သော တိုကင်၏လျှို့ဝှက် ID ကိုထည့်ပါ။ SecretID ကို အခြားတစ်နေရာရာမှာ ကူးယူပါ၊ နောက်မှ လိုအပ်ပါလိမ့်မယ်။
• ယခု သော့/တန်ဖိုးအတွဲကို ထည့်ပါ။ ဤ POC အတွက်၊ အောက်ပါတို့ကို ပေါင်းထည့်ပါ- သော့- "စိတ်ကြိုက်-ns/test_ကီး", တန်ဖိုး- "ကျွန်ုပ်သည် စိတ်ကြိုက်-ns ဖိုင်တွဲတွင် ရှိနေပါသည်။"

Daemonset အဖြစ် Consul client ဖြင့် ကျွန်ုပ်တို့၏ လျှောက်လွှာအတွက် Kubernetes အစုအဝေးတစ်ခုကို စတင်ခြင်း။

• K8s (Kubernetes) အစုအဝေးတစ်ခုကို ဖန်တီးပါ။ ပိုမိုမြန်ဆန်စွာဝင်ရောက်နိုင်ရန် ဆာဗာနှင့်တူညီသောဇုန်တွင် ကျွန်ုပ်တို့ဖန်တီးမည်ဖြစ်ပြီး၊ ထို့ကြောင့် ကျွန်ုပ်တို့သည် အတွင်းပိုင်း IP လိပ်စာများနှင့် အလွယ်တကူချိတ်ဆက်နိုင်ရန် တူညီသော subnet ကိုသုံးနိုင်သည်။ အဲဒါကို "skywiz-app-with-consul-client-poc" လို့ခေါ်မယ်။

• ဘေးထွက်မှတ်စုအနေဖြင့်၊ ဤသည်မှာ Consul Connect ဖြင့် POC Consul အစုအဝေးကို တည်ဆောက်စဉ်တွင် ကျွန်ုပ်တွေ့ခဲ့သော သင်ခန်းစာကောင်းတစ်ခုဖြစ်သည်။
• ကျွန်ုပ်တို့သည် တိုးချဲ့တန်ဖိုးများ ဖိုင်တစ်ခုနှင့်အတူ Hashicorp ပဲ့ကိုင်ဇယားကို အသုံးပြုပါမည်။
• Helm ကို ထည့်သွင်းပြီး စီစဉ်သတ်မှတ်ပါ။ ဖွဲ့စည်းမှုအဆင့်များ-

kubectl create serviceaccount tiller --namespace kube-system
kubectl create clusterrolebinding tiller-admin-binding 
   --clusterrole=cluster-admin --serviceaccount=kube-system:tiller
./helm init --service-account=tiller
./helm update

• ပဲ့စင်ဇယား- https://www.consul.io/docs/platform/k8s/helm.html
• အောက်ပါတန်ဖိုးဖိုင်ကို အသုံးပြုပါ (ကျွန်ုပ်အများစုကို ပိတ်ထားခဲ့သည်ကို သတိပြုပါ)။

### poc-helm-consul-values.yaml
global:
 enabled: false
 image: "consul:latest"
# Expose the Consul UI through this LoadBalancer
ui:
 enabled: false
# Allow Consul to inject the Connect proxy into Kubernetes containers
connectInject:
 enabled: false
# Configure a Consul client on Kubernetes nodes. GRPC listener is required for Connect.
client:
 enabled: true
 join: ["<PRIVATE_IP_CONSUL_SERVER>"]
 extraConfig: |
{
  "acl" : {
 "enabled": true,   
 "default_policy": "deny",   
 "enable_token_persistence": true 
  }
}
# Minimal Consul configuration. Not suitable for production.
server:
 enabled: false
# Sync Kubernetes and Consul services
syncCatalog:
 enabled: false

• ပဲ့စင်ဇယားကို အသုံးပြုပါ-

./helm install -f poc-helm-consul-values.yaml ./consul-helm - name skywiz-app-with-consul-client-poc

