הקדמה צו Hashicorp Consul's Kubernetes Authorization

אַז ס רעכט, נאָך מעלדונג האַשיקאָרפּ קאָנסול 1.5.0 אין די אָנהייב פון מאי 2019, אין קאָנסול איר קענען דערלויבן אַפּלאַקיישאַנז און באַדינונגס וואָס זענען געבוירן אין Kubernetes.

אין דעם טוטאָריאַל מיר וועלן שאַפֿן שריט דורך שריט POC (דערווייַז פון באַגריף, PoC) דעמאַנסטרייטינג דעם נייַע שטריך. איר זענט דערוואַרט צו האָבן יקערדיק וויסן פון Kubernetes און Hashicorp ס קאָנסול. בשעת איר קענען נוצן קיין וואָלקן פּלאַטפאָרמע אָדער אויף-לאָקאַל סוויווע, אין דעם טוטאָריאַל מיר וועלן נוצן Google ס קלאָוד פּלאַטפאָרם.

אָפּשאַצונג

אויב מיר גיין צו באַראַטנ זיך דאַקיומענטיישאַן וועגן זייַן דערלויבעניש אופֿן, מיר וועט באַקומען אַ שנעל איבערבליק פון זייַן ציל און נוצן פאַל, ווי געזונט ווי עטלעכע טעכניש דעטאַילס און אַ גענעראַל איבערבליק פון די לאָגיק. איך העכסט רעקאָמענדירן לייענען עס בייַ מינדסטער אַמאָל איידער פּראַסידינג, ווי איך וועט איצט דערקלערן און טשוינג אויף עס אַלע.

דיאַגראַמע 1: אַפישאַל איבערבליק פון די קאָנסול דערלויבעניש אופֿן

לאָמיר אַרײַנקוקן דאַקיומענטיישאַן פֿאַר אַ ספּעציפיש Kubernetes דערלויבעניש אופֿן.

זיכער, עס איז נוציק אינפֿאָרמאַציע דאָרט, אָבער עס איז קיין וועגווייַזער ווי צו נוצן עס אַלע. אַזוי, ווי יעדער באַזאָרגט מענטש, איר ויספאָרשן די אינטערנעט פֿאַר גיידאַנס. און דעמאָלט ... איר פאַרלאָזן. עס געשעהט. זאל ס פאַרריכטן דעם.

איידער מיר פאָרזעצן צו שאַפֿן אונדזער POC, לאָזן אונדז גיין צוריק צו די איבערבליק פון קאָנסול ס דערלויבעניש מעטהאָדס (דיאַגראַמע 1) און ראַפינירן עס אין דעם קאָנטעקסט פון Kubernetes.

אַרקאַטעקטשער

אין דעם טוטאָריאַל, מיר וועלן שאַפֿן אַ קאָנסול סערווער אויף אַ באַזונדער מאַשין וואָס וועט יבערגעבן מיט אַ Kubernetes קנויל מיט די קאָנסול קליענט אינסטאַלירן. דערנאָך, מיר וועלן שאַפֿן אונדזער באָק אַפּלאַקיישאַן אין די פּאָד און נוצן אונדזער קאַנפיגיערד דערלויבעניש אופֿן צו לייענען פֿון אונדזער קאַנסאַל שליסל / ווערט קראָם.

די דיאַגראַמע אונטן דעטאַילס די אַרקאַטעקטשער וואָס מיר שאַפֿן אין דעם טוטאָריאַל, ווי געזונט ווי די לאָגיק הינטער די דערלויבעניש אופֿן, וואָס וועט זיין דערקלערט שפּעטער.

דיאַגראַמע 2: Kubernetes Authorization Method איבערבליק

א שנעל טאָן: דער קאָנסול סערווער דאַרף נישט לעבן אַרויס פון די Kubernetes קנויל פֿאַר דעם צו אַרבעטן. אָבער יאָ, ער קען דאָס טאָן אַזוי און אַז.

