Kubernetes是一个非常强大的集群管理系统。有许多可插拔的技术可供选择,这是你想要的功能,这很棒,因为你有选择-但也有不利的一面,其他人已经做了你想做的事情的可能性很小。最终,随着开发人员聚集在最好的解决方案周围,将会有一些整合,但就目前而言,有很多有趣的项目可供选择(对于某些配置来说,没有太多很好的例子)。今天,我要分享一个略具挑战性的设置,希望它能帮助社区。
我使用Istio作为我的L7入口和路由控制器,它基于特使。它是一个高度可扩展的L7代理,具有出色的性能特性和相对成熟的功能集。到了在项目中实现基本/管理路线的时候,我列出了我想要实现的特性列表。在我想要的配置中:
应用程序不应重新实现基于角色的访问控制(RBAC)安全,因为每个应用程序都需要它。
用户应该能够在不创建另一个用户名/密码的情况下登录以记住,但是如果他们愿意的话,可以支持它。
用户应该能够在不需要支持的情况下自行注册、重置密码,以及管理与其帐户关联的远程身份验证(Google Keyword CIAM)。
应用程序管理员应该能够以显式或按组权限编辑用户的角色,并为非技术人员提供控制访问的可视界面。
K8S Ops应该能够更改RBAC规则保护应用程序的各个路由,而无需重新部署。
最简单的入门方法是遵循Jetstack.io上的出色演练,该演练相当详细地解释了如何使用JWT处理覆盖整个入口。我不会在这里详述所有的细节。相反,我将提供直接部署工作配置所需的确切YAML清单,并显示FusionAuth中有关如何配置应用程序以使其与这些清单正确通信的屏幕截图。
我通常会尝试两到三种替代技术,然后才会选择我喜欢的一种。虽然我从KeyCloak开始,但它感觉有点不完善,在解释如何在术语不熟悉的情况下配置它时,还有很多需要改进的地方(例如。不是安全专业人员的人)。我研究了其他几种选择,最后归结为Gluu或FusionAuth。对我来说,支持FusionAuth的主要决定因素是大量的文档和教程(带有很好的幽默意味)。开发商也做出了明显的努力,提供了官方的码头图片和Kubernetes的例子,展示了现实世界的使用情况。我对这一决定非常满意。
好的,那么让我们来谈谈这两者如何协同工作的架构。与使用Istio的任何其他流量一样,请求将按照VirtualService到服务的路由规则进入应用程序,然后到达部署的Pod。要使用Istio安全功能,此Pod需要运行Sidecar代理,否则规则不会执行任何操作。(这是不幸的,因为根据我的经验,Sidecar可能会导致某些工作负载的连接问题,所以请注意它可能会造成副作用,您可能需要为此命名空间显式创建和配置Sidecar)。要实现这一点,最简单的方法是在新的命名空间上启用自动SideCar代理注入,并在那里部署应用程序。通过声明RequestAuthentication规则,我们将Istio配置为拒绝任何没有有效签名的Json Web令牌(JWT)的流量。通过声明AuthorizationPolicy规则,我们将Istio配置为通过匹配特定的HTTP路径或用户角色等来接受或拒绝流量。这很棒,对吧?