• ၎င်းကို run ရန်ကြိုးစားသောအခါ၊ ၎င်းသည် Consul ဆာဗာအတွက်ခွင့်ပြုချက်များလိုအပ်လိမ့်မည်၊ ထို့ကြောင့်သူတို့ကိုထည့်ကြပါစို့။
• အစုအဖွဲ့ဒက်ရှ်ဘုတ်တွင်ရှိသော “Pod Address Range” ကို မှတ်သားပြီး ကျွန်ုပ်တို့၏ “skywiz-consul-server-poc” firewall စည်းမျဉ်းကို ပြန်ကိုးကားပါ။
• pod အတွက် လိပ်စာအကွာအဝေးကို IP လိပ်စာများနှင့် ဖွင့်ထားသော ports 8301 နှင့် 8300 စာရင်းတွင် ထည့်ပါ။

• ကောင်စစ်ဝန် UI သို့သွား၍ မိနစ်အနည်းငယ်ကြာပြီးနောက် ကျွန်ုပ်တို့၏အစုအဝေးကို nodes တက်ဘ်တွင် တွေ့ရမည်ဖြစ်ပါသည်။

Kubernetes နှင့် ကောင်စစ်ဝန်ကို ပေါင်းစည်းခြင်းဖြင့် တရားဝင်ခွင့်ပြုချက်နည်းလမ်းကို ပြင်ဆင်ခြင်း။

• ကောင်စစ်ဝန်ဆာဗာခွံသို့ ပြန်သွားပြီး စောစောက သင်သိမ်းဆည်းထားသော တိုကင်ကို တင်ပို့ပါ-

export CONSUL_HTTP_TOKEN=<SecretID>

• auth method ကိုဖန်တီးရန်အတွက် ကျွန်ုပ်တို့၏ Kubernetes အစုအဝေးမှ အချက်အလက်များကို လိုအပ်ပါမည်-
• kubernetes-အိမ်ရှင်

kubectl get endpoints | grep kubernetes

• kubernetes-service-account-jwt

kubectl get sa <helm_deployment_name>-consul-client -o yaml | grep "- name:"
kubectl get secret <secret_name_from_prev_command> -o yaml | grep token:

• တိုကင်သည် base64 encode လုပ်ထားသောကြောင့် သင့်စိတ်ကြိုက် tool ကိုအသုံးပြု၍ ၎င်းကို decrypt လုပ်ပါ။link ကို]
• kubernetes-ca-cert

kubectl get secret <secret_name_from_prev_command> -o yaml | grep ca.crt:

• “ca.crt” လက်မှတ် (base64 decoding ပြီးနောက်) ကိုယူပြီး “ca.crt” ဖိုင်တွင် ရေးပါ။
• ယခု သင်လက်ခံရရှိသော တန်ဖိုးများဖြင့် နေရာကိုင်ဆောင်သူများကို အစားထိုး၍ စစ်မှန်သောနည်းလမ်းကို ချက်ချင်းလုပ်ဆောင်ပါ။

consul acl auth-method create 
-type "kubernetes" 
-name "auth-method-skywiz-consul-poc" 
-description "This is an auth method using kubernetes for the cluster skywiz-app-with-consul-client-poc" 
-kubernetes-host "<k8s_endpoint_retrieved earlier>" 
[email protected] 
-kubernetes-service-account-
jwt="<decoded_token_retrieved_earlier>"

• နောက်တစ်ခုက စည်းမျဉ်းတစ်ခုကို ဖန်တီးပြီး အခန်းကဏ္ဍအသစ်မှာ တွဲလုပ်ရမယ်။ ဤအပိုင်းအတွက် Consul UI ကိုသုံးနိုင်သော်လည်း command line ကိုအသုံးပြုပါမည်။
• စည်းကမ်းရေးပါ။

### kv-custom-ns-policy.hcl
key_prefix "custom-ns/" {
 policy = "write"
}

• စည်းကမ်းကို ကျင့်သုံးပါ။

consul acl policy create 
-name kv-custom-ns-policy 
-description "This is an example policy for kv at custom-ns/" 
-rules @kv-custom-ns-policy.hcl

