ਅਸੀਂ LDAP ਅਧਿਕਾਰ ਨੂੰ ਕੁਬਰਨੇਟਸ ਨਾਲ ਜੋੜਦੇ ਹਾਂ

ਕੁਬਰਨੇਟਸ ਨੂੰ ਆਪਣੇ LDAP ਸਰਵਰ ਨਾਲ ਕਨੈਕਟ ਕਰਨ ਅਤੇ ਉਪਭੋਗਤਾਵਾਂ ਅਤੇ ਸਮੂਹਾਂ ਦੇ ਆਯਾਤ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰਨ ਲਈ ਤੁਸੀਂ ਕੀਕਲੌਕ ਦੀ ਵਰਤੋਂ ਕਿਵੇਂ ਕਰ ਸਕਦੇ ਹੋ ਇਸ ਬਾਰੇ ਇੱਕ ਛੋਟਾ ਟਿਊਟੋਰਿਅਲ। ਇਹ ਤੁਹਾਨੂੰ ਆਪਣੇ ਉਪਭੋਗਤਾਵਾਂ ਲਈ RBAC ਕੌਂਫਿਗਰ ਕਰਨ ਅਤੇ ਕੁਬਰਨੇਟਸ ਡੈਸ਼ਬੋਰਡ ਅਤੇ ਹੋਰ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨ ਲਈ ਪ੍ਰਮਾਣ-ਪ੍ਰਾਕਸੀ ਦੀ ਵਰਤੋਂ ਕਰਨ ਦੀ ਆਗਿਆ ਦੇਵੇਗਾ ਜੋ ਆਪਣੇ ਆਪ ਨੂੰ ਪ੍ਰਮਾਣਿਤ ਨਹੀਂ ਕਰ ਸਕਦੇ ਹਨ।

ਕੀਕਲੌਕ ਇੰਸਟਾਲੇਸ਼ਨ

ਮੰਨ ਲਓ ਕਿ ਤੁਹਾਡੇ ਕੋਲ ਪਹਿਲਾਂ ਹੀ ਇੱਕ LDAP ਸਰਵਰ ਹੈ। ਇਹ ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ, ਫ੍ਰੀਆਈਪੀਏ, ਓਪਨਐਲਡੀਏਪੀ ਜਾਂ ਹੋਰ ਕੁਝ ਵੀ ਹੋ ਸਕਦਾ ਹੈ। ਜੇਕਰ ਤੁਹਾਡੇ ਕੋਲ LDAP ਸਰਵਰ ਨਹੀਂ ਹੈ, ਤਾਂ ਸਿਧਾਂਤਕ ਤੌਰ 'ਤੇ ਤੁਸੀਂ Keycloak ਇੰਟਰਫੇਸ ਵਿੱਚ ਸਿੱਧੇ ਉਪਭੋਗਤਾ ਬਣਾ ਸਕਦੇ ਹੋ, ਜਾਂ ਜਨਤਕ oidc ਪ੍ਰਦਾਤਾ (Google, Github, Gitlab) ਦੀ ਵਰਤੋਂ ਕਰ ਸਕਦੇ ਹੋ, ਨਤੀਜਾ ਲਗਭਗ ਇੱਕੋ ਜਿਹਾ ਹੋਵੇਗਾ।

