เจชเฉเจฐเฉ‹เจนเฉ‹เจธเจŸเจฐ > ะ‘ะปะพะณ > เจชเฉเจฐเจธเจผเจพเจธเจจ > GitHub OAuth เจ…เจคเฉ‡ Dex เจฆเฉ€ เจตเจฐเจคเฉ‹เจ‚ เจ•เจฐเจ•เฉ‡ เจ•เฉเจฌเจฐเจจเฉ‡เจŸเจธ เจตเจฟเฉฑเจš เจชเฉเจฐเจฎเจพเจฃเจฟเจค เจ•เจฐเฉ‹

GitHub OAuth เจ…เจคเฉ‡ Dex เจฆเฉ€ เจตเจฐเจคเฉ‹เจ‚ เจ•เจฐเจ•เฉ‡ เจ•เฉเจฌเจฐเจจเฉ‡เจŸเจธ เจตเจฟเฉฑเจš เจชเฉเจฐเจฎเจพเจฃเจฟเจค เจ•เจฐเฉ‹

เจฎเฉˆเจ‚ เจคเฉเจนเจพเจกเฉ‡ เจงเจฟเจ†เจจ เจตเจฟเฉฑเจš Dex, dex-k8s-authenticator เจ…เจคเฉ‡ GitHub เจฆเฉ€ เจตเจฐเจคเฉ‹เจ‚ เจ•เจฐเจ•เฉ‡ เจ•เฉเจฌเจฐเจจเฉ‡เจŸเจธ เจ•เจฒเฉฑเจธเจŸเจฐ เจคเฉฑเจ• เจชเจนเฉเฉฐเจš เจฌเจฃเจพเจ‰เจฃ เจฒเจˆ เจ‡เฉฑเจ• เจŸเจฟเจŠเจŸเฉ‹เจฐเจฟเจ…เจฒ เจชเฉ‡เจธเจผ เจ•เจฐเจฆเจพ เจนเจพเจ‚เฅค

GitHub OAuth เจ…เจคเฉ‡ Dex เจฆเฉ€ เจตเจฐเจคเฉ‹เจ‚ เจ•เจฐเจ•เฉ‡ เจ•เฉเจฌเจฐเจจเฉ‡เจŸเจธ เจตเจฟเฉฑเจš เจชเฉเจฐเจฎเจพเจฃเจฟเจค เจ•เจฐเฉ‹
เจฐเฉ‚เจธเฉ€-เจญเจพเจธเจผเจพ เจฆเฉ‡ เจ•เฉเจฌเจฐเจจเฉ‡เจŸเจธ เจคเฉ‹เจ‚ เจธเจฅเจพเจจเจ• เจฎเฉ€เจฎ เจšเฉˆเจŸ เจ‡เจจ เจคเจพเจฐ

เจœเจพเจฃ เจชเจ›เจพเจฃ

เจ…เจธเฉ€เจ‚ เจตเจฟเจ•เจพเจธ เจ…เจคเฉ‡ QA เจŸเฉ€เจฎ เจฒเจˆ เจ—เจคเฉ€เจธเจผเฉ€เจฒ เจตเจพเจคเจพเจตเจฐเจฃ เจฌเจฃเจพเจ‰เจฃ เจฒเจˆ Kubernetes เจฆเฉ€ เจตเจฐเจคเฉ‹เจ‚ เจ•เจฐเจฆเฉ‡ เจนเจพเจ‚เฅค เจ‡เจธ เจฒเจˆ เจ…เจธเฉ€เจ‚ เจ‰เจนเจจเจพเจ‚ เจจเฉ‚เฉฐ เจกเฉˆเจธเจผเจฌเฉ‹เจฐเจก เจ…เจคเฉ‡ kubectl เจฆเฉ‹เจตเจพเจ‚ เจฒเจˆ เจ•เจฒเฉฑเจธเจŸเจฐ เจคเฉฑเจ• เจชเจนเฉเฉฐเจš เจฆเฉ‡เจฃเจพ เจšเจพเจนเฉเฉฐเจฆเฉ‡ เจนเจพเจ‚เฅค OpenShift เจฆเฉ‡ เจ‰เจฒเจŸ, เจตเจจเฉ€เจฒเจพ เจ•เฉเจฌเจฐเจจเฉ‡เจŸเจธ เจ•เฉ‹เจฒ เจฎเฉ‚เจฒ เจชเฉเจฐเจฎเจพเจฃเจฟเจ•เจคเจพ เจจเจนเฉ€เจ‚ เจนเฉˆ, เจ‡เจธเจฒเจˆ เจ…เจธเฉ€เจ‚ เจ‡เจธเจฆเฉ‡ เจฒเจˆ เจฅเจฐเจก-เจชเจพเจฐเจŸเฉ€ เจŸเฉ‚เจฒเจธ เจฆเฉ€ เจตเจฐเจคเฉ‹เจ‚ เจ•เจฐเจฆเฉ‡ เจนเจพเจ‚เฅค