אַזוי, אויב איר נעמען די קאָנסול איבערבליק דיאַגראַמע (דיאַגראַמע 1) און אַפּלייינג קובערנעטעס, מיר באַקומען די דיאַגראַמע אויבן (דיאַגראַמע 2), און די לאָגיק דאָ איז ווי גייט:

1. יעדער פּאָד וועט האָבן אַ סערוויס חשבון אַטאַטשט צו אים מיט אַ JWT טאָקען דזשענערייטאַד און באַוווסט דורך Kubernetes. דעם סימען איז אויך ינסערטאַד אין די פּאָד דורך פעליקייַט.
2. אונדזער אַפּלאַקיישאַן אָדער סערוויס אין די פּאָד ינישיאַץ אַ לאָגין באַפֿעל צו אונדזער קאָנסול קליענט. די לאָגין בעטן וועט אויך אַרייַננעמען אונדזער סימען און נאָמען ספּעציעל באשאפן דערלויבעניש אופֿן (Kubernetes טיפּ). דער שריט #2 קאָראַספּאַנדז צו שריט 1 פון די קאָנסול דיאַגראַמע (סקימע 1).
3. אונדזער קאָנסול קליענט וועט דערנאָך פאָרלייגן דעם בקשה צו אונדזער קאָנסול סערווער.
4. מאַגיש! דאָס איז ווו דער קאָנסול סערווער וועראַפייז די אָטאַנטיסיטי פון די בעטן, קאַלעקץ אינפֿאָרמאַציע וועגן די אידענטיטעט פון די בעטן און קאַמפּערז עס מיט קיין פארבונדן פּרידיפיינד כּללים. ונטער איז אן אנדער דיאַגראַמע צו אילוסטרירן דעם. דער שריט קאָראַספּאַנדז צו סטעפּס 3, 4 און 5 פון די קאַנסאַל איבערבליק דיאַגראַמע (דיאַגראַמע 1).
5. אונדזער קאָנסול סערווער דזשענערייץ אַ קאָנסול סימען מיט פּערמישאַנז לויט אונדזער ספּעסיפיעד דערלויבעניש מעטהאָדס (וואָס מיר האָבן דיפיינד) וועגן די אידענטיטעט פון די ריקוועסט. עס וועט דעריבער שיקן דעם סימען צוריק. דאָס קאָראַספּאַנדז צו שריט 6 פון די קאָנסול דיאַגראַמע (דיאַגראַמע 1).
6. אונדזער קאָנסול קליענט פאָרווערדז די סימען צו די ריקוועסטינג אַפּלאַקיישאַן אָדער דינסט.

אונדזער אַפּלאַקיישאַן אָדער סערוויס קענען איצט נוצן דעם קאָנסול סימען צו יבערגעבן מיט אונדזער קאָנסול דאַטן, ווי באשלאסן דורך די פּריווילאַדזשאַז פון די סימען.

די מאַגיש איז גילוי!

פאר די פון אייך וואס זענען נישט צופרידן מיט סתם א קיניגל ארויס פון א הוט און ווילן וויסן וויאזוי עס ארבעט... לאמיר דיר "ווייזן ווי טיף קיניגל לאָך'.

ווי דערמאנט פריער, אונדזער "מאַגיש" שריט (פיגורע 2: סטעפּ 4) איז ווו דער קאָנסול סערווער אָטענטאַקייץ די בעטן, קאַלעקץ אינפֿאָרמאַציע וועגן די בעטן און קאַמפּערז עס צו קיין פארבונדן פּרידיפיינד כּללים. דער שריט קאָראַספּאַנדז צו סטעפּס 3, 4 און 5 פון די קאַנסאַל איבערבליק דיאַגראַמע (דיאַגראַמע 1). ונטער איז אַ דיאַגראַמע (דיאַגראַמע 3), דער ציל פון וואָס איז צו קלאר ווייַזן וואָס איז פאקטיש געשעעניש אונטער די קאַפּטער ספּעציפיש Kubernetes דערלויבעניש אופֿן.

דיאַגראַמע 3: די מאַגיש איז גילוי!

1. ווי אַ סטאַרטינג פונט, אונדזער קאָנסול קליענט פאָרווערדז די לאָגין בעטן צו אונדזער קאָנסול סערווער מיט די Kubernetes חשבון סימען און ספּעציפיש בייַשפּיל נאָמען פון די דערלויבעניש אופֿן וואָס איז געווען באשאפן פריער. דער שריט קאָראַספּאַנדז צו שריט 3 אין די פריערדיקע קרייַז דערקלערונג.
2. איצט דער קאָנסול סערווער (אָדער פירער) דאַרף צו באַשטעטיקן די אָטאַנטיסיטי פון די באקומען סימען. דעריבער, עס וועט באַראַטנ זיך די Kubernetes קנויל (דורך די קאָנסול קליענט) און, מיט די צונעמען פּערמישאַנז, מיר וועלן געפֿינען אויס צי דער סימען איז עכט און צו וועמען עס געהערט.
3. די וואַלאַדייטאַד בעטן איז דאַן אומגעקערט צו דער קאָנסול פירער, און דער קאָנסול סערווער קוקט אַרויף די דערלויבעניש מעטאָד בייַשפּיל מיט די ספּעסיפיעד נאָמען פֿון די לאָגין בעטן (און Kubernetes טיפּ).
4. דער קאָנסול פירער יידענאַפייד די ספּעסיפיעד דערלויבעניש מעטאָד בייַשפּיל (אויב געפונען) און לייענט די גאַנג פון ביינדינג כּללים וואָס זענען אַטאַטשט צו עס. דערנאָך לייענט די כּללים און קאַמפּערז זיי צו די וועראַפייד אידענטיטעט אַטריביוץ.
5. טאַקע! זאל ס מאַך אויף צו שריט 5 אין די פריערדיקע קרייַז דערקלערונג.

