User Tools
управление_доступом_в_kubernetes
Differences
This shows you the differences between two versions of the page.
| Both sides previous revision Previous revision Next revision | Previous revision | ||
|
управление_доступом_в_kubernetes [2026/03/20 13:26] val |
управление_доступом_в_kubernetes [2026/03/21 09:45] (current) val [Шаг 7. Использование OpenID Connect] |
||
|---|---|---|---|
| Line 52: | Line 52: | ||
| ===== Шаг 2. Создание учетной записи ===== | ===== Шаг 2. Создание учетной записи ===== | ||
| - | ==== Вариант 2.1 Использование сертификатов ==== | + | === Вариант 2.1 Использование сертификатов === |
| * Изучаем файл конфигурации | * Изучаем файл конфигурации | ||
| Line 69: | Line 69: | ||
| * [[Система Kubernetes#Использование сертификатов]] | * [[Система Kubernetes#Использование сертификатов]] | ||
| - | ==== Вариант 2.2 Использование ServiceAccount ==== | + | === Вариант 2.2 Использование ServiceAccount === |
| - | * Для примера можно использовать ServiceAccout из темы [[Система Kubernetes#Kubernetes Dashboard]] в Namespace default | + | * Для примера, можно использовать ServiceAccout из темы [[Система Kubernetes#Kubernetes Dashboard]] в Namespace default, создавая файлы в каталоге users |
| - | * Показать временные и long-lived Bearer Token для ServiceAccount | + | * Показать временные и long-lived Bearer Token из ServiceAccount |
| ==== Шаг 2.3 Создание файла конфигурации kubectl ==== | ==== Шаг 2.3 Создание файла конфигурации kubectl ==== | ||
| Line 100: | Line 100: | ||
| ===== Шаг 5. Использование JSON Web Token (JWT) для доступа в Kubernetes ===== | ===== Шаг 5. Использование JSON Web Token (JWT) для доступа в Kubernetes ===== | ||
| + | |||
| + | <code> | ||
| + | user1@client1:~$ rm -rf .kube/ | ||
| + | </code> | ||
| * Возвращаемся на [[#Вариант 2.2 Использование ServiceAccount]] | * Возвращаемся на [[#Вариант 2.2 Использование ServiceAccount]] | ||
| Line 155: | Line 159: | ||
| ===== Шаг 7. Использование OpenID Connect ===== | ===== Шаг 7. Использование OpenID Connect ===== | ||
| + | * Подключение к Keycloak групп из [[Сервис Keycloak#FreeIPA]] через LDAP | ||
| * Сервис Keycloak [[Сервис Keycloak#Аутентификация пользователей WEB приложения]] | * Сервис Keycloak [[Сервис Keycloak#Аутентификация пользователей WEB приложения]] | ||
| - | * !!! в конфигурации kube-apiserver параметра client-secret нет и не требуется !!! | + | * [[Сервис Keycloak#Проверка получения токена]] и наличия в нем списка групп и aud any-client |
| + | |||
| + | * Настройка oidc в kube-apiserver (параметра client-secret нет и не требуется) | ||
| <code> | <code> | ||
| kube1:~/users# vim /etc/kubernetes/manifests/kube-apiserver.yaml | kube1:~/users# vim /etc/kubernetes/manifests/kube-apiserver.yaml | ||
| Line 187: | Line 194: | ||
| </code> | </code> | ||
| - | * [[Сервис Keycloak#Проверка получения токена]] Keycloak | ||
| * [[Система Kubernetes#Создание файла конфигурации kubectl]] c полученным токеном | * [[Система Kubernetes#Создание файла конфигурации kubectl]] c полученным токеном | ||
| Line 209: | Line 215: | ||
| grant-type: password | grant-type: password | ||
| #id-token: | #id-token: | ||
| - | idp-issuer-url: https://keycloak.corp13.un/realms/corp13 | + | idp-issuer-url: https://keycloak.corpX.un/realms/corpX |
| #refresh-token: | #refresh-token: | ||
| name: oidc | name: oidc | ||
| </code><code> | </code><code> | ||
| - | user1@client1:~$ kubelogin | + | user1@client1:~$ kubelogin # при первом подключении Ctrl-C |
| user1@client1:~$ kubectl auth whoami | user1@client1:~$ kubectl auth whoami | ||
| </code> | </code> | ||
| + | * В FreeIPA cоздаем группу freeipa-kube-admin, синхронизируем (лучше настроить Periodic sync) в Keycloak | ||
| * [[Система Kubernetes#Предоставление полного доступа к Kubernetes Cluster]] | * [[Система Kubernetes#Предоставление полного доступа к Kubernetes Cluster]] | ||
управление_доступом_в_kubernetes.1774002384.txt.gz · Last modified: 2026/03/20 13:26 by val
Page Tools
Except where otherwise noted, content on this wiki is licensed under the following license: CC Attribution-Share Alike 4.0 International
