हाशिकॉर्प कंसल के कुबेरनेट्स प्राधिकरण का परिचय

यह सही है, कंसल में मई 2019 की शुरुआत में हाशिकॉर्प कॉन्सल 1.5.0 की रिहाई के बाद, आप देशी रूप से कुबेरनेट्स में चल रहे अनुप्रयोगों और सेवाओं को अधिकृत कर सकते हैं।

इस ट्यूटोरियल में, हम कदम से कदम एक POC (अवधारणा का सबूत, PoC - अवधारणा का प्रमाण] बनाएंगे - इस नई सुविधा का प्रदर्शन करेंगे। कुबेरनेट्स और हैशिकॉर्प के कंसूल का बुनियादी ज्ञान आपसे अपेक्षित है। और यद्यपि आप किसी भी क्लाउड प्लेटफ़ॉर्म या ऑन-प्रिमाइसेस वातावरण का उपयोग कर सकते हैं, इस गाइड में हम Google के क्लाउड प्लेटफ़ॉर्म का उपयोग करेंगे।

सिंहावलोकन

यदि हम इसकी प्राधिकरण पद्धति पर कौंसुल प्रलेखन की ओर मुड़ते हैं, तो हमें इसके उद्देश्य और उपयोग के मामले का एक संक्षिप्त अवलोकन मिलेगा, साथ ही कुछ तकनीकी विवरण और तर्क का सामान्य अवलोकन भी होगा। मैं इसे जारी रखने से पहले कम से कम एक बार पढ़ने की अत्यधिक सलाह देता हूं, क्योंकि मैं इसे अब समझाऊंगा और इसे चबाऊंगा।

चित्र 1: आधिकारिक वाणिज्य दूतावास विधि अवलोकन

आइए विशिष्ट कुबेरनेट्स प्राधिकरण पद्धति के लिए प्रलेखन पर एक नज़र डालें।

बेशक, उपयोगी जानकारी है, लेकिन वास्तव में यह सब कैसे उपयोग किया जाए, इस पर कोई गाइड नहीं है। इसलिए, किसी भी समझदार व्यक्ति की तरह, आप मार्गदर्शन के लिए इंटरनेट का उपयोग करते हैं। और फिर ... पराजित हो। ऐसा होता है। चलो इसे ठीक करते हैं।

इससे पहले कि हम अपना पीओसी बनाने के लिए आगे बढ़ें, आइए वाणिज्य दूतावास के तरीकों के अवलोकन (चित्र 1) पर जाएं और इसे कुबेरनेट्स के संदर्भ में परिष्कृत करें।

आर्किटेक्चर

इस गाइड में, हम एक अलग मशीन पर एक कॉन्सुल सर्वर बनाएंगे, जो स्थापित क्लाइंट के साथ कुबेरनेट क्लस्टर के साथ बातचीत करेगा। फिर हम चूल्हा में अपना डमी एप्लिकेशन बनाएंगे और हमारे कंसॉल कुंजी / मूल्य रिपॉजिटरी से पढ़ने के लिए हमारे अनुकूलित प्राधिकरण पद्धति का उपयोग करेंगे।

नीचे दिए गए आरेख में विस्तार से वास्तुकला को दिखाया गया है जिसे हम इस गाइड में बनाते हैं, साथ ही प्राधिकरण पद्धति का तर्क भी बताते हैं, जिसे बाद में समझाया जाएगा।

चित्र 2: कुबेरनेट्स में प्राधिकरण पद्धति का अवलोकन

एक त्वरित टिप्पणी: काम करने के लिए कॉन्सुल सर्वर को कुबेरनेट समूह के बाहर रहने की आवश्यकता नहीं है। लेकिन हां, वह ऐसा कर सकता है और वह।

तो, कॉन्सल ओवरव्यू आरेख (स्कीम 1) को लेते हुए और कुबेरनेट्स पर लागू करते हुए, हम ऊपर आरेख (स्कीम 2) प्राप्त करते हैं, और यहां तर्क निम्नानुसार होगा:

1. प्रत्येक पॉड में एक सेवा खाता होगा, जिसमें एक JWT टोकन होगा, जिसे कुबेरनेट्स द्वारा जनरेट और जाना जाएगा। यह टोकन भी डिफ़ॉल्ट रूप से सब में डाला जाता है।
2. चूल्हा के अंदर हमारा आवेदन या सेवा हमारे कौंसल क्लाइंट को दर्ज करने के लिए एक कमांड देता है। लॉगिन के लिए अनुरोध हमारे टोकन और विशेष रूप से निर्मित प्राधिकरण पद्धति (जैसे कुबेरनेट्स) के नाम को भी इंगित करेगा। यह चरण संख्या 2 कंसुल योजना (स्कीम 1) के चरण 1 से मेल खाती है।
3. हमारा कॉन्सल क्लाइंट इस अनुरोध को हमारे कॉन्सुल सर्वर को अग्रेषित करेगा।
4. जादू! यह यहां है कि कौंसुल सर्वर अनुरोध की प्रामाणिकता की पुष्टि करता है, अनुरोध की पहचान के बारे में जानकारी एकत्र करता है और किसी भी संबंधित पूर्वनिर्धारित नियमों के साथ इसकी तुलना करता है। इसका वर्णन करने के लिए नीचे एक और चित्र है। यह चरण कंसुल अवलोकन आरेख (स्कीम 1) के चरण 3, 4 और 5 से मेल खाता है।
5. हमारा कॉन्सुल सर्वर अनुरोधकर्ता की पहचान के संबंध में हमारे द्वारा निर्दिष्ट प्राधिकरण विधि के नियमों के अनुसार एक कॉन्सल टोकन बनाता है। फिर वह इस टोकन को वापस भेज देगा। यह कंसुल योजना (स्कीम 1) के चरण 6 से मेल खाती है।
6. हमारा कॉन्सल क्लाइंट अनुरोध या आवेदन के लिए टोकन को रीडायरेक्ट करता है।

हमारा एप्लिकेशन या सेवा अब इस कॉन्सुल टोकन का उपयोग हमारे कॉन्सल डेटा के साथ संवाद करने के लिए कर सकते हैं, जैसा कि टोकन विशेषाधिकारों द्वारा निर्धारित किया गया है।

जादू का पता चला है!

उन लोगों के लिए जो टोपी में सिर्फ खरगोश से खुश नहीं हैं और जानना चाहते हैं कि यह कैसे काम करता है ... मुझे "आपको दिखाते हैं कि खरगोश छेद कितना गहरा है ।"

जैसा कि पहले उल्लेख किया गया है, हमारा "जादू" चरण (योजना 2: चरण 4) यह है कि कौंसुल सर्वर अनुरोध की प्रामाणिकता की पुष्टि करता है, अनुरोध के बारे में जानकारी एकत्र करता है और किसी भी संबंधित पूर्वनिर्धारित नियमों के साथ तुलना करता है। यह चरण कंसुल अवलोकन आरेख (स्कीम 1) के चरण 3, 4 और 5 से मेल खाता है। नीचे एक आरेख (योजना 3) है, जिसका उद्देश्य स्पष्ट रूप से यह दिखाना है कि वास्तव में एक विशिष्ट कुबेरनेट्स प्राधिकरण पद्धति के हुड के तहत क्या हो रहा है।

योजना 3: जादू का पता चला है!

1. एक शुरुआती बिंदु के रूप में, हमारा कॉन्सल क्लाइंट कुबेरनेट्स अकाउंट टोकन और पूर्व में बनाए गए प्राधिकरण विधि के उदाहरण के विशिष्ट नाम के साथ हमारे कॉन्सल सर्वर में लॉगिन अनुरोध को रीडायरेक्ट करता है। यह चरण सर्किट के पिछले स्पष्टीकरण में चरण 3 से मेल खाता है।
2. अब कंसोल सर्वर (या नेता) को प्राप्त टोकन की प्रामाणिकता को सत्यापित करने की आवश्यकता है। इसलिए, वह कुबेरनेट्स क्लस्टर (कंसुल क्लाइंट के माध्यम से) के साथ परामर्श करेगा और, उपयुक्त अनुमतियों के साथ, हम यह पता लगाएगा कि क्या टोकन वास्तविक है और यह किसका है।
3. तब सत्यापित अनुरोध कॉन्सल नेता के पास लौटता है, और कॉन्सल सर्वर लॉगिन अनुरोध (और प्रकार कुबेरनेट्स) से निर्दिष्ट नाम के साथ प्राधिकरण पद्धति का एक उदाहरण खोजता है।
4. वाणिज्य दूतावास प्राधिकरण विधि (यदि एक पाया जाता है) के निर्दिष्ट उदाहरण को निर्धारित करता है और बाध्यकारी नियमों के सेट को पढ़ता है जो इससे जुड़े होते हैं। फिर वह इन नियमों को पढ़ता है और उनकी पहचान की पहचान विशेषताओं के साथ करता है।
5. टाडा! सर्किट के पिछले स्पष्टीकरण में चरण 5 पर जाएं।