לויפן קאָנסול-סערווער אויף אַ רעגולער ווירטואַל מאַשין

פֿון איצט אויף, איך וועט מערסטנס געבן ינסטראַקשאַנז אויף ווי צו שאַפֿן דעם POC, אָפט אין קויל ווייזט, אָן פול זאַץ דערקלערונגען. אויך, ווי שוין פריער, איך וועל נוצן GCP צו שאַפֿן אַלע די ינפראַסטראַקטשער, אָבער איר קענען מאַכן די זעלבע ינפראַסטראַקטשער ערגעץ אַנדערש.

• אָנהייב די ווירטואַל מאַשין (למשל / סערווער).

• שאַפֿן אַ הערשן פֿאַר די פיירוואַל (זיכערהייט גרופּע אין AWS):
• איך ווי צו באַשטימען די זעלבע מאַשין נאָמען צו ביידע די הערשן און די נעץ קוויטל, אין דעם פאַל "skywiz-consul-server-poc".
• געפֿינען די IP אַדרעס פון דיין היגע קאָמפּיוטער און לייגן עס צו דער רשימה פון מקור IP אַדרעסעס אַזוי מיר קענען אַקסעס די באַניצער צובינד (UI).
• עפֿענען פּאָרט 8500 פֿאַר וי. דריקט שאַפֿן. מיר וועלן טוישן דעם פיירוואַל ווידער באַלד [רונג].
• לייג אַ פיירוואַל הערשן צו דעם בייַשפּיל. גיין צוריק צו די VM דאַשבאָרד אויף קאָנסול סערווירער און לייגן "skywiz-consul-server-poc" צו די נעץ טאַגס פעלד. דריקט היט.

• ינסטאַלירן קאָנסול אויף אַ ווירטואַל מאַשין, טשעק דאָ. געדענקט אַז איר דאַרפֿן קאָנסול ווערסיע ≥ 1.5 [לינק]
• זאל ס מאַכן אַ איין נאָדע קאָנסול - די קאַנפיגיעריישאַן איז ווי גייט.

groupadd --system consul
useradd -s /sbin/nologin --system -g consul consul
mkdir -p /var/lib/consul
chown -R consul:consul /var/lib/consul
chmod -R 775 /var/lib/consul
mkdir /etc/consul.d
chown -R consul:consul /etc/consul.d

• פֿאַר אַ מער דיטיילד וועגווייַזער פֿאַר ינסטאָלינג קאָנסול און באַשטעטיקן אַ קנויל פון 3 נאָודז, זען דאָ.
• שאַפֿן אַ טעקע /etc/consul.d/agent.json ווי גייט [רונג]:

### /etc/consul.d/agent.json
{
 "acl" : {
 "enabled": true,
 "default_policy": "deny",
 "enable_token_persistence": true
 }
}

• אָנהייב אונדזער קאָנסול סערווער:

consul agent 
-server 
-ui 
-client 0.0.0.0 
-data-dir=/var/lib/consul 
-bootstrap-expect=1 
-config-dir=/etc/consul.d