เจ‡เจธ เจธเฉฐเจฐเจšเจจเจพ เจตเจฟเฉฑเจš เจ…เจธเฉ€เจ‚ เจตเจฐเจคเจฆเฉ‡ เจนเจพเจ‚:

  • dex-k8s-เจชเฉเจฐเจฎเจพเจฃเจ•โ€Š โ€” kubectl เจธเฉฐเจฐเจšเจจเจพ เจฌเจฃเจพเจ‰เจฃ เจฒเจˆ เจตเฉˆเฉฑเจฌ เจเจชเจฒเฉ€เจ•เฉ‡เจธเจผเจจ
  • Dex - OpenID เจ•เจจเฉˆเจ•เจŸ เจชเฉเจฐเจฆเจพเจคเจพ
  • GitHub - เจฌเจธ เจ‡เจธ เจฒเจˆ เจ•เจฟ เจ…เจธเฉ€เจ‚ เจ†เจชเจฃเฉ€ เจ•เฉฐเจชเจจเฉ€ เจตเจฟเฉฑเจš GitHub เจฆเฉ€ เจตเจฐเจคเฉ‹เจ‚ เจ•เจฐเจฆเฉ‡ เจนเจพเจ‚

เจ…เจธเฉ€เจ‚ Google OIDC เจฆเฉ€ เจตเจฐเจคเฉ‹เจ‚ เจ•เจฐเจจ เจฆเฉ€ เจ•เฉ‹เจธเจผเจฟเจธเจผ เจ•เฉ€เจคเฉ€, เจชเจฐ เจฌเจฆเจ•เจฟเจธเจฎเจคเฉ€ เจจเจพเจฒ เจ…เจธเฉ€เจ‚ เจ…เจธเจซเจฒ เจ‰เจนเจจเจพเจ‚ เจจเฉ‚เฉฐ เจธเจฎเฉ‚เจนเจพเจ‚ เจจเจพเจฒ เจธเจผเฉเจฐเฉ‚ เจ•เจฐเจจ เจฒเจˆ, เจ‡เจธ เจฒเจˆ GitHub เจจเจพเจฒ เจเจ•เฉ€เจ•เจฐเจฃ เจธเจพเจกเฉ‡ เจฒเจˆ เจฌเจนเฉเจค เจตเจงเฉ€เจ† เจนเฉˆ. เจ—เจฐเฉเฉฑเจช เจฎเฉˆเจชเจฟเฉฐเจ— เจคเฉ‹เจ‚ เจฌเจฟเจจเจพเจ‚, เจ—เจฐเฉเฉฑเจชเจพเจ‚ 'เจคเฉ‡ เจ†เจงเจพเจฐเจฟเจค RBAC เจจเฉ€เจคเฉ€เจ†เจ‚ เจฌเจฃเจพเจ‰เจฃเจพ เจธเฉฐเจญเจต เจจเจนเฉ€เจ‚ เจนเฉ‹เจตเฉ‡เจ—เจพเฅค

เจ‡เจธ เจฒเจˆ, เจธเจพเจกเฉ€ เจ•เฉเจฌเจฐเจจเฉ‡เจŸเจธ เจชเฉเจฐเจฎเจพเจฃเจฟเจ•เจคเจพ เจชเฉเจฐเจ•เจฟเจฐเจฟเจ† เจตเจฟเจœเจผเฉ‚เจ…เจฒ เจชเฉเจฐเจคเฉ€เจจเจฟเจงเจคเจพ เจตเจฟเฉฑเจš เจ•เจฟเจตเฉ‡เจ‚ เจ•เฉฐเจฎ เจ•เจฐเจฆเฉ€ เจนเฉˆ:

GitHub OAuth เจ…เจคเฉ‡ Dex เจฆเฉ€ เจตเจฐเจคเฉ‹เจ‚ เจ•เจฐเจ•เฉ‡ เจ•เฉเจฌเจฐเจจเฉ‡เจŸเจธ เจตเจฟเฉฑเจš เจชเฉเจฐเจฎเจพเจฃเจฟเจค เจ•เจฐเฉ‹
เจ…เจงเจฟเจ•เจพเจฐเจค เจชเฉเจฐเจ•เจฟเจฐเจฟเจ†

เจฅเฉ‹เฉœเจพ เจนเฉ‹เจฐ เจตเฉ‡เจฐเจตเฉ‡ เจ…เจคเฉ‡ เจฌเจฟเฉฐเจฆเฉ‚ เจฆเจฐ เจฌเจฟเฉฐเจฆเฉ‚:

  1. เจ‰เจชเจญเฉ‹เจ—เจคเจพ dex-k8s-authenticator เจตเจฟเฉฑเจš เจฒเจพเจ—เจ‡เจจ เจ•เจฐเจฆเจพ เจนเฉˆ (login.k8s.example.com)
  2. dex-k8s-authenticator เจฌเฉ‡เจจเจคเฉ€ เจจเฉ‚เฉฐ Dex เจจเฉ‚เฉฐ เจ…เฉฑเจ—เฉ‡ เจญเฉ‡เจœเจฆเจพ เจนเฉˆ (dex.k8s.example.com)
  3. Dex GitHub เจฒเฉŒเจ—เจ‡เจจ เจชเฉฐเจจเฉ‡ 'เจคเฉ‡ เจฐเฉ€เจกเจพเจ‡เจฐเฉˆเจ•เจŸ เจ•เจฐเจฆเจพ เจนเฉˆ
  4. GitHub เจฒเฉ‹เฉœเฉ€เจ‚เจฆเฉ€ เจชเฉเจฐเจฎเจพเจฃเจฟเจ•เจคเจพ เจœเจพเจฃเจ•เจพเจฐเฉ€ เจคเจฟเจ†เจฐ เจ•เจฐเจฆเจพ เจนเฉˆ เจ…เจคเฉ‡ เจ‡เจธเจจเฉ‚เฉฐ Dex เจจเฉ‚เฉฐ เจตเจพเจชเจธ เจ•เจฐเจฆเจพ เจนเฉˆ
  5. Dex เจชเฉเจฐเจพเจชเจค เจœเจพเจฃเจ•เจพเจฐเฉ€ เจจเฉ‚เฉฐ dex-k8s-authenticator เจจเฉ‚เฉฐ เจญเฉ‡เจœเจฆเจพ เจนเฉˆ
  6. เจ‰เจชเจญเฉ‹เจ—เจคเจพ GitHub เจคเฉ‹เจ‚ เจ‡เฉฑเจ• OIDC เจŸเฉ‹เจ•เจจ เจชเฉเจฐเจพเจชเจค เจ•เจฐเจฆเจพ เจนเฉˆ
  7. dex-k8s-authenticator kubeconfig เจตเจฟเฉฑเจš เจŸเฉ‹เจ•เจจ เจœเฉ‹เฉœเจฆเจพ เจนเฉˆ
  8. kubectl KubeAPIServer เจจเฉ‚เฉฐ เจŸเฉ‹เจ•เจจ เจชเจพเจธ เจ•เจฐเจฆเจพ เจนเฉˆ
  9. KubeAPIServer เจชเจพเจธ เจ•เฉ€เจคเฉ‡ เจŸเฉ‹เจ•เจจ เจฆเฉ‡ เจ†เจงเจพเจฐ 'เจคเฉ‡ kubectl เจคเฉฑเจ• เจชเจนเฉเฉฐเจš เจตเจพเจชเจธ เจ•เจฐเจฆเจพ เจนเฉˆ
  10. เจ‰เจชเจญเฉ‹เจ—เจคเจพ kubectl เจคเฉ‹เจ‚ เจชเจนเฉเฉฐเจš เจชเฉเจฐเจพเจชเจค เจ•เจฐเจฆเจพ เจนเฉˆ

เจคเจฟเจ†เจฐเฉ€ เจฆเฉ€เจ†เจ‚ เจ•เจพเจฐเจตเจพเจˆเจ†เจ‚

เจฌเฉ‡เจธเจผเฉฑเจ•, เจธเจพเจกเฉ‡ เจ•เฉ‹เจฒ เจชเจนเจฟเจฒเจพเจ‚ เจนเฉ€ เจ‡เฉฑเจ• เจ•เฉเจฌเจฐเจจเฉ‡เจŸเจธ เจ•เจฒเฉฑเจธเจŸเจฐ เจธเจฅเจพเจชเจค เจนเฉˆ (k8s.example.com), เจ…เจคเฉ‡ เจ‡เจน เจชเจนเจฟเจฒเจพเจ‚ เจคเฉ‹เจ‚ เจธเจฅเจพเจชเจฟเจค HELM เจฆเฉ‡ เจจเจพเจฒ เจตเฉ€ เจ†เจ‰เจ‚เจฆเจพ เจนเฉˆเฅค เจธเจพเจกเฉ‡ เจ•เฉ‹เจฒ GitHub (super-org) 'เจคเฉ‡ เจ‡เฉฑเจ• เจธเฉฐเจธเจฅเจพ เจตเฉ€ เจนเฉˆเฅค
เจœเฉ‡เจ•เจฐ เจคเฉเจนเจพเจกเฉ‡ เจ•เฉ‹เจฒ HELM เจจเจนเฉ€เจ‚ เจนเฉˆ, เจคเจพเจ‚ เจ‡เจธเจจเฉ‚เฉฐ เจ‡เฉฐเจธเจŸเจพเจฒ เจ•เจฐเฉ‹ เจฌเจนเฉเจค เจนเฉ€ เจธเจงเจพเจฐเจจ.