ਸਭ ਤੋਂ ਪਹਿਲਾਂ, ਆਓ ਆਪਾਂ ਕੀਕਲੋਕ ਨੂੰ ਸਥਾਪਿਤ ਕਰੀਏ। ਇੰਸਟਾਲੇਸ਼ਨ ਨੂੰ ਵੱਖਰੇ ਤੌਰ 'ਤੇ ਜਾਂ ਸਿੱਧੇ ਕੁਬਰਨੇਟਸ ਕਲੱਸਟਰ ਵਿੱਚ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ। ਇੱਕ ਨਿਯਮ ਦੇ ਤੌਰ 'ਤੇ, ਜੇਕਰ ਤੁਹਾਡੇ ਕੋਲ ਕਈ ਕੁਬਰਨੇਟਸ ਕਲੱਸਟਰ ਹਨ, ਤਾਂ ਇਸਨੂੰ ਵੱਖਰੇ ਤੌਰ 'ਤੇ ਇੰਸਟਾਲ ਕਰਨਾ ਆਸਾਨ ਹੋਵੇਗਾ। ਦੂਜੇ ਪਾਸੇ, ਤੁਸੀਂ ਹਮੇਸ਼ਾਂ ਵਰਤ ਸਕਦੇ ਹੋ ਅਧਿਕਾਰਤ ਹੈਲਮ ਚਾਰਟ ਅਤੇ ਇਸਨੂੰ ਸਿੱਧੇ ਆਪਣੇ ਕਲੱਸਟਰ ਵਿੱਚ ਸਥਾਪਿਤ ਕਰੋ।

ਕੀਕਲੌਕ ਡੇਟਾ ਨੂੰ ਸਟੋਰ ਕਰਨ ਲਈ ਤੁਹਾਨੂੰ ਇੱਕ ਡੇਟਾਬੇਸ ਦੀ ਲੋੜ ਹੋਵੇਗੀ। ਡਿਫਾਲਟ ਹੈ h2 (ਸਾਰਾ ਡੇਟਾ ਸਥਾਨਕ ਤੌਰ 'ਤੇ ਸਟੋਰ ਕੀਤਾ ਜਾਂਦਾ ਹੈ), ਪਰ ਇਸਦੀ ਵਰਤੋਂ ਕਰਨਾ ਵੀ ਸੰਭਵ ਹੈ postgres, mysql ਜ mariadb.
ਜੇਕਰ ਤੁਸੀਂ ਅਜੇ ਵੀ ਕੀਕਲੌਕ ਨੂੰ ਵੱਖਰੇ ਤੌਰ 'ਤੇ ਸਥਾਪਤ ਕਰਨ ਦਾ ਫੈਸਲਾ ਕਰਦੇ ਹੋ, ਤਾਂ ਤੁਹਾਨੂੰ ਇਸ ਵਿੱਚ ਹੋਰ ਵਿਸਤ੍ਰਿਤ ਨਿਰਦੇਸ਼ ਮਿਲਣਗੇ ਅਧਿਕਾਰਤ ਦਸਤਾਵੇਜ਼.

ਫੈਡਰੇਸ਼ਨ ਦੀ ਸਥਾਪਨਾ

ਸਭ ਤੋਂ ਪਹਿਲਾਂ, ਆਓ ਇੱਕ ਨਵਾਂ ਖੇਤਰ ਬਣਾਈਏ। ਖੇਤਰ ਸਾਡੀ ਅਰਜ਼ੀ ਦਾ ਸਥਾਨ ਹੈ. ਹਰੇਕ ਐਪਲੀਕੇਸ਼ਨ ਦਾ ਵੱਖ-ਵੱਖ ਉਪਭੋਗਤਾਵਾਂ ਅਤੇ ਅਧਿਕਾਰ ਸੈਟਿੰਗਾਂ ਨਾਲ ਆਪਣਾ ਖੇਤਰ ਹੋ ਸਕਦਾ ਹੈ। ਮਾਸਟਰ ਰੀਅਲਮ ਦੀ ਵਰਤੋਂ ਕੀਕਲੌਕ ਦੁਆਰਾ ਖੁਦ ਕੀਤੀ ਜਾਂਦੀ ਹੈ ਅਤੇ ਇਸ ਨੂੰ ਕਿਸੇ ਹੋਰ ਚੀਜ਼ ਲਈ ਵਰਤਣਾ ਗਲਤ ਹੈ।