एक नियमित वर्चुअल मशीन पर कंसोल-सर्वर चलाएँ

अब से, मैं मुख्य रूप से इस POC को बनाने के लिए निर्देश दूंगा, अक्सर बिंदुओं में, बिना व्याख्यात्मक पूरे वाक्यों के। इसके अलावा, जैसा कि पहले उल्लेख किया गया है, मैं पूरे बुनियादी ढांचे को बनाने के लिए जीसीपी का उपयोग करूंगा, लेकिन आप कहीं भी एक ही बुनियादी ढांचा बना सकते हैं।

• वर्चुअल मशीन (उदाहरण / सर्वर) प्रारंभ करें।

• फ़ायरवॉल के लिए एक नियम बनाएं (AWS में सुरक्षा समूह):
• मैं नियम और नेटवर्क टैग के लिए एक ही मशीन का नाम निर्दिष्ट करना पसंद करता हूं, इस मामले में यह "स्काईविज़-कॉन्सुल-सर्वर-पोक" है।
• अपने स्थानीय कंप्यूटर का आईपी पता ढूंढें और इसे स्रोत आईपी पते की सूची में जोड़ें ताकि हम उपयोगकर्ता इंटरफ़ेस (यूआई) तक पहुंच सकें।
• यूआई के लिए ओपन पोर्ट 8500। क्रिएट पर क्लिक करें। हम जल्द ही इस फ़ायरवॉल [ लिंक ] को फिर से बदल देंगे।
• उदाहरण के लिए फ़ायरवॉल के लिए नियम जोड़ें। कंसोल सर्वर पर VM डैशबोर्ड पर लौटें और नेटवर्क टैग फ़ील्ड में "Skywiz-consul-server-poc" जोड़ें। सहेजें पर क्लिक करें।

• एक वर्चुअल मशीन पर कॉन्सुल स्थापित करें, यहां देखें। याद रखें कि आपको कॉन्सल संस्करण की आवश्यकता है [1.5 [लिंक]
• एक नोड नोडुल बनाएं - कॉन्फ़िगरेशन निम्नानुसार है।

groupadd --system consul useradd -s /sbin/nologin --system -g consul consul mkdir -p /var/lib/consul chown -R consul:consul /var/lib/consul chmod -R 775 /var/lib/consul mkdir /etc/consul.d chown -R consul:consul /etc/consul.d 

• कांसुल स्थापित करने और 3 नोड्स के एक क्लस्टर की स्थापना पर अधिक विस्तृत गाइड के लिए, यहां देखें।
• फ़ाइल /etc/consul.d/agent.json बनाएँ जो इस प्रकार है: [ लिंक ]:

 ### /etc/consul.d/agent.json { "acl" : { "enabled": true, "default_policy": "deny", "enable_token_persistence": true } } 

• हमारा कॉन्सल सर्वर लॉन्च करें:

 consul agent \ -server \ -ui \ -client 0.0.0.0 \ -data-dir=/var/lib/consul \ -bootstrap-expect=1 \ -config-dir=/etc/consul.d 

• आपको आउटपुट का एक गुच्छा देखना चाहिए और "... ACL द्वारा अपडेट किया गया" अपडेट करना चाहिए।
• कॉन्सल सर्वर के बाहरी आईपी पते का पता लगाएँ और पोर्ट 8500 पर इस आईपी पते के साथ एक ब्राउज़र खोलें। सुनिश्चित करें कि यूआई खुलता है।
• एक कुंजी / मूल्य जोड़ी जोड़ने का प्रयास करें। कोई गलती होनी चाहिए। ऐसा इसलिए है क्योंकि हमने ACL का उपयोग करके कॉन्सल सर्वर को लोड किया है और सभी नियमों का खंडन किया है।
• कॉन्सल सर्वर पर अपने शेल पर वापस जाएं और कार्य करने के लिए पृष्ठभूमि में या किसी अन्य तरीके से प्रक्रिया शुरू करें, और निम्नलिखित दर्ज करें:

 consul acl bootstrap 

• मान "गुप्त" ढूंढें और वापस यूआई पर जाएं। ACL टैब पर, आपके द्वारा कॉपी किए गए टोकन के गुप्त पहचानकर्ता को दर्ज करें। SecretID को कहीं और कॉपी करें, हमें बाद में इसकी आवश्यकता होगी।
• अब एक कुंजी / मूल्य जोड़ी जोड़ें। इस POC के लिए, निम्नलिखित जोड़ें: कुंजी: "custom-ns / test_key", मूल्य: "मैं कस्टम-ns फ़ोल्डर में हूँ!"

