دا مقاله لا دمخه د پراخولو لپاره لیکل شوې
پدې مقاله کې به زه تاسو ته ووایم چې څنګه نصب او تنظیم کړئ:
- کلیکل د خلاصې سرچینې پروژه ده. کوم چې د غوښتنلیکونو لپاره د ننوتلو یو واحد ټکی چمتو کوي. د ډیری پروتوکولونو سره کار کوي، په شمول د LDAP او OpenID چې موږ یې لیوالتیا لرو.
- د کلیمې دروازې ساتونکی - ریورس پراکسي غوښتنلیک چې تاسو ته اجازه درکوي د کیکلوک له لارې واک ادغام کړئ.
- ګنګوی - یو غوښتنلیک چې د kubectl لپاره یو ترتیب رامینځته کوي چې ورسره تاسو کولی شئ د OpenID له لارې د Kubernetes API سره وصل شئ.
په کوبرنیټس کې اجازه څنګه کار کوي.
موږ کولی شو د RBAC په کارولو سره د کارونکي / ډلې حقونه اداره کړو ، پدې اړه لا دمخه د مقالو یوه ډله جوړه شوې ، زه به پدې اړه په تفصیل سره خبرې ونه کړم. ستونزه دا ده چې تاسو کولی شئ RBAC وکاروئ د کاروونکو حقونو محدودولو لپاره ، مګر کوبرنیټس د کاروونکو په اړه هیڅ نه پوهیږي. دا معلومه شوه چې موږ په کوبرنیټس کې د کارونکي تحویلي میکانیزم ته اړتیا لرو. د دې کولو لپاره، موږ به یو چمتو کونکی د Kuberntes OpenID ته اضافه کړو، کوم چې به ووایي چې دا ډول کاروونکي واقعا شتون لري، او پخپله Kubernetes به هغه ته حقونه ورکړي.
د چمتو کولو لپاره
- تاسو به د Kubernetes کلستر یا minikube ته اړتیا ولرئ
- فعال نوملړ
- ډومینونه:
keycloak.example.org
kubernetes-dashboard.example.org
gangway.example.org - د ډومینونو یا ځان لاسلیک شوي سند لپاره سند
زه به په دې اړه فکر ونکړم چې څنګه پخپله لاسلیک شوی سند رامینځته کړم ، تاسو اړتیا لرئ 2 سندونه رامینځته کړئ ، دا د *.example.org ډومین لپاره ریښه (د سند اداره) او وائلډ کارډ پیرودونکی دی
وروسته لدې چې تاسو سندونه ترلاسه کړئ / صادر کړئ ، پیرودونکي باید کوبرنیټس ته اضافه شي ، د دې لپاره موږ د دې لپاره یو راز رامینځته کوو:
kubectl create secret tls tls-keycloak --cert=example.org.crt --key=example.org.pem
بیا، موږ به دا زموږ د انګریس کنټرولر لپاره وکاروو.
Keycloak نصب
ما پریکړه وکړه چې ترټولو اسانه لاره د دې لپاره چمتو شوي حلونه کارول دي، د بیلګې په توګه د هیلم چارټونه.
ذخیره نصب کړئ او تازه یې کړئ:
helm repo add codecentric https://codecentric.github.io/helm-charts
helm repo update
د لاندې منځپانګې سره د keycloak.yml فایل جوړ کړئ:
keycloak.yml
keycloak:
# Имя администратора
username: "test_admin"
# Пароль администратор
password: "admin"
# Эти флаги нужны что бы позволить загружать в Keycloak скрипты прямо через web морду. Это нам
понадобиться что бы починить один баг, о котором ниже.
extraArgs: "-Dkeycloak.profile.feature.script=enabled -Dkeycloak.profile.feature.upload_scripts=enabled"
# Включаем ingress, указываем имя хоста и сертификат который мы предварительно сохранили в secrets
ingress:
enabled: true
path: /
annotations:
kubernetes.io/ingress.class: nginx
ingress.kubernetes.io/affinity: cookie
hosts:
- keycloak.example.org
tls:
- hosts:
- keycloak.example.org
secretName: tls-keycloak
# Keycloak для своей работы требует базу данных, в тестовых целях я разворачиваю Postgresql прямо в Kuberntes, в продакшене так лучше не делать!
persistence:
deployPostgres: true
dbVendor: postgres
postgresql:
postgresUser: keycloak
postgresPassword: ""
postgresDatabase: keycloak
persistence:
enabled: true
د فدراسیون تشکیل
بیا، ویب انٹرفیس ته لاړ شئ
په ښي کونج کې کلیک وکړئ سیمه اضافه کړئ
کلیدي
ارزښت
نوم
کبرنیټس
نوم څرګند کړه
کوبنیټس
د کارونکي بریښنالیک تایید غیر فعال کړئ:
د پیرودونکي سکوپونه —> بریښنالیک —> نقشه کونکي —> بریښنالیک تایید شوی (حذف کول)
موږ د ActiveDirectory څخه د کاروونکو واردولو لپاره فدراسیون جوړ کړ، زه به لاندې سکرین شاټونه پریږدم، زه فکر کوم چې دا به روښانه وي.