ਇੱਥੇ ਕਲਿੱਕ ਕਰੋ ਖੇਤਰ ਸ਼ਾਮਲ ਕਰੋ

ਚੋਣ
ਮੁੱਲ

ਨਾਮ
kubernetes

ਦਿਖਾਇਆ ਹੋਇਆ ਨਾਮ
Kubernetes

HTML ਡਿਸਪਲੇ ਨਾਮ
<img src="https://kubernetes.io/images/nav_logo.svg" width="400" >

ਕੁਬਰਨੇਟਸ ਮੂਲ ਰੂਪ ਵਿੱਚ ਜਾਂਚ ਕਰਦਾ ਹੈ ਕਿ ਉਪਭੋਗਤਾ ਦੀ ਈਮੇਲ ਦੀ ਪੁਸ਼ਟੀ ਹੋਈ ਹੈ ਜਾਂ ਨਹੀਂ। ਕਿਉਂਕਿ ਅਸੀਂ ਆਪਣੇ ਖੁਦ ਦੇ LDAP ਸਰਵਰ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਾਂ, ਇਹ ਜਾਂਚ ਲਗਭਗ ਹਮੇਸ਼ਾ ਵਾਪਸ ਆਵੇਗੀ false. ਆਓ ਕੁਬਰਨੇਟਸ ਵਿੱਚ ਇਸ ਵਿਕਲਪ ਦੀ ਨੁਮਾਇੰਦਗੀ ਨੂੰ ਅਯੋਗ ਕਰੀਏ:

ਕਲਾਇੰਟ ਸਕੋਪ -> ਈਮੇਲ -> ਮੈਪਰਸ -> ਈਮੇਲ ਦੀ ਪੁਸ਼ਟੀ ਕੀਤੀ ਗਈ (ਮਿਟਾਓ)

ਹੁਣ ਫੈਡਰੇਸ਼ਨ ਦੀ ਸਥਾਪਨਾ ਕਰੀਏ; ਅਜਿਹਾ ਕਰਨ ਲਈ, ਇੱਥੇ ਜਾਓ:

ਉਪਭੋਗਤਾ ਫੈਡਰੇਸ਼ਨ -> ਪ੍ਰਦਾਤਾ ਸ਼ਾਮਲ ਕਰੋ... -> ldap

ਇੱਥੇ FreeIPA ਲਈ ਸੈਟਿੰਗਾਂ ਦੀ ਇੱਕ ਉਦਾਹਰਨ ਹੈ:

ਚੋਣ
ਮੁੱਲ

ਕੰਸੋਲ ਡਿਸਪਲੇ ਨਾਮ
freeipa.example.org

ਵਿਕਰੇਤਾ
Red Hat Directory Server

UUID LDAP ਗੁਣ
ipauniqueid

ਕਨੈਕਸ਼ਨ URL
ldaps://freeipa.example.org

ਉਪਭੋਗਤਾ ਡੀ.ਐਨ
cn=users,cn=accounts,dc=example,dc=org

DN ਬੰਨ੍ਹੋ
uid=keycloak-svc,cn=users,cn=accounts,dc=example,dc=org

ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ ਬੰਨ੍ਹੋ
<password>

Kerberos ਪ੍ਰਮਾਣੀਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿਓ:
on

ਕਰਬੇਰੋਸ ਖੇਤਰ:
EXAMPLE.ORG

ਸਰਵਰ ਪ੍ਰਿੰਸੀਪਲ:
HTTP/[email protected]

ਕੀਟੈਬ:
/etc/krb5.keytab

ਉਪਭੋਗਤਾ keycloak-svc ਸਾਡੇ LDAP ਸਰਵਰ 'ਤੇ ਪਹਿਲਾਂ ਤੋਂ ਹੀ ਬਣਾਉਣ ਦੀ ਲੋੜ ਹੈ।

ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ ਦੇ ਮਾਮਲੇ ਵਿੱਚ, ਤੁਹਾਨੂੰ ਸਿਰਫ਼ ਚੁਣਨ ਦੀ ਲੋੜ ਹੈ ਵਿਕਰੇਤਾ: ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ ਅਤੇ ਲੋੜੀਂਦੀਆਂ ਸੈਟਿੰਗਾਂ ਆਪਣੇ ਆਪ ਫਾਰਮ ਵਿੱਚ ਦਾਖਲ ਹੋ ਜਾਣਗੀਆਂ।