हमारे आवेदन के लिए कुबेरनेट क्लस्टर को डेमोंसेट के रूप में कंसल क्लाइंट के साथ लॉन्च करें

• K8s क्लस्टर (Kubernetes) बनाएँ। हम इसे उसी क्षेत्र में बनाएंगे जहां तेजी से पहुंच के लिए सर्वर है, और इसलिए हम आंतरिक आईपी पते के साथ आसान कनेक्शन के लिए एक ही सबनेट का उपयोग कर सकते हैं। हम इसे Skywiz-app-with-consul-client-poc कहेंगे।

• एक नोट के रूप में, यहां एक अच्छा मार्गदर्शक है जो मुझे कौंसल कनेक्ट के साथ पीओसी कंसल क्लस्टर स्थापित करते समय आया था।
• हम एक विस्तारित मान फ़ाइल के साथ हाशिकॉर्प हेल्म चार्ट का भी उपयोग करेंगे।
• स्थापित करें और कॉन्फ़िगर करें। कॉन्फ़िगरेशन चरण:

 kubectl create serviceaccount tiller --namespace kube-system kubectl create clusterrolebinding tiller-admin-binding \ --clusterrole=cluster-admin --serviceaccount=kube-system:tiller ./helm init --service-account=tiller ./helm update 

• पतवार चार्ट: https://www.consul.io/docs/platform/k8s/helm.html
• निम्नलिखित मान फ़ाइल का उपयोग करें (नोट करें कि मैं सबसे अधिक अक्षम हूं):

 ### poc-helm-consul-values.yaml global: enabled: false image: "consul:latest" # Expose the Consul UI through this LoadBalancer ui: enabled: false # Allow Consul to inject the Connect proxy into Kubernetes containers connectInject: enabled: false # Configure a Consul client on Kubernetes nodes. GRPC listener is required for Connect. client: enabled: true join: ["<PRIVATE_IP_CONSUL_SERVER>"] extraConfig: | { "acl" : { "enabled": true, "default_policy": "deny", "enable_token_persistence": true } } # Minimal Consul configuration. Not suitable for production. server: enabled: false # Sync Kubernetes and Consul services syncCatalog: enabled: false 

• हेलमेट चार्ट लागू करें:

 ./helm install -f poc-helm-consul-values.yaml ./consul-helm - name skywiz-app-with-consul-client-poc 

• शुरू करने की कोशिश करते समय, इसे कॉन्सल सर्वर के लिए अनुमति की आवश्यकता होगी, तो चलिए उन्हें जोड़ते हैं।
• क्लस्टर डैशबोर्ड पर स्थित "पॉड एड्रेस रेंज" पर ध्यान दें और स्काईविज़-कॉन्सुल-सर्वर-पोक फ़ायरवॉल के लिए हमारे नियम पर लौटें।
• IPA के लिए पता सीमा को IP पते की सूची में जोड़ें और बंदरगाहों को 8301 और 8300 खोलें।

• कौंसल यूआई पर जाएं, और कुछ मिनटों में आप देखेंगे कि हमारा क्लस्टर नोड टैब पर दिखाई देगा।

कुबेरनेट्स के साथ कौंसुल को एकीकृत करके प्राधिकरण पद्धति को कॉन्फ़िगर करें

• कॉन्सल सर्वर के शेल पर वापस लौटें और टोकन को निर्यात करें जिसे आपने पहले बचाया था:

 export CONSUL_HTTP_TOKEN=<SecretID> 

• हमें अपने कुबेरनेट समूह से एक सूचना विधि का उदाहरण बनाने के लिए जानकारी की आवश्यकता है:
• Kubernetes मेजबान

 kubectl get endpoints | grep kubernetes 

• Kubernetes-सेवा-खाता-जेडब्ल्यूटी

 kubectl get sa <helm_deployment_name>-consul-client -o yaml | grep "\- name:" kubectl get secret <secret_name_from_prev_command> -o yaml | grep token: 