د کارونکي فدراسیون -> برابرونکي اضافه کړئ ... -> ldap
د فدراسیون تشکیل
که هرڅه سم وي، نو د تڼۍ فشارولو وروسته ټول کاروونکي همغږي کړئ تاسو به د کاروونکو بریالي وارداتو په اړه یو پیغام وګورئ.
بیا موږ اړتیا لرو خپل ګروپونه نقشه کړو
د کارن فدراسیون --> ldap_localhost --> نقشه --> جوړ کړئ
د نقشه جوړونه
د پیرودونکي تنظیم کول
دا اړینه ده چې یو پیرودونکي رامینځته کړئ ، د کیکلوک په شرایطو کې ، دا یو غوښتنلیک دی چې له هغه څخه به اجازه ورکړل شي. زه به په سکرین شاټ کې مهم ټکي په سور کې روښانه کړم.
پیرودونکي -> جوړ کړئ
د پیرودونکي تنظیم کول
راځئ چې د ډلو لپاره سکوپ جوړ کړو:
د پیرودونکي ساحې -> جوړ کړئ
ساحه جوړه کړئ
او د دوی لپاره نقشه جوړه کړئ:
د مراجعینو ساحه -> ډلې -> نقشه -> جوړ کړئ
نقشه
زموږ د ګروپونو نقشه د ډیفالټ پیرودونکي ساحې ته اضافه کړئ:
پیرودونکي —> kubernetes —> د پیرودونکي ساحه —> د ډیفالټ پیرودونکي ساحې
موږ غوره کوو ډلو в د مراجعینو شتون شتون لريټک غوره شوی اضافه کړئ
موږ راز ترلاسه کوو (او په تار کې یې لیکو) کوم چې موږ به یې په کیکلوک کې د اختیار لپاره وکاروو:
پیرودونکي —> kubernetes —> اسناد —> پټ
دا سیټ اپ بشپړوي، مګر ما یوه تېروتنه درلوده کله چې د بریالي واک ورکولو وروسته، ما یوه تېروتنه 403 ترلاسه کړه.
اصلاح کول:
د پیرودونکي ساحه -> رول -> نقشه کونکي -> جوړ کړئ
نقشه کوونکی
د سکریپټ کوډ
// add current client-id to token audience
token.addAudience(token.getIssuedFor());
// return token issuer as dummy result assigned to iss again
token.getIssuer();
د Kubernetes ترتیب کول
موږ اړتیا لرو چې مشخص کړو چې زموږ د سایټ څخه د روټ سند چیرته دی، او د OIDC چمتو کونکي چیرته موقعیت لري.
د دې کولو لپاره، فایل سم کړئ /etc/kubernetes/manifests/kube-apiserver.yaml
kube-apiserver.yaml
...
spec:
containers:
- command:
- kube-apiserver
...
- --oidc-ca-file=/var/lib/minikube/certs/My_Root.crt
- --oidc-client-id=kubernetes
- --oidc-groups-claim=groups
- --oidc-issuer-url=https://keycloak.example.org/auth/realms/kubernetes
- --oidc-username-claim=email
...
په کلستر کې د kubeadm تشکیل تازه کړئ:
kubeadmconfig
kubectl edit -n kube-system configmaps kubeadm-config
...
data:
ClusterConfiguration: |
apiServer:
extraArgs:
oidc-ca-file: /var/lib/minikube/certs/My_Root.crt
oidc-client-id: kubernetes
oidc-groups-claim: groups
oidc-issuer-url: https://keycloak.example.org/auth/realms/kubernetes
oidc-username-claim: email
...