• איר זאָל זען אַ בינטל פון רעזולטאַט און ענדיקן מיט "... דערהייַנטיקן אפגעשטעלט דורך אַקלס."
• געפֿינען די פונדרויסנדיק IP אַדרעס פון די קאָנסול סערווער און עפענען אַ בלעטערער מיט דעם IP אַדרעס אויף פּאָרט 8500. מאַכן זיכער אַז די וי אָפּענס.
• פּרוּווט צו לייגן אַ שליסל / ווערט פּאָר. עס מוז זיין א טעות. דאָס איז ווייַל מיר לאָודיד די קאָנסול סערווער מיט אַ אַקל און פאַרקריפּלט אַלע כּללים.
• גיין צוריק צו דיין שאָל אויף די קאָנסול סערווער און אָנהייבן דעם פּראָצעס אין דער הינטערגרונט אָדער עטלעכע אנדערע וועג צו לויפן עס און אַרייַן די פאלגענדע:

consul acl bootstrap

• געפֿינען די "SecretID" ווערט און צוריקקומען צו די וי. אין די אַקל קוויטל, אַרייַן די סוד שייַן פון די סימען איר נאָר קאַפּיד. קאָפּי SecretID ערגעץ אַנדערש, מיר וועלן דאַרפֿן עס שפּעטער.
• איצט לייגן אַ שליסל / ווערט פּאָר. פֿאַר דעם POC, לייגן די פאלגענדע: שליסל: "custom-ns/test_key", ווערט: "איך בין אין די Custom-ns טעקע!"

לאָנטשינג אַ Kubernetes קנויל פֿאַר אונדזער אַפּלאַקיישאַן מיט די קאָנסול קליענט ווי אַ דאַעמאָנסעט

• שאַפֿן אַ K8s (Kubernetes) קנויל. מיר וועלן מאַכן עס אין דער זעלביקער זאָנע ווי די סערווער פֿאַר פאַסטער אַקסעס, און אַזוי מיר קענען נוצן די זעלבע סובנעט צו לייכט פאַרבינדן מיט ינערלעך IP אַדרעסעס. מיר וועלן רופן עס "סקיוויז-אַפּ-מיט-קאַנסול-קליענט-פּאָק".

• ווי אַ זייַט טאָן, דאָ איז אַ גוט טוטאָריאַל וואָס איך געפֿונען ווען איך שטעלן אַרויף אַ POC קאָנסול קנויל מיט Consul Connect.
• מיר וועלן אויך נוצן Hashicorp העלם טשאַרט מיט אַן עקסטענדעד וואַלועס טעקע.
• ינסטאַלירן און קאַנפיגיער העלם. קאָנפיגוראַטיאָן סטעפּס:

kubectl create serviceaccount tiller --namespace kube-system
kubectl create clusterrolebinding tiller-admin-binding 
   --clusterrole=cluster-admin --serviceaccount=kube-system:tiller
./helm init --service-account=tiller
./helm update

• העלם טשאַרט: https://www.consul.io/docs/platform/k8s/helm.html
• ניצן די פאלגענדע ווערט טעקע (טאָן איך האָבן פאַרקריפּלט רובֿ):

### poc-helm-consul-values.yaml
global:
 enabled: false
 image: "consul:latest"
# Expose the Consul UI through this LoadBalancer
ui:
 enabled: false
# Allow Consul to inject the Connect proxy into Kubernetes containers
connectInject:
 enabled: false
# Configure a Consul client on Kubernetes nodes. GRPC listener is required for Connect.
client:
 enabled: true
 join: ["<PRIVATE_IP_CONSUL_SERVER>"]
 extraConfig: |
{
  "acl" : {
 "enabled": true,   
 "default_policy": "deny",   
 "enable_token_persistence": true 
  }
}
# Minimal Consul configuration. Not suitable for production.
server:
 enabled: false
# Sync Kubernetes and Consul services
syncCatalog:
 enabled: false

• צולייגן העלם טשאַרט:

./helm install -f poc-helm-consul-values.yaml ./consul-helm - name skywiz-app-with-consul-client-poc

• ווען עס פרוווט צו לויפן, עס וועט דאַרפֿן פּערמישאַנז פֿאַר די קאָנסול סערווער, אַזוי לאָזן אונדז לייגן זיי.
• באַמערקונג די "פּאָד אַדרעס ראַנגע" ליגן אויף די קנויל דאַשבאָרד און אָפּשיקן צוריק צו אונדזער "skywiz-consul-server-poc" פיירוואַל הערשן.
• לייג די אַדרעס קייט פֿאַר די פּאָד צו דער רשימה פון IP אַדרעסעס און עפענען פּאָרץ 8301 און 8300.

• גיין צו די קאָנסול וי און נאָך אַ ביסל מינוט איר וועט זען אונדזער קנויל אין די נאָודז קוויטל.