เจชเจนเจฟเจฒเจพเจ‚ เจธเจพเจจเฉ‚เฉฐ GitHub เจธเฉˆเจŸ เจ…เจช เจ•เจฐเจจ เจฆเฉ€ เจฒเฉ‹เฉœ เจนเฉˆเฅค

เจธเฉฐเจ—เจ เจจ เจธเฉˆเจŸเจฟเฉฐเจ—เจœเจผ เจชเฉฐเจจเฉ‡ 'เจคเฉ‡ เจœเจพเจ“, (https://github.com/organizations/super-org/settings/applications) เจ…เจคเฉ‡ เจ‡เฉฑเจ• เจจเจตเฉ€เจ‚ เจเจชเจฒเฉ€เจ•เฉ‡เจธเจผเจจ เจฌเจฃเจพเจ“ (เจ…เจงเจฟเจ•เจพเจฐเจค OAuth เจเจช):
GitHub OAuth เจ…เจคเฉ‡ Dex เจฆเฉ€ เจตเจฐเจคเฉ‹เจ‚ เจ•เจฐเจ•เฉ‡ เจ•เฉเจฌเจฐเจจเฉ‡เจŸเจธ เจตเจฟเฉฑเจš เจชเฉเจฐเจฎเจพเจฃเจฟเจค เจ•เจฐเฉ‹
GitHub 'เจคเฉ‡ เจ‡เฉฑเจ• เจจเจตเฉ€เจ‚ เจเจชเจฒเฉ€เจ•เฉ‡เจธเจผเจจ เจฌเจฃเจพเจ‰เจฃเจพ

เจฒเฉ‹เฉœเฉ€เจ‚เจฆเฉ‡ URL เจฆเฉ‡ เจจเจพเจฒ เจ–เฉ‡เจคเจฐเจพเจ‚ เจจเฉ‚เฉฐ เจญเจฐเฉ‹, เจ‰เจฆเจพเจนเจฐเจจ เจฒเจˆ:

  • เจนเฉ‹เจฎเจชเฉ‡เจœ URL: https://dex.k8s.example.com
  • เจ…เจงเจฟเจ•เจพเจฐ เจ•เจพเจฒเจฌเฉˆเจ• URL: https://dex.k8s.example.com/callback

เจฒเจฟเฉฐเจ•เจพเจ‚ เจฆเฉ‡ เจจเจพเจฒ เจธเจพเจตเจงเจพเจจ เจฐเจนเฉ‹, เจธเจฒเฉˆเจธเจผเจพเจ‚ เจจเฉ‚เฉฐ เจ—เฉเจ†เจ‰เจฃเจพ เจฎเจนเฉฑเจคเจตเจชเฉ‚เจฐเจจ เจจเจนเฉ€เจ‚ เจนเฉˆเฅค

เจ‡เฉฑเจ• เจญเจฐเฉ‡ เจนเฉ‹เจ เจซเจพเจฐเจฎ เจฆเฉ‡ เจœเจตเจพเจฌ เจตเจฟเฉฑเจš, GitHub เจคเจฟเจ†เจฐ เจ•เจฐเฉ‡เจ—เจพ Client ID ะธ Client secret, เจ‰เจนเจจเจพเจ‚ เจจเฉ‚เฉฐ เจ‡เฉฑเจ• เจธเฉเจฐเฉฑเจ–เจฟเจ…เจค เจฅเจพเจ‚ เจคเฉ‡ เจฐเฉฑเจ–เฉ‹, เจ‰เจน เจธเจพเจกเฉ‡ เจฒเจˆ เจฒเจพเจญเจฆเจพเจ‡เจ• เจนเฉ‹เจฃเจ—เฉ‡ (เจ‰เจฆเจพเจนเจฐเจจ เจฒเจˆ, เจ…เจธเฉ€เจ‚ เจตเจฐเจคเจฆเฉ‡ เจนเจพเจ‚ เจตเจพเจฒเจŸ เจญเฉ‡เจฆ เจธเจŸเฉ‹เจฐ เจ•เจฐเจจ เจฒเจˆ):

Client ID: 1ab2c3d4e5f6g7h8
Client secret: 98z76y54x32w1

เจธเจฌเจกเฉ‹เจฎเฉ‡เจจเจพเจ‚ เจฒเจˆ DNS เจฐเจฟเจ•เจพเจฐเจก เจคเจฟเจ†เจฐ เจ•เจฐเฉ‹ login.k8s.example.com ะธ dex.k8s.example.com, เจจเจพเจฒ เจนเฉ€ เจชเฉเจฐเจตเฉ‡เจธเจผ เจฒเจˆ SSL เจธเจฐเจŸเฉ€เจซเจฟเจ•เฉ‡เจŸเฅค