ਇੱਥੇ ਕਲਿੱਕ ਕਰੋ ਸੰਭਾਲੋ

ਹੁਣ ਆਓ ਅੱਗੇ ਵਧੀਏ:

ਉਪਭੋਗਤਾ ਫੈਡਰੇਸ਼ਨ -> freeipa.example.org -> ਮੈਪਰਸ -> ਪਹਿਲਾ ਨਾਂ

ਚੋਣ
ਮੁੱਲ

Ldap ਗੁਣ
givenName

ਹੁਣ ਗਰੁੱਪ ਮੈਪਿੰਗ ਨੂੰ ਸਮਰੱਥ ਕਰੀਏ:

ਉਪਭੋਗਤਾ ਫੈਡਰੇਸ਼ਨ -> freeipa.example.org -> ਮੈਪਰਸ -> ਬਣਾਓ

ਚੋਣ
ਮੁੱਲ

ਨਾਮ
groups

ਮੈਪਰ ਕਿਸਮ
group-ldap-mapper

LDAP ਸਮੂਹ DN
cn=groups,cn=accounts,dc=example,dc=org

ਉਪਭੋਗਤਾ ਸਮੂਹਾਂ ਦੀ ਰਣਨੀਤੀ ਪ੍ਰਾਪਤ ਕਰੋ
GET_GROUPS_FROM_USER_MEMBEROF_ATTRIBUTE

ਹੁਣ ਜਦੋਂ ਕਿ ਫੈਡਰੇਸ਼ਨ ਸੈਟਅਪ ਪੂਰਾ ਹੋ ਗਿਆ ਹੈ, ਆਓ ਕਲਾਇੰਟ ਨੂੰ ਸਥਾਪਤ ਕਰਨ ਲਈ ਅੱਗੇ ਵਧੀਏ।

ਕਲਾਇੰਟ ਸੈੱਟਅੱਪ

ਚਲੋ ਇੱਕ ਨਵਾਂ ਕਲਾਇੰਟ ਬਣਾਉ (ਇੱਕ ਐਪਲੀਕੇਸ਼ਨ ਜੋ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ Keycloak ਤੋਂ ਪ੍ਰਾਪਤ ਕਰੇਗੀ)। ਆਓ ਅੱਗੇ ਵਧੀਏ:

ਗ੍ਰਾਹਕ -> ਬਣਾਓ

ਚੋਣ
ਮੁੱਲ

ਕਲਾਇੰਟ ਆਈਡੀ
kubernetes

ਪਹੁੰਚ ਦੀ ਕਿਸਮ
confidenrial

ਰੂਟ URL
http://kubernetes.example.org/

ਵੈਧ ਰੀਡਾਇਰੈਕਟ URIs
http://kubernetes.example.org/*

ਐਡਮਿਨ URL
http://kubernetes.example.org/

ਆਉ ਸਮੂਹਾਂ ਲਈ ਇੱਕ ਸਕੋਪ ਵੀ ਬਣਾਈਏ:

ਗਾਹਕ ਦਾਇਰੇ -> ਬਣਾਓ

ਚੋਣ
ਮੁੱਲ

ਫਰਮਾ
No template

ਨਾਮ
groups

ਪੂਰਾ ਸਮੂਹ ਮਾਰਗ
false

ਅਤੇ ਉਹਨਾਂ ਲਈ ਇੱਕ ਮੈਪਰ ਸੈਟ ਅਪ ਕਰੋ:

ਗਾਹਕ ਦਾਇਰੇ -> ਗਰੁੱਪ -> ਮੈਪਰਸ -> ਬਣਾਓ

ਚੋਣ
ਮੁੱਲ

ਨਾਮ
groups

ਮੈਪਰ ਦੀ ਕਿਸਮ
Group membership

ਟੋਕਨ ਦਾਅਵੇ ਦਾ ਨਾਮ
groups

ਹੁਣ ਸਾਨੂੰ ਆਪਣੇ ਕਲਾਇੰਟ ਸਕੋਪ ਵਿੱਚ ਮੈਪਿੰਗ ਗਰੁੱਪ ਨੂੰ ਸਮਰੱਥ ਕਰਨ ਦੀ ਲੋੜ ਹੈ:

ਗ੍ਰਾਹਕ -> ਕੁਬਰਨੇਟਸ -> ਗਾਹਕ ਦਾਇਰੇ -> ਡਿਫੌਲਟ ਕਲਾਇੰਟ ਸਕੋਪਸ

ਚੁਣੋ ਗਰੁੱਪ в ਉਪਲਬਧ ਗਾਹਕ ਦਾਇਰੇ, ਪ੍ਰੈਸ ਚੁਣਿਆ ਸ਼ਾਮਲ ਕਰੋ

ਹੁਣ ਸਾਡੀ ਐਪਲੀਕੇਸ਼ਨ ਦੀ ਪ੍ਰਮਾਣਿਕਤਾ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰੀਏ, ਇਸ 'ਤੇ ਜਾਓ:

ਗ੍ਰਾਹਕ -> ਕੁਬਰਨੇਟਸ

ਚੋਣ
ਮੁੱਲ

ਅਧਿਕਾਰ ਸਮਰਥਿਤ
ON

ਚਲੋ ਦਬਾਓ ਨੂੰ ਬਚਾ ਅਤੇ ਇਸ ਨਾਲ ਕਲਾਇੰਟ ਸੈੱਟਅੱਪ ਪੂਰਾ ਹੋ ਗਿਆ ਹੈ, ਹੁਣ ਟੈਬ 'ਤੇ

ਗ੍ਰਾਹਕ -> ਕੁਬਰਨੇਟਸ -> ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ

ਤੁਸੀਂ ਪ੍ਰਾਪਤ ਕਰ ਸਕਦੇ ਹੋ ਰਾਜ਼ ਜਿਸ ਦੀ ਅਸੀਂ ਅੱਗੇ ਵਰਤੋਂ ਕਰਾਂਗੇ।

ਕੁਬਰਨੇਟਸ ਦੀ ਸੰਰਚਨਾ ਕੀਤੀ ਜਾ ਰਹੀ ਹੈ

OIDC ਪ੍ਰਮਾਣਿਕਤਾ ਲਈ ਕੁਬਰਨੇਟਸ ਸਥਾਪਤ ਕਰਨਾ ਕਾਫ਼ੀ ਮਾਮੂਲੀ ਹੈ ਅਤੇ ਬਹੁਤ ਗੁੰਝਲਦਾਰ ਨਹੀਂ ਹੈ। ਤੁਹਾਨੂੰ ਬਸ ਆਪਣੇ OIDC ਸਰਵਰ ਦਾ CA ਸਰਟੀਫਿਕੇਟ ਪਾਉਣ ਦੀ ਲੋੜ ਹੈ /etc/kubernetes/pki/oidc-ca.pem ਅਤੇ kube-apiserver ਲਈ ਲੋੜੀਂਦੇ ਵਿਕਲਪ ਸ਼ਾਮਲ ਕਰੋ।
ਅਜਿਹਾ ਕਰਨ ਲਈ, ਅੱਪਡੇਟ ਕਰੋ /etc/kubernetes/manifests/kube-apiserver.yaml ਤੁਹਾਡੇ ਸਾਰੇ ਮਾਲਕਾਂ 'ਤੇ:

...
spec:
  containers:
  - command:
    - kube-apiserver
...
    - --oidc-ca-file=/etc/kubernetes/pki/oidc-ca.pem
    - --oidc-client-id=kubernetes
    - --oidc-groups-claim=groups
    - --oidc-issuer-url=https://keycloak.example.org/auth/realms/kubernetes
    - --oidc-username-claim=email
...