• ထွက်ပေါက်မှ သင်ဖန်တီးလိုက်သော စည်းမျဉ်း ID ကို ရှာပါ။
• စည်းမျဉ်းအသစ်ဖြင့် အခန်းကဏ္ဍတစ်ခုဖန်တီးပါ။

consul acl role create 
-name "custom-ns-role" 
-description "This is an example role for custom-ns namespace" 
-policy-id <policy_id>

• ယခု ကျွန်ုပ်တို့သည် ကျွန်ုပ်တို့၏ အခန်းကဏ္ဍအသစ်ကို auth method instance နှင့် ချိတ်ဆက်ပါမည်။ ကျွန်ုပ်တို့၏ အကောင့်ဝင်ရန် တောင်းဆိုချက်သည် ဤအခန်းကဏ္ဍကို လက်ခံရရှိမည်ကို "ရွေးချယ်သူ" အလံက ဆုံးဖြတ်ပေးကြောင်း သတိပြုပါ။ အခြားရွေးချယ်မှုရွေးချယ်စရာများအတွက် ဤနေရာတွင် စစ်ဆေးပါ- https://www.consul.io/docs/acl/auth-methods/kubernetes.html#trusted-identity-attributes

consul acl binding-rule create 
-method=auth-method-skywiz-consul-poc 
-bind-type=role 
-bind-name='custom-ns-role' 
-selector='serviceaccount.namespace=="custom-ns"'

နောက်ဆုံးဖွဲ့စည်းပုံများ

အသုံးပြုခွင့်အခွင့်အရေး

• ဝင်ရောက်ခွင့်များကို ဖန်တီးပါ။ K8s ဝန်ဆောင်မှုအကောင့် တိုကင်၏ အထောက်အထားကို အတည်ပြုရန်နှင့် ဖော်ထုတ်ရန်အတွက် ကောင်စစ်ဝန်ခွင့်ပြုချက်ပေးရန် လိုအပ်ပါသည်။
• ဖိုင်တွင် အောက်ပါတို့ကို ရေးပါ။ [လင့်ခ်]:

###skywiz-poc-consul-server_rbac.yaml
---
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
 name: review-tokens
 namespace: default
subjects:
- kind: ServiceAccount
 name: skywiz-app-with-consul-client-poc-consul-client
 namespace: default
roleRef:
 kind: ClusterRole
 name: system:auth-delegator
 apiGroup: rbac.authorization.k8s.io
---
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
 name: service-account-getter
 namespace: default
rules:
- apiGroups: [""]
 resources: ["serviceaccounts"]
 verbs: ["get"]
---
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
 name: get-service-accounts
 namespace: default
subjects:
- kind: ServiceAccount
 name: skywiz-app-with-consul-client-poc-consul-client
 namespace: default
roleRef:
 kind: ClusterRole
 name: service-account-getter
 apiGroup: rbac.authorization.k8s.io

• ဝင်ရောက်ခွင့် အခွင့်အရေး ဖန်တီးကြပါစို့

kubectl create -f skywiz-poc-consul-server_rbac.yaml

Consul Client သို့ ချိတ်ဆက်နေသည်။

• မှတ်ချက်ချသည်။ ဒီမှာdaemonset သို့ ချိတ်ဆက်ရန်အတွက် ရွေးချယ်စရာများစွာရှိသည်၊ သို့သော် ကျွန်ုပ်တို့သည် အောက်ပါရိုးရှင်းသောဖြေရှင်းချက်သို့ ဆက်သွားပါမည်။
• အောက်ပါဖိုင်ကို အသုံးပြုပါ [link ကို].