קאַנפיגיער אַ אַוטהאָריזאַטיאָן מעטאַד דורך ינטאַגרייטינג קאָנסול מיט Kubernetes

• צוריקקומען צו די קאָנסול סערווער שאָל און אַרויספירן די סימען איר געראטעוועט פריער:

export CONSUL_HTTP_TOKEN=<SecretID>

• מיר וועלן דאַרפֿן אינפֿאָרמאַציע פון ​​אונדזער Kubernetes קנויל צו שאַפֿן אַ בייַשפּיל פון די אַוטה אופֿן:
• kubernetes-host

kubectl get endpoints | grep kubernetes

• kubernetes-service-account-jwt

kubectl get sa <helm_deployment_name>-consul-client -o yaml | grep "- name:"
kubectl get secret <secret_name_from_prev_command> -o yaml | grep token:

• די סימען איז בייסע64 ענקאָודיד, אַזוי דעקריפּט עס מיט דיין באַליבסטע געצייַג [רונג]
• kubernetes-ca-cert

kubectl get secret <secret_name_from_prev_command> -o yaml | grep ca.crt:

• נעמען די "ca.crt" באַווייַזן (נאָך באַזע 64 דיקאָודינג) און שרייַבן עס אין די "ca.crt" טעקע.
• איצט ינסטאַנטייט די אַוטהאָרץ אופֿן, ריפּלייסינג די פּלאַסכאָולדערז מיט די וואַלועס איר נאָר באקומען.

consul acl auth-method create 
-type "kubernetes" 
-name "auth-method-skywiz-consul-poc" 
-description "This is an auth method using kubernetes for the cluster skywiz-app-with-consul-client-poc" 
-kubernetes-host "<k8s_endpoint_retrieved earlier>" 
[email protected] 
-kubernetes-service-account-
jwt="<decoded_token_retrieved_earlier>"

• ווייַטער מיר דאַרפֿן צו שאַפֿן אַ הערשן און צוטשעפּען עס צו די נייַע ראָלע. פֿאַר דעם טייל איר קענען נוצן Consul UI, אָבער מיר וועלן נוצן די באַפֿעלן שורה.
• שרייב א כלל

### kv-custom-ns-policy.hcl
key_prefix "custom-ns/" {
 policy = "write"
}

• צולייגן די הערשן

consul acl policy create 
-name kv-custom-ns-policy 
-description "This is an example policy for kv at custom-ns/" 
-rules @kv-custom-ns-policy.hcl

• געפֿינען די שייַן פון די הערשן איר נאָר באשאפן פֿון דער רעזולטאַט.
• שאַפֿן אַ ראָלע מיט אַ נייַע הערשן.

consul acl role create 
-name "custom-ns-role" 
-description "This is an example role for custom-ns namespace" 
-policy-id <policy_id>

• איצט מיר וועלן פֿאַרבונדן אונדזער נייַע ראָלע מיט די אַוטה אופֿן. באַמערקונג אַז די "סעלעקטאָר" פאָן באשלאסן צי אונדזער לאָגין בעטן וועט באַקומען דעם ראָלע. קוק דאָ פֿאַר אנדערע סעלעקטאָר אָפּציעס: https://www.consul.io/docs/acl/auth-methods/kubernetes.html#trusted-identity-attributes

consul acl binding-rule create 
-method=auth-method-skywiz-consul-poc 
-bind-type=role 
-bind-name='custom-ns-role' 
-selector='serviceaccount.namespace=="custom-ns"'

לעסאָף קאַנפיגיעריישאַנז

אַקסעס רעכט

• שאַפֿן אַקסעס רעכט. מיר דאַרפֿן צו געבן קאָנסול דערלויבעניש צו באַשטעטיקן און ידענטיפיצירן די אידענטיטעט פון די K8s סערוויס חשבון סימען.
• שרייב די פאלגענדע צו דער טעקע [לינק]:

###skywiz-poc-consul-server_rbac.yaml
---
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
 name: review-tokens
 namespace: default
subjects:
- kind: ServiceAccount
 name: skywiz-app-with-consul-client-poc-consul-client
 namespace: default
roleRef:
 kind: ClusterRole
 name: system:auth-delegator
 apiGroup: rbac.authorization.k8s.io
---
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
 name: service-account-getter
 namespace: default
rules:
- apiGroups: [""]
 resources: ["serviceaccounts"]
 verbs: ["get"]
---
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
 name: get-service-accounts
 namespace: default
subjects:
- kind: ServiceAccount
 name: skywiz-app-with-consul-client-poc-consul-client
 namespace: default
roleRef:
 kind: ClusterRole
 name: service-account-getter
 apiGroup: rbac.authorization.k8s.io

• זאל ס מאַכן אַקסעס רעכט

kubectl create -f skywiz-poc-consul-server_rbac.yaml

קאַנעקטינג צו קאָנסול קליענט

• ווי שוין דערמאנט דאָעס זענען עטלעכע אָפּציעס פֿאַר קאַנעקטינג צו דאַעמאָנסעט, אָבער מיר וועלן גיין צו די פאלגענדע פּשוט לייזונג:
• צולייגן די פאלגענדע טעקע [רונג].