• टोकन बेस 64 में इनकोड किया गया है, इसलिए इसे अपने पसंदीदा टूल का उपयोग करके डिक्रिप्ट करें [ लिंक ]
• Kubernetes-ca-प्रमाणपत्र

 kubectl get secret <secret_name_from_prev_command> -o yaml | grep ca.crt: 

• प्रमाणपत्र "ca.crt" (बेस 64 के साथ डिकोडिंग के बाद) लें और इसे "ca.crt" फ़ाइल में लिखें।
• अब प्लेसहोल्डर्स का एक उदाहरण बनाएं, प्लेसहोल्डर्स को आपके द्वारा प्राप्त मूल्यों के साथ प्रतिस्थापित करें।

 consul acl auth-method create \ -type "kubernetes" \ -name "auth-method-skywiz-consul-poc" \ -description "This is an auth method using kubernetes for the cluster skywiz-app-with-consul-client-poc" \ -kubernetes-host "<k8s_endpoint_retrieved earlier>" \ -kubernetes-ca-cert=@ca.crt \ -kubernetes-service-account- jwt="<decoded_token_retrieved_earlier>" 

• अगला, हमें एक नियम बनाने और इसे नई भूमिका में संलग्न करने की आवश्यकता है। आप इस भाग के लिए कंसूल यूआई का उपयोग कर सकते हैं, लेकिन हम कमांड लाइन का उपयोग करेंगे।
• एक नियम लिखें

 ### kv-custom-ns-policy.hcl key_prefix "custom-ns/" { policy = "write" } 

• नियम लागू करें

 consul acl policy create \ -name kv-custom-ns-policy \ -description "This is an example policy for kv at custom-ns/" \ -rules @kv-custom-ns-policy.hcl 

• उस नियम की पहचानकर्ता का पता लगाएं जिसे आपने आउटपुट से बनाया है।
• एक नए नियम के साथ एक भूमिका बनाएँ।

 consul acl role create \ -name "custom-ns-role" \ -description "This is an example role for custom-ns namespace" \ -policy-id <policy_id> 

• अब हम अपनी नई भूमिका को ऑर्टिकल मेथड इंस्टेंस के साथ जोड़ेंगे। कृपया ध्यान दें कि चयनकर्ता ध्वज यह निर्धारित करता है कि क्या हमारा लॉगिन अनुरोध इस भूमिका को प्राप्त करेगा। अन्य चयनकर्ता विकल्प यहां देखें: https://www.consul.io/docs/acl/auth-methods/kubernetes.html#trusted-identity-attributes

 consul acl binding-rule create \ -method=auth-method-skywiz-consul-poc \ -bind-type=role \ -bind-name='custom-ns-role' \ -selector='serviceaccount.namespace=="custom-ns"' 

अंतिम विन्यास

पहुँच अधिकार

• अनुमति बनाएँ। हमें K8s सेवा खाता टोकन पहचान को सत्यापित करने और पहचानने के लिए कॉन्सुल अनुमति देने की आवश्यकता है।
• फ़ाइल के लिए निम्नलिखित [लिंक] लिखें:

 ###skywiz-poc-consul-server_rbac.yaml --- kind: ClusterRoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: name: review-tokens namespace: default subjects: - kind: ServiceAccount name: skywiz-app-with-consul-client-poc-consul-client namespace: default roleRef: kind: ClusterRole name: system:auth-delegator apiGroup: rbac.authorization.k8s.io --- kind: ClusterRole apiVersion: rbac.authorization.k8s.io/v1 metadata: name: service-account-getter namespace: default rules: - apiGroups: [""] resources: ["serviceaccounts"] verbs: ["get"] --- kind: ClusterRoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: name: get-service-accounts namespace: default subjects: - kind: ServiceAccount name: skywiz-app-with-consul-client-poc-consul-client namespace: default roleRef: kind: ClusterRole name: service-account-getter apiGroup: rbac.authorization.k8s.io 

• पहुँच अधिकार बनाएँ

 kubectl create -f skywiz-poc-consul-server_rbac.yaml 

कौंसल क्लाइंट से कनेक्ट करें

• जैसा कि यहां उल्लेख किया गया है , डेमोंसेट से कनेक्ट करने के लिए कई विकल्प हैं, लेकिन हम निम्नलिखित सरल समाधान पर आगे बढ़ेंगे:
• निम्न फ़ाइल [ लिंक ] को लागू करें।