### poc-consul-client-ds-svc.yaml
apiVersion: v1
kind: Service
metadata:
 name: consul-ds-client
spec:
 selector:
   app: consul
   chart: consul-helm
   component: client
   hasDNS: "true"
   release: skywiz-app-with-consul-client-poc
 ports:
 - protocol: TCP
   port: 80
   targetPort: 8500

• ထို့နောက် configmap ဖန်တီးရန် အောက်ပါ builtin command ကိုသုံးပါ။link ကို] ကျွန်ုပ်တို့သည် ကျွန်ုပ်တို့၏ဝန်ဆောင်မှု၏အမည်ကိုရည်ညွှန်းနေပါသည်၊ လိုအပ်ပါက အစားထိုးပါ။

cat <<EOF | kubectl apply -f -
apiVersion: v1
kind: ConfigMap
metadata:
 labels:
   addonmanager.kubernetes.io/mode: EnsureExists
 name: kube-dns
 namespace: kube-system
data:
 stubDomains: |
   {"consul": ["$(kubectl get svc consul-ds-client -o jsonpath='{.spec.clusterIP}')"]}
EOF

စစ်မှန်သောနည်းလမ်းကို စမ်းသပ်ခြင်း။

အခုပဲ မှော်ဆန်တဲ့ လုပ်ဆောင်ချက်ကို ကြည့်ကြရအောင်။

• တူညီသောထိပ်တန်းအဆင့်သော့ (ဥပမာ /sample_key) နှင့် သင့်ရွေးချယ်မှုတန်ဖိုးဖြင့် နောက်ထပ်သော့ဖိုင်တွဲများစွာကို ဖန်တီးပါ။ အဓိကလမ်းကြောင်းအသစ်အတွက် သင့်လျော်သောမူဝါဒများနှင့် အခန်းကဏ္ဍများကို ဖန်တီးပါ။ နောက်မှ တွဲလုပ်မယ်။

စိတ်ကြိုက် namespace စမ်းသပ်မှု-

• ကျွန်ုပ်တို့၏ကိုယ်ပိုင် namespace ကိုဖန်တီးကြပါစို့။

kubectl create namespace custom-ns

• ကျွန်ုပ်တို့၏ namespace အသစ်တွင် pod တစ်ခုကို ဖန်တီးကြပါစို့။ pod အတွက် configuration ကိုရေးပါ။

###poc-ubuntu-custom-ns.yaml
apiVersion: v1
kind: Pod
metadata:
 name: poc-ubuntu-custom-ns
 namespace: custom-ns
spec:
 containers:
 - name: poc-ubuntu-custom-ns
   image: ubuntu
   command: ["/bin/bash", "-ec", "sleep infinity"]
 restartPolicy: Never

• အောက်တွင် ဖန်တီးပါ-

kubectl create -f poc-ubuntu-custom-ns.yaml

• ကွန်တိန်နာအလုပ်လုပ်သည်နှင့်၊ ထိုနေရာသို့သွားပြီး curl ကိုထည့်သွင်းပါ။

kubectl exec poc-ubuntu-custom-ns -n custom-ns -it /bin/bash
apt-get update && apt-get install curl -y

• ယခုကျွန်ုပ်တို့သည်အစောပိုင်းကဖန်တီးထားသောခွင့်ပြုချက်နည်းလမ်းကို အသုံးပြု၍ ကောင်စစ်ဝန်ထံဝင်ရောက်ရန်တောင်းဆိုမှုကိုပေးပို့ပါမည်။link ကို].
• သင့်ဝန်ဆောင်မှုအကောင့်မှ ထည့်သွင်းထားသော တိုကင်ကို ကြည့်ရန်-

cat /run/secrets/kubernetes.io/serviceaccount/token

• ကွန်တိန်နာအတွင်းရှိ ဖိုင်တစ်ခုတွင် အောက်ပါတို့ကို ရေးပါ-

### payload.json
{
 "AuthMethod": "auth-method-test",
 "BearerToken": "<jwt_token>"
}

• လော့ဂ်အင်!

curl 
--request POST 
--data @payload.json 
consul-ds-client.default.svc.cluster.local/v1/acl/login

• အထက်ဖော်ပြပါ အဆင့်များကို တစ်ကြောင်းတည်းဖြင့် ပြီးမြောက်ရန် (ကျွန်ုပ်တို့သည် စမ်းသပ်မှုများစွာကို လုပ်ဆောင်နေသောကြောင့်) အောက်ပါတို့ကို သင်လုပ်ဆောင်နိုင်သည်-

echo "{ 
"AuthMethod": "auth-method-skywiz-consul-poc", 
"BearerToken": "$(cat /run/secrets/kubernetes.io/serviceaccount/token)" 
}" 
| curl 
--request POST 
--data @- 
consul-ds-client.default.svc.cluster.local/v1/acl/login