### poc-consul-client-ds-svc.yaml
apiVersion: v1
kind: Service
metadata:
 name: consul-ds-client
spec:
 selector:
   app: consul
   chart: consul-helm
   component: client
   hasDNS: "true"
   release: skywiz-app-with-consul-client-poc
 ports:
 - protocol: TCP
   port: 80
   targetPort: 8500

• דערנאָך נוצן די פאלגענדע געבויט-אין באַפֿעל צו שאַפֿן אַ קאָנפיגמאַפּ [רונג]. ביטע טאָן אַז מיר ריפערינג צו די נאָמען פון אונדזער דינסט, פאַרבייַטן עס אויב נייטיק.

cat <<EOF | kubectl apply -f -
apiVersion: v1
kind: ConfigMap
metadata:
 labels:
   addonmanager.kubernetes.io/mode: EnsureExists
 name: kube-dns
 namespace: kube-system
data:
 stubDomains: |
   {"consul": ["$(kubectl get svc consul-ds-client -o jsonpath='{.spec.clusterIP}')"]}
EOF

טעסטינג די אַוטהאָריטי אופֿן

איצט לאָזן ס זען די מאַגיש אין קאַמף!

• שאַפֿן עטלעכע מער שליסל פאָלדערס מיט דער זעלביקער שפּיץ-מדרגה שליסל (י.ע. / sample_key) און אַ ווערט פון דיין ברירה. שאַפֿן צונעמען פּאַלאַסיז און ראָלעס פֿאַר נייַע שליסל פּאַטס. מיר וועלן מאַכן די ביינדינגז שפּעטער.

מנהג נאַמעספּאַסע פּרובירן:

• לאָמיר שאַפֿן אונדזער אייגענע נאָמען:

kubectl create namespace custom-ns

• לאָמיר שאַפֿן אַ פּאָד אין אונדזער נייַ נאָמען פּלאַץ. שרייב די קאַנפיגיעריישאַן פֿאַר די פּאָד.

###poc-ubuntu-custom-ns.yaml
apiVersion: v1
kind: Pod
metadata:
 name: poc-ubuntu-custom-ns
 namespace: custom-ns
spec:
 containers:
 - name: poc-ubuntu-custom-ns
   image: ubuntu
   command: ["/bin/bash", "-ec", "sleep infinity"]
 restartPolicy: Never

• שאַפֿן אונטער:

kubectl create -f poc-ubuntu-custom-ns.yaml

• אַמאָל דער קאַנטיינער איז פליסנדיק, גיין דאָרט און ינסטאַלירן קערל.

kubectl exec poc-ubuntu-custom-ns -n custom-ns -it /bin/bash
apt-get update && apt-get install curl -y

• איצט מיר וועלן שיקן אַ לאָגין בעטן צו קאָנסול ניצן די דערלויבעניש אופֿן מיר באשאפן פריער [רונג].
• צו זען די אַרייַנגעשיקט טאָקען פֿון דיין סערוויס חשבון:

cat /run/secrets/kubernetes.io/serviceaccount/token

• שרייב די פאלגענדע צו אַ טעקע אין דעם קאַנטיינער:

### payload.json
{
 "AuthMethod": "auth-method-test",
 "BearerToken": "<jwt_token>"
}

• צייכן אריין!

curl 
--request POST 
--data @payload.json 
consul-ds-client.default.svc.cluster.local/v1/acl/login

• צו פאַרענדיקן די אויבן סטעפּס אין איין שורה (זינט מיר וועלן לויפן קייפל טעסץ), איר קענען טאָן די פאלגענדע:

echo "{ 
"AuthMethod": "auth-method-skywiz-consul-poc", 
"BearerToken": "$(cat /run/secrets/kubernetes.io/serviceaccount/token)" 
}" 
| curl 
--request POST 
--data @- 
consul-ds-client.default.svc.cluster.local/v1/acl/login