เจ†เจ“ SSL เจธเจฐเจŸเฉ€เจซเจฟเจ•เฉ‡เจŸ เจฌเจฃเจพเจˆเจ:

cat <<EOF | kubectl create -f -
apiVersion: certmanager.k8s.io/v1alpha1
kind: Certificate
metadata:
  name: cert-auth-dex
  namespace: kube-system
spec:
  secretName: cert-auth-dex
  dnsNames:
    - dex.k8s.example.com
  acme:
    config:
    - http01:
        ingressClass: nginx
      domains:
      - dex.k8s.example.com
  issuerRef:
    name: le-clusterissuer
    kind: ClusterIssuer
---
apiVersion: certmanager.k8s.io/v1alpha1
kind: Certificate
metadata:
  name: cert-auth-login
  namespace: kube-system
spec:
  secretName: cert-auth-login
  dnsNames:
    - login.k8s.example.com
  acme:
    config:
    - http01:
        ingressClass: nginx
      domains:
      - login.k8s.example.com
  issuerRef:
    name: le-clusterissuer
    kind: ClusterIssuer
EOF
kubectl describe certificates cert-auth-dex -n kube-system
kubectl describe certificates cert-auth-login -n kube-system

เจธเจฟเจฐเจฒเฉ‡เจ– เจฆเฉ‡ เจจเจพเจฒ เจ•เจฒเฉฑเจธเจŸเจฐ เจœเจพเจฐเฉ€เจ•เจฐเจคเจพ le-clusterissuer เจชเจนเจฟเจฒเจพเจ‚ เจนเฉ€ เจฎเฉŒเจœเฉ‚เจฆ เจนเฉ‹เจฃเจพ เจšเจพเจนเฉ€เจฆเจพ เจนเฉˆ, เจชเจฐ เจœเฉ‡ เจจเจนเฉ€เจ‚, เจคเจพเจ‚ เจ‡เจธเจจเฉ‚เฉฐ HELM เจฆเฉ€ เจตเจฐเจคเฉ‹เจ‚ เจ•เจฐเจ•เฉ‡ เจฌเจฃเจพเจ“:

helm install --namespace kube-system -n cert-manager stable/cert-manager
cat << EOF | kubectl create -f -
apiVersion: certmanager.k8s.io/v1alpha1
kind: ClusterIssuer
metadata:
  name: le-clusterissuer
  namespace: kube-system
spec:
  acme:
    server: https://acme-v02.api.letsencrypt.org/directory
    email: [email protected]
    privateKeySecretRef:
      name: le-clusterissuer
    http01: {}
EOF

KubeAPIServer เจธเฉฐเจฐเจšเจจเจพ

kubeAPIServer เจฆเฉ‡ เจ•เฉฐเจฎ เจ•เจฐเจจ เจฒเจˆ, เจคเฉเจนเจพเจจเฉ‚เฉฐ OIDC เจ•เฉŒเจ‚เจซเจฟเจ—เจฐ เจ•เจฐเจจ เจ…เจคเฉ‡ เจ•เจฒเฉฑเจธเจŸเจฐ เจจเฉ‚เฉฐ เจ…เฉฑเจชเจกเฉ‡เจŸ เจ•เจฐเจจ เจฆเฉ€ เจฒเฉ‹เฉœ เจนเฉˆ:

kops edit cluster
...
  kubeAPIServer:
    anonymousAuth: false
    authorizationMode: RBAC
    oidcClientID: dex-k8s-authenticator
    oidcGroupsClaim: groups
    oidcIssuerURL: https://dex.k8s.example.com/
    oidcUsernameClaim: email
kops update cluster --yes
kops rolling-update cluster --yes

เจ…เจธเฉ€เจ‚ เจตเจฐเจคเจฆเฉ‡ เจนเจพเจ‚ เจ•เจฟเฉฑเจ• เจ•เจฒเฉฑเจธเจŸเจฐเจพเจ‚ เจจเฉ‚เฉฐ เจคเฉˆเจจเจพเจค เจ•เจฐเจจ เจฒเจˆ, เจชเจฐ เจ‡เจน เจ‡เจธ เจฒเจˆ เจตเฉ€ เจ‡เจธเฉ‡ เจคเจฐเฉเจนเจพเจ‚ เจ•เฉฐเจฎ เจ•เจฐเจฆเจพ เจนเฉˆ เจนเฉ‹เจฐ เจ•เจฒเฉฑเจธเจŸเจฐ เจชเฉเจฐเจฌเฉฐเจงเจ•.