 ### poc-consul-client-ds-svc.yaml apiVersion: v1 kind: Service metadata: name: consul-ds-client spec: selector: app: consul chart: consul-helm component: client hasDNS: "true" release: skywiz-app-with-consul-client-poc ports: - protocol: TCP port: 80 targetPort: 8500 

• फिर configmap [ लिंक ] बनाने के लिए निम्न अंतर्निहित कमांड का उपयोग करें। कृपया ध्यान दें कि हम अपनी सेवा के नाम का उल्लेख करते हैं, यदि आवश्यक हो तो इसे प्रतिस्थापित करें।

 cat <<EOF | kubectl apply -f - apiVersion: v1 kind: ConfigMap metadata: labels: addonmanager.kubernetes.io/mode: EnsureExists name: kube-dns namespace: kube-system data: stubDomains: | {"consul": ["$(kubectl get svc consul-ds-client -o jsonpath='{.spec.clusterIP}')"]} EOF 

परीक्षण विधि

अब आइए कार्रवाई में जादू को देखें!

• समान शीर्ष-स्तरीय कुंजी (यानी <new_folder> / sample_key) और अपनी पसंद के मूल्य के साथ कुछ और मुख्य फ़ोल्डर बनाएँ। नए मुख्य रास्तों के लिए उचित नीतियां और भूमिकाएँ बनाएँ। हम बाद में बाइंडिंग करेंगे।

कस्टम नाम स्थान परीक्षण:

• हमारे अपने नामस्थान बनाएँ:

 kubectl create namespace custom-ns 

• हमारे नए नामस्थान में बनाएँ। चूल्हा के लिए विन्यास लिखें।

 ###poc-ubuntu-custom-ns.yaml apiVersion: v1 kind: Pod metadata: name: poc-ubuntu-custom-ns namespace: custom-ns spec: containers: - name: poc-ubuntu-custom-ns image: ubuntu command: ["/bin/bash", "-ec", "sleep infinity"] restartPolicy: Never 

• के तहत बनाएँ:

 kubectl create -f poc-ubuntu-custom-ns.yaml 

• कंटेनर शुरू होने के बाद, वहां जाएं और कर्ल स्थापित करें।

 kubectl exec poc-ubuntu-custom-ns -n custom-ns -it /bin/bash apt-get update && apt-get install curl -y 

• अब हम उस प्राधिकरण पद्धति का उपयोग करते हुए प्रवेश करने का अनुरोध भेजेंगे जिसे हमने पहले बनाया था [ लिंक ]।
• अपने सेवा खाते से दर्ज टोकन देखने के लिए:

 cat /run/secrets/kubernetes.io/serviceaccount/token 

• कंटेनर के अंदर एक फ़ाइल के लिए निम्नलिखित लिखें:

 ### payload.json { "AuthMethod": "auth-method-test", "BearerToken": "<jwt_token>" } 

• लॉग इन!

 curl \ --request POST \ --data @payload.json \ consul-ds-client.default.svc.cluster.local/v1/acl/login 

• उपरोक्त चरणों को एक पंक्ति में पूरा करने के लिए (जैसा कि हम कई परीक्षण चलाएंगे), आप निम्न कार्य कर सकते हैं:

 echo "{ \ \"AuthMethod\": \"auth-method-skywiz-consul-poc\", \ \"BearerToken\": \"$(cat /run/secrets/kubernetes.io/serviceaccount/token)\" \ }" \ | curl \ --request POST \ --data @- \ consul-ds-client.default.svc.cluster.local/v1/acl/login 

• यह काम करता है! कम से कम होना चाहिए। अब सीक्रेट को लें और उस कुंजी / मूल्य को एक्सेस करने का प्रयास करें जिसकी हमारे पास पहुँच होनी चाहिए।

 curl \ consul-ds-client.default.svc.cluster.local/v1/kv/custom-ns/test_key --header “X-Consul-Token: <SecretID_from_prev_response>” 

• आप "मान" बेस 64 को डीकोड कर सकते हैं और देख सकते हैं कि यह UI में कस्टम-ns / test_key में मूल्य से मेल खाता है। यदि आप इस मैनुअल में ऊपर दिए गए समान मान का उपयोग करते हैं, तो आपका एन्कोडेड मान IkknbSBpbiB0aGUgY3VzdG9tLW5zIGZvbGRlciEi होगा।