د مستند پراکسي تنظیم کول
تاسو کولی شئ د خپل ویب غوښتنلیک د ساتنې لپاره د کیلوک دروازې ساتونکي وکاروئ. د دې حقیقت سربیره چې دا ریورس پراکسي به د پاڼې ښودلو دمخه کاروونکي ته اجازه ورکړي، دا به ستاسو په اړه معلومات په سرلیکونو کې پای غوښتنلیک ته هم انتقال کړي. په دې توګه، که ستاسو غوښتنلیک د OpenID ملاتړ کوي، نو کاروونکي سمدلاسه اجازه لري. د Kubernetes ډشبورډ مثال په پام کې ونیسئ
د Kubernetes ډشبورډ نصب کول
helm install stable/kubernetes-dashboard --name dashboard -f values_dashboard.yaml
values_dashboard.yaml
enableInsecureLogin: true
service:
externalPort: 80
rbac:
clusterAdminRole: true
create: true
serviceAccount:
create: true
name: 'dashboard-test'
د لاسرسي حق تنظیمول:
راځئ چې یو ClusterRoleBinding جوړ کړو چې د ډیټا او پی ایس ګروپ کاروونکو لپاره به د کلستر اډمین حقونه (معیاري کلسترول کلستر-اډمین) ورکړي.
kubectl apply -f rbac.yaml
rbac.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
name: dataops_group
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: ClusterRole
name: cluster-admin
subjects:
- apiGroup: rbac.authorization.k8s.io
kind: Group
name: DataOPS
د کیکلوک دروازه ساتونکی نصب کړئ:
helm repo add gabibbo97 https://gabibbo97.github.io/charts/
helm repo update
helm install gabibbo97/keycloak-gatekeeper --version 2.1.0 --name keycloak-gatekeeper -f values_proxy.yaml
values_proxy.yaml
# Включаем ingress
ingress:
enabled: true
annotations:
kubernetes.io/ingress.class: nginx
path: /
hosts:
- kubernetes-dashboard.example.org
tls:
- secretName: tls-keycloak
hosts:
- kubernetes-dashboard.example.org
# Говорим где мы будем авторизовываться у OIDC провайдера
discoveryURL: "https://keycloak.example.org/auth/realms/kubernetes"
# Имя клиента которого мы создали в Keycloak
ClientID: "kubernetes"
# Secret который я просил записать
ClientSecret: "c6ec03b8-d0b8-4cb6-97a0-03becba1d727"
# Куда перенаправить в случае успешной авторизации. Формат <SCHEMA>://<SERVICE_NAME>.><NAMESAPCE>.<CLUSTER_NAME>
upstreamURL: "http://dashboard-kubernetes-dashboard.default.svc.cluster.local"
# Пропускаем проверку сертификата, если у нас самоподписанный
skipOpenidProviderTlsVerify: true
# Настройка прав доступа, пускаем на все path если мы в группе DataOPS
rules:
- "uri=/*|groups=DataOPS"
له هغې وروسته، کله چې تاسو هڅه وکړئ چې لاړ شئ
د ګنګ وی نصب کول
د اسانتیا لپاره، تاسو کولی شئ یو ګینګ وے اضافه کړئ چې د کیوبیک ایل لپاره به د کنفګ فایل رامینځته کړي، د کوم په مرسته به موږ د خپل کارونکي لاندې کوبرنیټس ته ورسیږو.
helm install --name gangway stable/gangway -f values_gangway.yaml
values_gangway.yaml
gangway:
# Произвольное имя кластера
clusterName: "my-k8s"
# Где у нас OIDC провайдер
authorizeURL: "https://keycloak.example.org/auth/realms/kubernetes/protocol/openid-connect/auth"
tokenURL: "https://keycloak.example.org/auth/realms/kubernetes/protocol/openid-connect/token"
audience: "https://keycloak.example.org/auth/realms/kubernetes/protocol/openid-connect/userinfo"
# Теоритически сюда можно добавить groups которые мы замапили
scopes: ["openid", "profile", "email", "offline_access"]
redirectURL: "https://gangway.example.org/callback"
# Имя клиента
clientID: "kubernetes"
# Секрет
clientSecret: "c6ec03b8-d0b8-4cb6-97a0-03becba1d727"
# Если оставить дефолтное значние, то за имя пользователя будет братья <b>Frist name</b> <b>Second name</b>, а при "sub" его логин
usernameClaim: "sub"
# Доменное имя или IP адресс API сервера
apiServerURL: "https://192.168.99.111:8443"
# Включаем Ingress
ingress:
enabled: true
annotations:
kubernetes.io/ingress.class: nginx
nginx.ingress.kubernetes.io/proxy-buffer-size: "64k"
path: /
hosts:
- gangway.example.org
tls:
- secretName: tls-keycloak
hosts:
- gangway.example.org
# Если используем самоподписанный сертификат, то его(открытый корневой сертификат) надо указать.
trustedCACert: |-
-----BEGIN CERTIFICATE-----
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
-----END CERTIFICATE-----
داسې ښکاري. تاسو ته اجازه درکوي سمدلاسه د تشکیل فایل ډاونلوډ کړئ او د کمانډونو سیټ په کارولو سره یې رامینځته کړئ:
سرچینه: www.habr.com