Dex เจธเฉฐเจฐเจšเจจเจพ เจ…เจคเฉ‡ dex-k8s-เจชเฉเจฐเจฎเจพเจฃเจฟเจ•

Dex เจฆเฉ‡ เจ•เฉฐเจฎ เจ•เจฐเจจ เจฒเจˆ, เจคเฉเจนเจพเจกเฉ‡ เจ•เฉ‹เจฒ เจ•เฉเจฌเจฐเจจเฉ‡เจŸเจธ เจฎเจพเจธเจŸเจฐ เจคเฉ‹เจ‚ เจ‡เฉฑเจ• เจธเจฐเจŸเฉ€เจซเจฟเจ•เฉ‡เจŸ เจ…เจคเฉ‡ เจ‡เฉฑเจ• เจ•เฉเฉฐเจœเฉ€ เจนเฉ‹เจฃเฉ€ เจšเจพเจนเฉ€เจฆเฉ€ เจนเฉˆ, เจ†เจ“ เจ‡เจธเจจเฉ‚เฉฐ เจ‰เฉฑเจฅเฉ‹เจ‚ เจชเฉเจฐเจพเจชเจค เจ•เจฐเฉ€เจ:

sudo cat /srv/kubernetes/ca.{crt,key}
-----BEGIN CERTIFICATE-----
AAAAAAAAAAABBBBBBBBBBCCCCCC
-----END CERTIFICATE-----
-----BEGIN RSA PRIVATE KEY-----
DDDDDDDDDDDEEEEEEEEEEFFFFFF
-----END RSA PRIVATE KEY-----

เจ†เจ‰ dex-k8s-authenticator เจฐเจฟเจชเฉ‹เจœเจผเจŸเจฐเฉ€ เจจเฉ‚เฉฐ เจ•เจฒเฉ‹เจจ เจ•เจฐเฉ€เจ:

git clone [email protected]:mintel/dex-k8s-authenticator.git
cd dex-k8s-authenticator/

เจฎเฉเฉฑเจฒ เจซเจพเจˆเจฒเจพเจ‚ เจฆเฉ€ เจตเจฐเจคเฉ‹เจ‚ เจ•เจฐเจฆเฉ‡ เจนเฉ‹เจ, เจ…เจธเฉ€เจ‚ เจ†เจชเจฃเฉ‡ เจฒเจˆ เจฒเจšเจ•เจฆเจพเจฐ เจขเฉฐเจ— เจจเจพเจฒ เจตเฉ‡เจฐเฉ€เจเจฌเจฒ เจจเฉ‚เฉฐ เจธเฉฐเจฐเจšเจฟเจค เจ•เจฐ เจธเจ•เจฆเฉ‡ เจนเจพเจ‚ HELM เจšเจพเจฐเจŸ.

เจ†เจ“ Dex เจฒเจˆ เจธเฉฐเจฐเจšเจจเจพ เจฆเจพ เจตเจฐเจฃเจจ เจ•เจฐเฉ€เจ:

cat << EOF > values-dex.yml
global:
  deployEnv: prod
tls:
  certificate: |-
    -----BEGIN CERTIFICATE-----
    AAAAAAAAAAABBBBBBBBBBCCCCCC
    -----END CERTIFICATE-----
  key: |-
    -----BEGIN RSA PRIVATE KEY-----
    DDDDDDDDDDDEEEEEEEEEEFFFFFF
    -----END RSA PRIVATE KEY-----
ingress:
  enabled: true
  annotations:
    kubernetes.io/ingress.class: nginx
    kubernetes.io/tls-acme: "true"
  path: /
  hosts:
    - dex.k8s.example.com
  tls:
    - secretName: cert-auth-dex
      hosts:
        - dex.k8s.example.com
serviceAccount:
  create: true
  name: dex-auth-sa
config: |
  issuer: https://dex.k8s.example.com/
  storage: # https://github.com/dexidp/dex/issues/798
    type: sqlite3
    config:
      file: /var/dex.db
  web:
    http: 0.0.0.0:5556
  frontend:
    theme: "coreos"
    issuer: "Example Co"
    issuerUrl: "https://example.com"
    logoUrl: https://example.com/images/logo-250x25.png
  expiry:
    signingKeys: "6h"
    idTokens: "24h"
  logger:
    level: debug
    format: json
  oauth2:
    responseTypes: ["code", "token", "id_token"]
    skipApprovalScreen: true
  connectors:
  - type: github
    id: github
    name: GitHub
    config:
      clientID: $GITHUB_CLIENT_ID
      clientSecret: $GITHUB_CLIENT_SECRET
      redirectURI: https://dex.k8s.example.com/callback
      orgs:
      - name: super-org
        teams:
        - team-red
  staticClients:
  - id: dex-k8s-authenticator
    name: dex-k8s-authenticator
    secret: generatedLongRandomPhrase
    redirectURIs:
      - https://login.k8s.example.com/callback/
envSecrets:
  GITHUB_CLIENT_ID: "1ab2c3d4e5f6g7h8"
  GITHUB_CLIENT_SECRET: "98z76y54x32w1"
EOF