ਨਾਲ ਹੀ, ਕਲੱਸਟਰ ਵਿੱਚ kubeadm ਸੰਰਚਨਾ ਨੂੰ ਅੱਪਡੇਟ ਕਰੋ ਤਾਂ ਕਿ ਅੱਪਡੇਟ ਕਰਨ ਵੇਲੇ ਇਹਨਾਂ ਸੈਟਿੰਗਾਂ ਨੂੰ ਗੁਆ ਨਾ ਜਾਵੇ:

kubectl edit -n kube-system configmaps kubeadm-config

...
data:
  ClusterConfiguration: |
    apiServer:
      extraArgs:
        oidc-ca-file: /etc/kubernetes/pki/oidc-ca.pem
        oidc-client-id: kubernetes
        oidc-groups-claim: groups
        oidc-issuer-url: https://keycloak.example.org/auth/realms/kubernetes
        oidc-username-claim: email
...

ਇਹ ਕੁਬਰਨੇਟਸ ਸੈੱਟਅੱਪ ਨੂੰ ਪੂਰਾ ਕਰਦਾ ਹੈ। ਤੁਸੀਂ ਇਹਨਾਂ ਕਦਮਾਂ ਨੂੰ ਆਪਣੇ ਸਾਰੇ ਕੁਬਰਨੇਟਸ ਕਲੱਸਟਰਾਂ ਵਿੱਚ ਦੁਹਰਾ ਸਕਦੇ ਹੋ।

ਸ਼ੁਰੂਆਤੀ ਅਧਿਕਾਰ

ਇਹਨਾਂ ਕਦਮਾਂ ਤੋਂ ਬਾਅਦ, ਤੁਹਾਡੇ ਕੋਲ ਪਹਿਲਾਂ ਤੋਂ ਹੀ ਸੰਰਚਿਤ OIDC ਪ੍ਰਮਾਣੀਕਰਨ ਵਾਲਾ ਕੁਬਰਨੇਟਸ ਕਲੱਸਟਰ ਹੋਵੇਗਾ। ਸਿਰਫ ਗੱਲ ਇਹ ਹੈ ਕਿ ਤੁਹਾਡੇ ਉਪਭੋਗਤਾਵਾਂ ਕੋਲ ਅਜੇ ਤੱਕ ਸੰਰਚਿਤ ਕਲਾਇੰਟ ਜਾਂ ਉਹਨਾਂ ਦੀ ਆਪਣੀ kubeconfig ਨਹੀਂ ਹੈ। ਇਸ ਸਮੱਸਿਆ ਨੂੰ ਹੱਲ ਕਰਨ ਲਈ, ਤੁਹਾਨੂੰ ਸਫਲ ਪ੍ਰਮਾਣਿਕਤਾ ਤੋਂ ਬਾਅਦ ਉਪਭੋਗਤਾਵਾਂ ਲਈ kubeconfig ਦੀ ਆਟੋਮੈਟਿਕ ਵੰਡ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰਨ ਦੀ ਲੋੜ ਹੈ।