• အလုပ်များ! အနည်းဆုံးတော့ လုပ်သင့်တယ်။ ယခု SecretID ကိုယူပြီးကျွန်ုပ်တို့အသုံးပြုသင့်သောသော့/တန်ဖိုးကိုဝင်ရောက်ကြည့်ရှုပါ။

curl 
consul-ds-client.default.svc.cluster.local/v1/kv/custom-ns/test_key --header “X-Consul-Token: <SecretID_from_prev_response>”

• သင်သည် base64 "တန်ဖိုး" ကို ကုဒ်လုပ်နိုင်ပြီး UI ရှိ custom-ns/test_key ရှိ တန်ဖိုးနှင့် ကိုက်ညီကြောင်း တွေ့နိုင်သည်။ ဤသင်ခန်းစာတွင် အထက်ဖော်ပြပါတန်ဖိုးကို သင်အသုံးပြုပါက၊ သင်၏ကုဒ်နံပါတ်တန်ဖိုးသည် IkknbSBpbiB0aGUgY3VzdG9tLW5zIGZvbGRlciEi ဖြစ်လိမ့်မည်။

အသုံးပြုသူဝန်ဆောင်မှုအကောင့်စမ်းသပ်မှု

• အောက်ပါ command ကို အသုံးပြု၍ စိတ်ကြိုက် ServiceAccount တစ်ခုဖန်တီးပါlink ကို].

kubectl apply -f - <<EOF
apiVersion: v1
kind: ServiceAccount
metadata:
 name: custom-sa
EOF

• pod အတွက် ဖွဲ့စည်းမှုပုံစံဖိုင်အသစ်တစ်ခု ဖန်တီးပါ။ လုပ်အားကိုသက်သာစေရန် curl installation ပါ၀င်သည်ကို သတိပြုပါ။ :)

###poc-ubuntu-custom-sa.yaml
apiVersion: v1
kind: Pod
metadata:
 name: poc-ubuntu-custom-sa
 namespace: default
spec:
 serviceAccountName: custom-sa
 containers:
 - name: poc-ubuntu-custom-sa
   image: ubuntu
   command: ["/bin/bash","-ec"]
   args: ["apt-get update && apt-get install curl -y; sleep infinity"]
 restartPolicy: Never

• ထို့နောက် ကွန်တိန်နာအတွင်း အခွံတစ်ခုကို ပြေးပါ။

kubectl exec -it poc-ubuntu-custom-sa /bin/bash

• လော့ဂ်အင်!

echo "{ 
"AuthMethod": "auth-method-skywiz-consul-poc", 
"BearerToken": "$(cat /run/secrets/kubernetes.io/serviceaccount/token)" 
}" 
| curl 
--request POST 
--data @- 
consul-ds-client.default.svc.cluster.local/v1/acl/login

• ခွင့်တောင်းမှုငြင်းဆိုခြင်း။ အိုး၊ သင့်လျော်သောခွင့်ပြုချက်များဖြင့် ပေါင်းစပ်ထားသော စည်းမျဉ်းအသစ်တစ်ခုကို ထည့်ရန် မေ့သွားသည်၊ ယခုပြုလုပ်လိုက်ကြပါစို့။

အထက်ပါ ယခင်အဆင့်များကို ပြန်လုပ်ပါ-
က) ရှေ့ဆက် “custom-sa/” အတွက် ထပ်တူကျသော မူဝါဒကို ဖန်တီးပါ။
b) Role တစ်ခုဖန်တီးပါ၊ ၎င်းကို "စိတ်ကြိုက်-sa-role" ဟုခေါ်ဆိုပါ။
ဂ) မူဝါဒကို အခန်းကဏ္ဍတွင် ပူးတွဲပါရှိသည်။