• אַרבעט! אין מינדסטער עס זאָל. איצט נעמען די SecretID און פּרובירן צו אַקסעס די שליסל / ווערט וואָס מיר זאָל האָבן אַקסעס צו.

curl 
consul-ds-client.default.svc.cluster.local/v1/kv/custom-ns/test_key --header “X-Consul-Token: <SecretID_from_prev_response>”

• איר קענען בייסע64 דעקאָדע "ווערט" און זען אַז עס גלייַכן די ווערט אין Custom-ns/test_key אין די וי. אויב איר געוויינט די זעלבע ווערט אויבן אין דעם טוטאָריאַל, דיין ענקאָודיד ווערט וואָלט זיין IkknbSBpbiB0aGUgY3VzdG9tLW5zIGZvbGRlciEi.

באַניצער סערוויס אַקאַונט פּרובירן:

• שאַפֿן אַ מנהג סערוויס אַקאַונט ניצן די פאלגענדע באַפֿעל [רונג].

kubectl apply -f - <<EOF
apiVersion: v1
kind: ServiceAccount
metadata:
 name: custom-sa
EOF

• שאַפֿן אַ נייַע קאַנפיגיעריישאַן טעקע פֿאַר די פּאָד. ביטע טאָן אַז איך ינקלודעד קערל ינסטאַלירונג צו שפּאָרן אַרבעט :)

###poc-ubuntu-custom-sa.yaml
apiVersion: v1
kind: Pod
metadata:
 name: poc-ubuntu-custom-sa
 namespace: default
spec:
 serviceAccountName: custom-sa
 containers:
 - name: poc-ubuntu-custom-sa
   image: ubuntu
   command: ["/bin/bash","-ec"]
   args: ["apt-get update && apt-get install curl -y; sleep infinity"]
 restartPolicy: Never

• נאָך דעם, לויפן אַ שאָל אין דעם קאַנטיינער.

kubectl exec -it poc-ubuntu-custom-sa /bin/bash

• צייכן אריין!

echo "{ 
"AuthMethod": "auth-method-skywiz-consul-poc", 
"BearerToken": "$(cat /run/secrets/kubernetes.io/serviceaccount/token)" 
}" 
| curl 
--request POST 
--data @- 
consul-ds-client.default.svc.cluster.local/v1/acl/login

• ערלויבעניש צוריקגעוויזן. אָה, מיר פארגעסן צו לייגן אַ נייַע כּללים בינדינג מיט די צונעמען פּערמישאַנז, לאָזן אונדז טאָן דאָס איצט.

איבערחזרן די פריערדיקע סטעפּס אויבן:
אַ) שאַפֿן אַן יידעניקאַל פּאָליטיק פֿאַר די פּרעפיקס "קאַסטאַם-סאַ/".
ב) שאַפֿן אַ ראָלע, רופן עס "קאַסטאַם-סאַ-ראָלע"
c) צוטשעפּען די פּאָליטיק צו די ראָלע.

• שאַפֿן אַ הערשן-ביינדינג (בלויז מעגלעך פֿון קלי / אַפּי). באַמערקונג די פאַרשידענע טייַטש פון די סעלעקטאָר פאָן.

consul acl binding-rule create 
-method=auth-method-skywiz-consul-poc 
-bind-type=role 
-bind-name='custom-sa-role' 
-selector='serviceaccount.name=="custom-sa"'

• לאָגין ווידער פֿון די "poc-ubuntu-custom-sa" קאַנטיינער. הצלחה!
• קוק אין אונדזער אַקסעס צו די קאַסטאַם-סאַ / שליסל דרך.

curl 
consul-ds-client.default.svc.cluster.local/v1/kv/custom-sa/test_key --header “X-Consul-Token: <SecretID>”

• איר קענט אויך פאַרזיכערן אַז דעם סימען טוט נישט געבן אַקסעס צו קוו אין "קאַסטאַם-נס/". נאָר איבערחזרן די אויבן באַפֿעל נאָך ריפּלייסינג "קאַסטאַם-סאַ" מיט די פּרעפיקס "קאַסטאַם-נס".
  ערלויבעניש צוריקגעוויזן.