ਅਜਿਹਾ ਕਰਨ ਲਈ, ਤੁਸੀਂ ਵਿਸ਼ੇਸ਼ ਵੈਬ ਐਪਲੀਕੇਸ਼ਨਾਂ ਦੀ ਵਰਤੋਂ ਕਰ ਸਕਦੇ ਹੋ ਜੋ ਤੁਹਾਨੂੰ ਉਪਭੋਗਤਾ ਨੂੰ ਪ੍ਰਮਾਣਿਤ ਕਰਨ ਅਤੇ ਫਿਰ ਤਿਆਰ-ਕੀਤੀ kubeconfig ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦੇ ਹਨ। ਸਭ ਸੁਵਿਧਾਜਨਕ ਦੇ ਇੱਕ ਹੈ ਕੁਬੇਰੋਸ, ਇਹ ਤੁਹਾਨੂੰ ਇੱਕ ਸੰਰਚਨਾ ਵਿੱਚ ਸਾਰੇ Kubernetes ਕਲੱਸਟਰਾਂ ਦਾ ਵਰਣਨ ਕਰਨ ਅਤੇ ਉਹਨਾਂ ਵਿਚਕਾਰ ਆਸਾਨੀ ਨਾਲ ਸਵਿਚ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦਾ ਹੈ।

ਕੁਬੇਰੋਸ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰਨ ਲਈ, ਸਿਰਫ kubeconfig ਲਈ ਟੈਂਪਲੇਟ ਦਾ ਵਰਣਨ ਕਰੋ ਅਤੇ ਇਸਨੂੰ ਹੇਠਾਂ ਦਿੱਤੇ ਪੈਰਾਮੀਟਰਾਂ ਨਾਲ ਚਲਾਓ:

kuberos https://keycloak.example.org/auth/realms/kubernetes kubernetes /cfg/secret /cfg/template

ਵਧੇਰੇ ਵਿਸਤ੍ਰਿਤ ਜਾਣਕਾਰੀ ਲਈ ਵੇਖੋ ਉਪਯੋਗਤਾ Github 'ਤੇ.

ਇਸਦੀ ਵਰਤੋਂ ਕਰਨਾ ਵੀ ਸੰਭਵ ਹੈ kubelogin ਜੇਕਰ ਤੁਸੀਂ ਸਿੱਧੇ ਉਪਭੋਗਤਾ ਦੇ ਕੰਪਿਊਟਰ 'ਤੇ ਅਧਿਕਾਰਤ ਕਰਨਾ ਚਾਹੁੰਦੇ ਹੋ। ਇਸ ਸਥਿਤੀ ਵਿੱਚ, ਉਪਭੋਗਤਾ ਲੋਕਲਹੋਸਟ 'ਤੇ ਅਧਿਕਾਰਤ ਫਾਰਮ ਦੇ ਨਾਲ ਇੱਕ ਬ੍ਰਾਉਜ਼ਰ ਖੋਲ੍ਹੇਗਾ।

ਨਤੀਜੇ ਵਜੋਂ kubeconfig ਦੀ ਵੈੱਬਸਾਈਟ 'ਤੇ ਜਾਂਚ ਕੀਤੀ ਜਾ ਸਕਦੀ ਹੈ jwt.io. ਬਸ ਮੁੱਲ ਦੀ ਨਕਲ ਕਰੋ users[].user.auth-provider.config.id-token ਤੁਹਾਡੀ kubeconfig ਤੋਂ ਵੈਬਸਾਈਟ 'ਤੇ ਫਾਰਮ ਤੱਕ ਅਤੇ ਤੁਰੰਤ ਇੱਕ ਟ੍ਰਾਂਸਕ੍ਰਿਪਟ ਪ੍ਰਾਪਤ ਕਰੋ।