• Rule-Binding ကိုဖန်တီးပါ (cli/api မှသာလျှင် ဖြစ်နိုင်သည်)။ ရွေးချယ်သူအလံ၏ မတူညီသော အဓိပ္ပါယ်ကို မှတ်သားပါ။

consul acl binding-rule create 
-method=auth-method-skywiz-consul-poc 
-bind-type=role 
-bind-name='custom-sa-role' 
-selector='serviceaccount.name=="custom-sa"'

• "poc-ubuntu-custom-sa" ကွန်တိန်နာမှ ထပ်မံဝင်ရောက်ပါ။ အောင်မြင်
• ကျွန်ုပ်တို့၏ စိတ်ကြိုက်-ဆာ/သော့လမ်းကြောင်းသို့ ဝင်ရောက်ကြည့်ရှုပါ။

curl 
consul-ds-client.default.svc.cluster.local/v1/kv/custom-sa/test_key --header “X-Consul-Token: <SecretID>”

• ဤတိုကင်သည် kv ကို "custom-ns/" တွင် အသုံးပြုခွင့်မပေးကြောင်း သေချာစေနိုင်သည်။ "custom-sa" ကို prefix "custom-ns" ဖြင့် အစားထိုးပြီးနောက် အထက်ပါ command ကို ပြန်လုပ်ပါ။
  ခွင့်တောင်းမှုငြင်းဆိုခြင်း။

ထပ်ဆင့်ဥပမာ-

• ဤအခွင့်အရေးများဖြင့် စည်းမျဉ်းစည်းနှောင်မှုမြေပုံများအားလုံးကို တိုကင်သို့ ပေါင်းထည့်မည်ဖြစ်ကြောင်း သတိပြုသင့်ပါသည်။
• ကျွန်ုပ်တို့၏ကွန်တိန်နာ "poc-ubuntu-custom-sa" သည် မူရင်းအမည်ကွက်တွင် ရှိသည် - ထို့ကြောင့် မတူညီသောစည်းမျဉ်းစည်းနှောင်မှုတစ်ခုအတွက် ၎င်းကိုအသုံးပြုကြပါစို့။
• ယခင်အဆင့်များကို ပြန်လုပ်ပါ-
  က) "default/" key prefix အတွက် ထပ်တူကျသော မူဝါဒကို ဖန်တီးပါ။
  b) Role တစ်ခုဖန်တီးပါ၊ ၎င်းကို "default-ns-role" ဟု အမည်ပေးလိုက်ပါ။
  ဂ) မူဝါဒကို အခန်းကဏ္ဍတွင် ပူးတွဲပါရှိသည်။
• Rule-Binding ကိုဖန်တီးပါ (cli/api မှသာလျှင် ဖြစ်နိုင်သည်)

consul acl binding-rule create 
-method=auth-method-skywiz-consul-poc 
-bind-type=role 
-bind-name='default-ns-role' 
-selector='serviceaccount.namespace=="default"'

• ကျွန်ုပ်တို့၏ "poc-ubuntu-custom-sa" ကွန်တိန်နာသို့ ပြန်သွားပြီး "default/" kv လမ်းကြောင်းကို ဝင်ရောက်ကြည့်ရှုပါ။
• ခွင့်တောင်းမှုငြင်းဆိုခြင်း။
  ACL > တိုကင်အောက်ရှိ UI ရှိ တိုကင်တစ်ခုစီအတွက် သတ်မှတ်ထားသောအထောက်အထားများကို သင်ကြည့်ရှုနိုင်ပါသည်။ သင်တွေ့မြင်ရသည့်အတိုင်း ကျွန်ုပ်တို့၏လက်ရှိတိုကင်တွင် ၎င်းနှင့်တွဲထားသည့် "စိတ်ကြိုက်-ဆာ-အခန်းကဏ္ဍ" တစ်ခုသာရှိသည်။ ကျွန်ုပ်တို့ အကောင့်ဝင်သောအခါတွင် ကျွန်ုပ်တို့အသုံးပြုနေသော တိုကင်ကို ထုတ်ပေးခဲ့ပြီး ထိုအချိန်နှင့် ကိုက်ညီသည့် စည်းမျဉ်းစည်းနှောင်မှုတစ်ခုသာ ရှိခဲ့ပါသည်။ ကျွန်ုပ်တို့ ထပ်မံဝင်ရောက်ပြီး တိုကင်အသစ်ကို အသုံးပြုရန် လိုအပ်ပါသည်။
• "custom-sa/" နှင့် "default/" kv paths နှစ်ခုလုံးမှ ဖတ်နိုင်သည်ကို သေချာပါစေ။
  အောင်မြင်ပါသည်!
  ကျွန်ုပ်တို့၏ "poc-ubuntu-custom-sa" သည် "စိတ်ကြိုက်-sa" နှင့် "default-ns" စည်းမျဉ်းစည်းနှောင်မှုများနှင့် ကိုက်ညီသောကြောင့်ဖြစ်သည်။