嗯,Istio还不够成熟,不能说Open ID Connect。但它只有足够聪明,才能期待一个经过有效解码的JWT,并根据其内容进行一些简单的模式匹配。当这些规则失败时,你只会得到RBAC:作为对你请求的回应,访问被拒绝。没有重定向逻辑将浏览器发送到身份验证服务器登录页面。因此,让我们通过在Sidecar_Inbound上注入一个简单的EnvoyFilter规则来教它如何做到这一点。这使我们能够针对特定的应用程序,仅保护我们关心的路由,而不会影响其他任何内容。
几个关键细节:RequestAuthentication只接受使用RSA密钥签名的JWT,因为HMAC是对称密钥,任何能够解码它的人也可以签名。这意味着它需要知道从哪里获得公共RSA密钥,该密钥在颁发者字段中提供。假设此情况属实,Istio随后会查看任何AuthorizationPolicy规则,并根据匹配或不匹配的详细信息允许或拒绝流量。*在这种情况下,我提供了一个基本规则,允许任何经过验证的人拥有此应用程序的帐户,并进一步将/admin/路径限制为具有admin角色的帐户。如果出现任何问题,Istio只会说RBAC:访问被拒绝。要进行诊断,只需删除这些规则并尝试点击终结点,看看会弹出什么错误。如果这些规则被删除,而你仍然收到未经授权的消息,它的OAuth2-Proxy拒绝用户--检查配置和记录以了解原因。
这就是我们期盼已久的YAML。这完全描述了一种工作配置,其中VirtualService位于默认命名空间中,但其他所有内容都在身份验证中,这只是为了让它远离其他所有内容。*应用程序托管在https://auth-example.reachablegames.com.上。下面评论了如果配置不正确会导致问题的某些困难和未记录的细节--请在更改或简化之前注意。
#创建应用程序可以具有SideCar注入的命名空间apiVersion:v1Kind:Namespacemetadata:Labels:app:Auth istio-Injection:Enable Name:Auth-#此规则确保JWT被解码,并作为HTTP_payload Base64编码传递到Web服务器。apiVersion:security.istio.io/v1beta1ind:RequestAuthenticationMetadata:Name:Auth-Example Nample Namespace:Auth.apiVersion:security.istio.io/v1beta1ind:RequestAuthenticationMetadata:Name:Auth-Example Namespace:Auth.。Header ForwardOriginalToken:true#这只会将解码后的JWT作为";payload";Header outputPayloadToHeader:";payload";-#此规则验证用户是经过身份验证的用户(请求主体)和授权用户(request.auth.Claims)apiVersion:security.istio.io/v1beta1Kind:AuthorizationPolicyMetadata:Name:Auth-Example。]至:-operation:路径:[";/admin/*";]时间:-key:request.auth.Claims[r
ApiVersion:networking.istio.io/v1alpha3ind:VirtualServicemetadata:name:fusionauth labels:app:fusionauthspec:hosts:-";fusionauth.reachablegames.com";网关:-istio-gw http:-Match:-uri:Prefix:/Route:-Destination:host:Fusionauth port:Number:80-apiVersion:v1Kind:Servicemetadata:Name:Fusionauth Labels:app:FusionAuthSpec:ports:-port:80 name:http-web protocol:TCP targetPort:http-web选择器:app:fusionauth会话亲和性:无类型:ClusterIP-apiapi.。Fusionauth-db群集IP:None-#FusionauthapiVersion:app/v1ind:StatefulSetMetadata:名称:Fusionauth-db标签:app:fusionauth-db标签:serviceName:fusionauth-db副本:1选择器:matchLabels:app:fusionauth-db updateStrategy:type:RollingUpdate Template:Metadata:Annotation:sidecar.istio.io/indateStrategy:type:RollingUpdate Template:Metadata:Annotation:sidecar.istio.io/indateStrategy:RollingUpdate Template:Metadata:Annotation:sidecar.istio.io/indateStrategy。FALSE";标签:app:fusionauth-db Version:1.0.0规范:Containers:-Image:Postgres:11.9-阿尔卑斯山名称:Postgres env:-name:PGDATA值:/var/lib/PostgreSQL/data/pgdata-name:postgres_user值:pguser-name:postgres_password值:pgpass-name:postgres_DB value:Fusionauth ports:-tainerPort:5432 name。