ביישפּיל פון אָוווערליי:

• עס איז כדאי צו באמערקן אַז אַלע הערשן-ביינדינג מאַפּינגס וועט זיין מוסיף צו די סימען מיט די רעכט.
• אונדזער קאַנטיינער "poc-ubuntu-custom-sa" איז אין די פעליקייַט נאַמעספּאַסע - אַזוי לאָזן אונדז נוצן עס פֿאַר אַ אַנדערש הערשן-ביינדינג.
• איבערחזרן די פריערדיקע סטעפּס:
  אַ) שאַפֿן אַן יידעניקאַל פּאָליטיק פֿאַר די "פעליקייַט /" שליסל פּרעפיקס.
  ב) שאַפֿן אַ ראָלע, נאָמען עס "Default-ns-role"
  c) צוטשעפּען די פּאָליטיק צו די ראָלע.
• שאַפֿן אַ הערשן-ביינדינג (בלויז מעגלעך פֿון קלי / אַפּי)

consul acl binding-rule create 
-method=auth-method-skywiz-consul-poc 
-bind-type=role 
-bind-name='default-ns-role' 
-selector='serviceaccount.namespace=="default"'

• גיין צוריק צו אונדזער "poc-ubuntu-custom-sa" קאַנטיינער און פּרובירן צו אַקסעס די "סטאַנדאַרט /" קוו דרך.
• ערלויבעניש צוריקגעוויזן.
  איר קענען זען די ספּעסיפיעד קראַדענטשאַלז פֿאַר יעדער סימען אין די וי אונטער ACL> טאָקענס. ווי איר קענען זען, אונדזער קראַנט סימען האט בלויז איין "מנהג-סאַ-ראָלע" אַטאַטשט צו עס. דער סימען וואָס מיר איצט נוצן איז געווען דזשענערייטאַד ווען מיר לאָגד אין און עס איז געווען בלויז איין הערשן-ביינדינג וואָס איז מאַטשט דעמאָלט. מיר דאַרפֿן צו לאָגין ווידער און נוצן די נייַע סימען.
• מאַכט זיכער אַז איר קענען לייענען ביידע די "קאַסטאַם-סאַ/" און "פעליקייַט/" קוו פּאַטס.
  הצלחה!
  דאָס איז ווייַל אונדזער "פּאָק-ובונטו-קאַסטאַם-סאַ" שוועבעלעך די "קאַסטאַם-סאַ" און "פעליקייַט-נס" הערשן ביינדינגז.

סאָף

TTL token mgmt?

אין דער צייט פון דעם שרייבן, עס איז קיין ינאַגרייטיד וועג צו באַשליסן די TTL פֿאַר טאָקענס דזשענערייטאַד דורך דעם דערלויבעניש אופֿן. עס וואָלט זיין אַ פאַנטאַסטיש געלעגנהייט צו צושטעלן זיכער אָטאַמיישאַן פון קאָנסול דערלויבעניש.

עס איז אַן אָפּציע צו מאַניואַלי שאַפֿן אַ סימען מיט TTL:

• https://www.consul.io/docs/acl/acl-system.html#acl-tokens
  עקספּיראַטיאָן צייט - די צייט אין וואָס דעם טאָקען וועט זיין ריוואָוקט. (אָפּטיאָנאַל; צוגעגעבן אין קאָנסול 1.5.0)
• עקסיסטירט בלויז פֿאַר מאַנואַל שאַפונג / דערהייַנטיקן https://www.consul.io/api/acl/tokens.html#expirationtime

אַלעווייַ אין דעם לעבן צוקונפֿט מיר קענען קאָנטראָלירן ווי טאָקענס זענען דזשענערייטאַד (פּער הערשן אָדער דערלויבעניש אופֿן) און לייגן TTL.

ביז דעמאָלט, עס איז סאַגדזשעסטיד אַז איר נוצן אַ לאָגאָוט ענדפּוינט אין דיין לאָגיק.

• https://www.consul.io/api/acl/acl.html#logout-from-auth-method
• https://www.consul.io/docs/acl/acl-auth-methods.html#overall-login-process

לייענען אויך אנדערע אַרטיקלען אויף אונדזער בלאָג:

• וואָס האט די מייגריישאַן פון קליקקכאַוס אָן דערלויבעניש צו קליקכאָוסע מיט דערלויבעניש פירן צו?
• ווי צו לויפן קייפל פּייפּליינז ניצן GitLab CI / CD
• דריי פּשוט טריקס צו ייַנשרומפּן דאָקקער בילדער
• Traefik ווי ינגרעסס קאָנטראָללער פֿאַר K8S
• באַקקופּ פון אַ גרויס נומער פון כעטעראַדזשיניאַס וועב פּראַדזשעקס
• טעלעגראַם באָט פֿאַר Redmine. ווי צו פאַרפּאָשעטערן לעבן פֿאַר זיך און אנדערע

מקור: www.habr.com