RBAC ਸੈੱਟਅੱਪ ਕੀਤਾ ਜਾ ਰਿਹਾ ਹੈ

RBAC ਦੀ ਸੰਰਚਨਾ ਕਰਦੇ ਸਮੇਂ, ਤੁਸੀਂ ਦੋਵੇਂ ਉਪਭੋਗਤਾ ਨਾਮ (ਫੀਲਡ name jwt ਟੋਕਨ ਵਿੱਚ), ਅਤੇ ਪ੍ਰਤੀ ਉਪਭੋਗਤਾ ਸਮੂਹ (ਫੀਲਡ groups jwt ਟੋਕਨ ਵਿੱਚ). ਇੱਥੇ ਇੱਕ ਸਮੂਹ ਲਈ ਅਧਿਕਾਰ ਸਥਾਪਤ ਕਰਨ ਦੀ ਇੱਕ ਉਦਾਹਰਣ ਹੈ kubernetes-default-namespace-admins:

kubernetes-default-namespace-admins.yaml

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: default-admins
  namespace: default
rules:
- apiGroups:
  - '*'
  resources:
  - '*'
  verbs:
  - '*'
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: kubernetes-default-namespace-admins
  namespace: default
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: Role
  name: default-admins
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: Group
  name: kubernetes-default-namespace-admins

RBAC ਲਈ ਹੋਰ ਉਦਾਹਰਣਾਂ ਵਿੱਚ ਲੱਭੀਆਂ ਜਾ ਸਕਦੀਆਂ ਹਨ ਅਧਿਕਾਰਤ Kubernetes ਦਸਤਾਵੇਜ਼

ਪ੍ਰਮਾਣ-ਪ੍ਰਾਕਸੀ ਸੈੱਟ ਕਰ ਰਿਹਾ ਹੈ

ਇੱਕ ਸ਼ਾਨਦਾਰ ਪ੍ਰੋਜੈਕਟ ਹੈ keycloak - ਦਰਬਾਨ, ਜੋ ਤੁਹਾਨੂੰ ਉਪਭੋਗਤਾ ਨੂੰ OIDC ਸਰਵਰ ਨੂੰ ਪ੍ਰਮਾਣਿਤ ਕਰਨ ਦੀ ਯੋਗਤਾ ਪ੍ਰਦਾਨ ਕਰਕੇ ਕਿਸੇ ਵੀ ਐਪਲੀਕੇਸ਼ਨ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ। ਮੈਂ ਤੁਹਾਨੂੰ ਦਿਖਾਵਾਂਗਾ ਕਿ ਕੁਬਰਨੇਟਸ ਡੈਸ਼ਬੋਰਡ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਇਸਨੂੰ ਇੱਕ ਉਦਾਹਰਣ ਵਜੋਂ ਕਿਵੇਂ ਕੌਂਫਿਗਰ ਕਰਨਾ ਹੈ:

dashboard-proxy.yaml

apiVersion: extensions/v1beta1
kind: Deployment
metadata:
  name: kubernetes-dashboard-proxy
spec:
  replicas: 1
  template:
    metadata:
      labels:
        app: kubernetes-dashboard-proxy
    spec:
      containers:
      - args:
        - --listen=0.0.0.0:80
        - --discovery-url=https://keycloak.example.org/auth/realms/kubernetes
        - --client-id=kubernetes
        - --client-secret=<your-client-secret-here>
        - --redirection-url=https://kubernetes-dashboard.example.org
        - --enable-refresh-tokens=true
        - --encryption-key=ooTh6Chei1eefooyovai5ohwienuquoh
        - --upstream-url=https://kubernetes-dashboard.kube-system
        - --resources=uri=/*
        image: keycloak/keycloak-gatekeeper
        name: kubernetes-dashboard-proxy
        ports:
        - containerPort: 80
          livenessProbe:
            httpGet:
              path: /oauth/health
              port: 80
            initialDelaySeconds: 3
            timeoutSeconds: 2
          readinessProbe:
            httpGet:
              path: /oauth/health
              port: 80
            initialDelaySeconds: 3
            timeoutSeconds: 2
---
apiVersion: v1
kind: Service
metadata:
  name: kubernetes-dashboard-proxy
spec:
  ports:
  - port: 80
    protocol: TCP
    targetPort: 80
  selector:
    app: kubernetes-dashboard-proxy
  type: ClusterIP

ਸਰੋਤ: www.habr.com