ကောက်ချက်

TTL တိုကင် mgmt?

ဤစာရေးသားချိန်တွင်၊ ဤခွင့်ပြုချက်နည်းလမ်းမှထုတ်ပေးသော တိုကင်များအတွက် TTL ကို ဆုံးဖြတ်ရန် ပေါင်းစပ်နည်းလမ်းမရှိပါ။ ကောင်စစ်ဝန်ခွင့်ပြုချက်၏ လုံခြုံသော အလိုအလျောက်စနစ်ဖြင့် ပံ့ပိုးရန် အခွင့်အလမ်းကောင်းတစ်ခုဖြစ်သည်။

TTL ဖြင့် တိုကင်တစ်ခုကို ကိုယ်တိုင်ဖန်တီးရန် ရွေးချယ်ခွင့်ရှိပါသည်။

• https://www.consul.io/docs/acl/acl-system.html#acl-tokens
  သက်တမ်းကုန်ဆုံးချိန် - ဤတိုကင်ကို ရုပ်သိမ်းမည့်အချိန်။ (ရွေးချယ်နိုင်သည်၊ Consul 1.5.0 တွင် ထည့်ထားသည်)
• ကိုယ်တိုင်ဖန်တီးမှု/အပ်ဒိတ်အတွက်သာ တည်ရှိပါသည်။ https://www.consul.io/api/acl/tokens.html#expirationtime

မဝေးတော့သောအနာဂတ်တွင် ကျွန်ုပ်တို့သည် တိုကင်များကို မည်သို့ထုတ်ပေးသည်ကို ထိန်းချုပ်နိုင်လိမ့်မည် (စည်းမျဉ်း သို့မဟုတ် ခွင့်ပြုချက်နည်းလမ်းတစ်ခု) နှင့် TTL ကိုထည့်ပါ။

ထိုအချိန်အထိ၊ သင်သည် သင်၏ယုတ္တိဗေဒတွင် အကောင့်ထွက်ခြင်း အဆုံးမှတ်ကို အသုံးပြုရန် အကြံပြုထားသည်။

• https://www.consul.io/api/acl/acl.html#logout-from-auth-method
• https://www.consul.io/docs/acl/acl-auth-methods.html#overall-login-process

ကျွန်ုပ်တို့၏ဘလော့ဂ်ရှိ အခြားဆောင်းပါးများကိုလည်း ဖတ်ပါ-

• ခွင့်ပြုချက်မရှိဘဲ ClickHouse မှ ClickHouse သို့ ပြောင်းရွှေ့ခြင်းသည် မည်သည့်အရာဆီသို့ ဦးတည်သွားသနည်း။
• GitLab CI/CD ကို အသုံးပြု၍ ပိုက်လိုင်းများစွာကို မည်သို့လုပ်ဆောင်ရမည်နည်း
• Docker ပုံများကိုကျုံ့ရန်ရိုးရှင်းသောလှည့်ကွက်သုံးခု
• K8S အတွက် Ingress controller အဖြစ် Traefik
• ကွဲပြားသော ဝဘ်ပရောဂျက်များစွာကို အရန်သိမ်းခြင်း။
• Redmine အတွက် Telegram bot ။ သင်ကိုယ်တိုင်ရော အခြားသူများအတွက်ပါ ဘဝကို ရိုးရှင်းအောင် ဘယ်လိုလုပ်မလဲ။

source: www.habr.com