เจ…เจคเฉ‡ dex-k8s-authenticator เจฒเจˆ:

cat << EOF > values-auth.yml
global:
  deployEnv: prod
dexK8sAuthenticator:
  clusters:
  - name: k8s.example.com
    short_description: "k8s cluster"
    description: "Kubernetes cluster"
    issuer: https://dex.k8s.example.com/
    k8s_master_uri: https://api.k8s.example.com
    client_id: dex-k8s-authenticator
    client_secret: generatedLongRandomPhrase
    redirect_uri: https://login.k8s.example.com/callback/
    k8s_ca_pem: |
      -----BEGIN CERTIFICATE-----
      AAAAAAAAAAABBBBBBBBBBCCCCCC
      -----END CERTIFICATE-----
ingress:
  enabled: true
  annotations:
    kubernetes.io/ingress.class: nginx
    kubernetes.io/tls-acme: "true"
  path: /
  hosts:
    - login.k8s.example.com
  tls:
    - secretName: cert-auth-login
      hosts:
        - login.k8s.example.com
EOF

Dex เจ…เจคเฉ‡ dex-k8s-authenticator เจ‡เฉฐเจธเจŸเจพเจฒ เจ•เจฐเฉ‹:

helm install -n dex --namespace kube-system --values values-dex.yml charts/dex
helm install -n dex-auth --namespace kube-system --values values-auth.yml charts/dex-k8s-authenticator

เจšเจฒเฉ‹ เจธเฉ‡เจตเจพเจตเจพเจ‚ เจฆเฉ€ เจ•เจพเจฐเจœเจ•เฉเจธเจผเจฒเจคเจพ เจฆเฉ€ เจœเจพเจ‚เจš เจ•เจฐเฉ€เจ (Dex เจจเฉ‚เฉฐ เจ•เฉ‹เจก 400 เจตเจพเจชเจธ เจ•เจฐเจจเจพ เจšเจพเจนเฉ€เจฆเจพ เจนเฉˆ, เจ…เจคเฉ‡ dex-k8s-authenticator เจจเฉ‚เฉฐ เจ•เฉ‹เจก 200 เจตเจพเจชเจธ เจ•เจฐเจจเจพ เจšเจพเจนเฉ€เจฆเจพ เจนเฉˆ):

curl -sI https://dex.k8s.example.com/callback | head -1
HTTP/2 400
curl -sI https://login.k8s.example.com/ | head -1
HTTP/2 200

RBAC เจธเฉฐเจฐเจšเจจเจพ

เจ…เจธเฉ€เจ‚ เจ—เจฐเฉเฉฑเจช เจฒเจˆ เจ‡เฉฑเจ• เจ•เจฒเฉฑเจธเจŸเจฐเจฐเฉ‹เจฒ เจฌเจฃเจพเจ‰เจ‚เจฆเฉ‡ เจนเจพเจ‚, เจธเจพเจกเฉ‡ เจ•เฉ‡เจธ เจตเจฟเฉฑเจš เจธเจฟเจฐเจซเจผ-เจชเฉœเฉเจนเจจ เจฒเจˆ เจชเจนเฉเฉฐเจš เจจเจพเจฒ:

cat << EOF | kubectl create -f -
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: cluster-read-all
rules:
  -
    apiGroups:
      - ""
      - apps
      - autoscaling
      - batch
      - extensions
      - policy
      - rbac.authorization.k8s.io
      - storage.k8s.io
    resources:
      - componentstatuses
      - configmaps
      - cronjobs
      - daemonsets
      - deployments
      - events
      - endpoints
      - horizontalpodautoscalers
      - ingress
      - ingresses
      - jobs
      - limitranges
      - namespaces
      - nodes
      - pods
      - pods/log
      - pods/exec
      - persistentvolumes
      - persistentvolumeclaims
      - resourcequotas
      - replicasets
      - replicationcontrollers
      - serviceaccounts
      - services
      - statefulsets
      - storageclasses
      - clusterroles
      - roles
    verbs:
      - get
      - watch
      - list
  - nonResourceURLs: ["*"]
    verbs:
      - get
      - watch
      - list
  - apiGroups: [""]
    resources: ["pods/exec"]
    verbs: ["create"]
EOF

เจ†เจ‰ เจ•เจฒเฉฑเจธเจŸเจฐเจฐเฉ‹เจฒ เจฌเจพเจˆเจกเจฟเฉฐเจ— เจฒเจˆ เจ‡เฉฑเจ• เจธเฉฐเจฐเจšเจจเจพ เจฌเจฃเจพเจˆเจ:

cat <<EOF | kubectl create -f -
apiVersion: rbac.authorization.k8s.io/v1beta1
kind: ClusterRoleBinding
metadata:
  name: dex-cluster-auth
  namespace: kube-system
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-read-all
subjects:
  kind: Group
  name: "super-org:team-red"
EOF

เจนเฉเจฃ เจ…เจธเฉ€เจ‚ เจŸเฉˆเจธเจŸเจฟเฉฐเจ— เจฒเจˆ เจคเจฟเจ†เจฐ เจนเจพเจ‚เฅค

เจŸเฉˆเจธเจŸ

เจฒเจพเจ—เจ‡เจจ เจชเฉฐเจจเฉ‡ 'เจคเฉ‡ เจœเจพเจ“ (https://login.k8s.example.com) เจ…เจคเฉ‡ เจ†เจชเจฃเฉ‡ GitHub เจ–เจพเจคเฉ‡ เจฆเฉ€ เจตเจฐเจคเฉ‹เจ‚ เจ•เจฐเจ•เฉ‡ เจฒเฉŒเจ— เจ‡เจจ เจ•เจฐเฉ‹:

GitHub OAuth เจ…เจคเฉ‡ Dex เจฆเฉ€ เจตเจฐเจคเฉ‹เจ‚ เจ•เจฐเจ•เฉ‡ เจ•เฉเจฌเจฐเจจเฉ‡เจŸเจธ เจตเจฟเฉฑเจš เจชเฉเจฐเจฎเจพเจฃเจฟเจค เจ•เจฐเฉ‹
เจฒเฉŒเจ—เจ‡เจจ เจชเฉฐเจจเจพ

GitHub OAuth เจ…เจคเฉ‡ Dex เจฆเฉ€ เจตเจฐเจคเฉ‹เจ‚ เจ•เจฐเจ•เฉ‡ เจ•เฉเจฌเจฐเจจเฉ‡เจŸเจธ เจตเจฟเฉฑเจš เจชเฉเจฐเจฎเจพเจฃเจฟเจค เจ•เจฐเฉ‹
เจฒเฉŒเจ—เจ‡เจจ เจชเฉฐเจจเจพ GitHub 'เจคเฉ‡ เจฐเฉ€เจกเจพเจ‡เจฐเฉˆเจ•เจŸ เจ•เฉ€เจคเจพ เจ—เจฟเจ†

GitHub OAuth เจ…เจคเฉ‡ Dex เจฆเฉ€ เจตเจฐเจคเฉ‹เจ‚ เจ•เจฐเจ•เฉ‡ เจ•เฉเจฌเจฐเจจเฉ‡เจŸเจธ เจตเจฟเฉฑเจš เจชเฉเจฐเจฎเจพเจฃเจฟเจค เจ•เจฐเฉ‹
 เจชเจนเฉเฉฐเจš เจชเฉเจฐเจพเจชเจค เจ•เจฐเจจ เจฒเจˆ เจคเจฟเจ†เจฐ เจ•เฉ€เจคเฉ€เจ†เจ‚ เจนเจฆเจพเจ‡เจคเจพเจ‚ เจฆเฉ€ เจชเจพเจฒเจฃเจพ เจ•เจฐเฉ‹

เจตเฉˆเฉฑเจฌ เจชเฉ‡เจœ เจคเฉ‹เจ‚ เจ•เจพเจชเฉ€-เจชเฉ‡เจธเจŸ เจ•เจฐเจจ เจคเฉ‹เจ‚ เจฌเจพเจ…เจฆ, เจ…เจธเฉ€เจ‚ เจ†เจชเจฃเฉ‡ เจ•เจฒเฉฑเจธเจŸเจฐ เจธเจฐเฉ‹เจคเจพเจ‚ เจฆเจพ เจชเฉเจฐเจฌเฉฐเจงเจจ เจ•เจฐเจจ เจฒเจˆ kubectl เจฆเฉ€ เจตเจฐเจคเฉ‹เจ‚ เจ•เจฐ เจธเจ•เจฆเฉ‡ เจนเจพเจ‚:

kubectl get po
NAME                READY   STATUS    RESTARTS   AGE
mypod               1/1     Running   0          3d

kubectl delete po mypod
Error from server (Forbidden): pods "mypod" is forbidden: User "[email protected]" cannot delete pods in the namespace "default"

เจ…เจคเฉ‡ เจ‡เจน เจ•เฉฐเจฎ เจ•เจฐเจฆเจพ เจนเฉˆ, เจธเจพเจกเฉ€ เจธเฉฐเจธเจฅเจพ เจตเจฟเฉฑเจš เจธเจพเจฐเฉ‡ GitHub เจ‰เจชเจญเฉ‹เจ—เจคเจพ เจธเจฐเฉ‹เจคเจพเจ‚ เจจเฉ‚เฉฐ เจฆเฉ‡เจ– เจธเจ•เจฆเฉ‡ เจนเจจ เจ…เจคเฉ‡ เจชเฉŒเจก เจตเจฟเฉฑเจš เจฒเฉŒเจ—เจ‡เจจ เจ•เจฐ เจธเจ•เจฆเฉ‡ เจนเจจ, เจชเจฐ เจ‰เจนเจจเจพเจ‚ เจ•เฉ‹เจฒ เจ‰เจนเจจเจพเจ‚ เจจเฉ‚เฉฐ เจฌเจฆเจฒเจฃ เจฆเฉ‡ เจ…เจงเจฟเจ•เจพเจฐ เจจเจนเฉ€เจ‚ เจนเจจเฅค

เจธเจฐเฉ‹เจค: www.habr.com

เจ‡เฉฑเจ• เจŸเจฟเฉฑเจชเจฃเฉ€ เจœเฉ‹เฉœเฉ‹