请求:CPU:";0.25";内存:";250Mi";卷装载:-名称:Fusionauth-storage装载路径:/var/lib/postgreSQL/Data Voluments:-name:Fusionauth-storage PersistentVolumeClaim:Claim Name:Fusionauth-storage VolumeClaimTemplates:-Metadata:Name:Fusionauth-storage Spec:access Modes:[";ReadWriteSpec:Access Modes:[";ReadWrite34;#更改以匹配您的存储系统资源:请求:存储:10Gi-apiVersion:app/v1ind:DeploymentMetadata:Name:Fusionauth Labels:app:FusionAuthSpec:Replicas:1 Strategy:type:rereate selector:matchLabels:app:Fusionauth Template:Metadata:Annotation:sidecar.istio.io/Inject:";False";Labels:app:Fusionauth Version:1.0.0规范。容器:-Name:Fusionauth图像:Fusionauth/Fusionauth-app:最新图像PullPolicy:Always env:-Name:Database_URL值:jdbc:postgresql://fusionauth-db:5432/fusionauth-Name:Database_Root_Username值:PG用户名:Database_Root_Password值:PG Pass-Name:Database_Username值:PG用户名:Database_Password值:PG Pass-Name:FUSIONAUTH_APP_MEMORY值:512M-Name:FUSIO。/fusionauth.reachablegames.com/-名称:搜索类型值:数据库名称:ES_JAVA_OPTS值:";-Xms256M-Xmx512M";端口:-tainerPort:9011名称:http-web livenessProbe:InitialDelaySecond:10超时秒:10周期秒:30故障阈值:5 httpGet:path:/port:http-web readinessProbe:InitialDelaySecond:10超时秒:10周期秒:30故障阈值:5 httpGet:path:/port:http-web readinessProbe:InitialDelaySecond:10 Period Second:30 ailureThreshold:5 httpGet:path:/port:http-web readinessProbe:InitialDelaySecond:10 timeureThreshold:5 httpGet:path:/port:http。卷装载:-name:fusionauth-pvc装载路径:/usr/local/fusionauth/config subPath:配置卷:-name:fusionauth-pvc sistentVolumeClaim:Claim Name:fusionauth-pvc#将其更改为与您环境中的PVC匹配。
上面的YAML部署了Postgres DB和FusionAuth部署,它们可以独立扩展。很明显,我的存储系统将与您的存储系统不同,因此请更改PersistentVolumeClaim和storageClassName与您的存储环境匹配的两个位置。*启动后,请转到托管演练以配置FusionAuth。它不会花很长时间,因此会创建你的第一个超级管理员用户。本文的其余部分是如何正确配置FusionAuth以实现以下目标的可视化演练:
此处未显示的步骤包括:创建子域、配置入口网关以使用HTTPS证书等。如果确定,请立即部署FUSIONAUTH。*kubectl Apply-f fusionauth.yaml。
FusionAuth是一个多租户系统,其中一个租户可能有多个应用程序。*FusionAuth将自身视为应用程序,并使用与管理外部应用程序相同的身份验证和授权系统来管理自身。所以不要删除你的权限,否则你会被锁在门外!
我们要做的第一件事是创建两个RSA密钥,这两个密钥将用于对JWT进行非对称签名,因此Istio将接受它们。默认的是HMAC,所以让我们来改变这一点。
接下来,让我们配置租户使用这些密钥。这使得所有应用程序都默认使用它们,这样以后添加新应用程序时需要记住的步骤就少了一步。(可以,您可以对许多不同的域、应用程序、路线等使用FusionAuth,如果您愿意,还可以在用户数据库中将它们在逻辑上分开。不要尝试
应用程序的名称纯粹是为了显示目的。在这里添加两个角色,仔细命名为user和admin。确保复选框如图所示进行配置,以便每个人在注册(首次登录)时都获得用户角色,并且管理员拥有完全权限。
在OAuth选项卡上,ClientID将为空,直到您点击保存,因此我们将返回并立即获取它。请确保您已配置指向您的应用程序的域...。我不知道您可能还需要在哪些地方配置不同的URL(如果您需要管理,请给我发个便条。
.