उपयोगकर्ता सेवा खाता परीक्षण:

• निम्नलिखित कमांड [ लिंक ] के साथ एक कस्टम ServiceAccount बनाएँ।

 kubectl apply -f - <<EOF apiVersion: v1 kind: ServiceAccount metadata: name: custom-sa EOF 

• चूल्हा के लिए एक नई कॉन्फ़िगरेशन फ़ाइल बनाएं। कृपया ध्यान दें कि मैंने श्रम बचाने के लिए कर्ल इंस्टॉलेशन चालू किया :)

 ###poc-ubuntu-custom-sa.yaml apiVersion: v1 kind: Pod metadata: name: poc-ubuntu-custom-sa namespace: default spec: serviceAccountName: custom-sa containers: - name: poc-ubuntu-custom-sa image: ubuntu command: ["/bin/bash","-ec"] args: ["apt-get update && apt-get install curl -y; sleep infinity"] restartPolicy: Never 

• उसके बाद, शेल को कंटेनर के अंदर चलाएं।

 kubectl exec -it poc-ubuntu-custom-sa /bin/bash 

• लॉग इन!

 echo "{ \ \"AuthMethod\": \"auth-method-skywiz-consul-poc\", \ \"BearerToken\": \"$(cat /run/secrets/kubernetes.io/serviceaccount/token)\" \ }" \ | curl \ --request POST \ --data @- \ consul-ds-client.default.svc.cluster.local/v1/acl/login 

• अनुमति से इनकार कर दिया। ओह, हम उचित अनुमतियों के साथ बाध्यकारी एक नया नियम जोड़ना भूल गए हैं, अब इसे करते हैं।

ऊपर दिए गए पिछले चरणों को दोहराएं:
क) उपसर्ग "कस्टम-सा /" के लिए एक समान नीति बनाएं।
बी) एक भूमिका बनाएँ, इसे "कस्टम-सा-भूमिका" नाम दें
c) भूमिका के लिए पॉलिसी संलग्न करें।

• एक नियम-बंधन (केवल cli / api से संभव) बनाएँ। चयनकर्ता ध्वज के विभिन्न मूल्य पर ध्यान दें।

 consul acl binding-rule create \ -method=auth-method-skywiz-consul-poc \ -bind-type=role \ -bind-name='custom-sa-role' \ -selector='serviceaccount.name=="custom-sa"' 

• Poc-ubuntu-custom-sa कंटेनर से फिर से लॉग इन करें। सफलता!
• कस्टम-सा / कुंजी पथ पर हमारी पहुंच की जाँच करें।

 curl \ consul-ds-client.default.svc.cluster.local/v1/kv/custom-sa/test_key --header “X-Consul-Token: <SecretID>” 

• आप यह भी सुनिश्चित कर सकते हैं कि यह टोकन "कस्टम-एनएस /" में केवी तक पहुँच प्रदान नहीं करता है। उपसर्ग "कस्टम-एनएस" के साथ "कस्टम-सा" को बदलने के बाद बस उपरोक्त कमांड दोहराएं।
  अनुमति से इनकार कर दिया।

ओवरले उदाहरण:

• यह ध्यान देने योग्य है कि सभी अधिकार-बंधन मैपिंग को इन अधिकारों के साथ टोकन में जोड़ा जाएगा।
• हमारा poc-ubuntu-custom-sa कंटेनर डिफ़ॉल्ट नाम स्थान में है - तो चलिए इसे दूसरे नियम-बंधन के लिए उपयोग करते हैं।
• पिछले चरणों को दोहराएं:
  क) प्रमुख उपसर्ग "डिफ़ॉल्ट /" के लिए एक समान नीति बनाएं।
  बी) एक भूमिका बनाएँ, इसे "डिफ़ॉल्ट-एनएस-भूमिका" नाम दें
  c) भूमिका के लिए पॉलिसी संलग्न करें।
• नियम-बंधन बनाएँ (केवल cli / api से संभव है)

 consul acl binding-rule create \ -method=auth-method-skywiz-consul-poc \ -bind-type=role \ -bind-name='default-ns-role' \ -selector='serviceaccount.namespace=="default"' 

• हमारे poc-ubuntu-custom-sa कंटेनर पर वापस जाएँ और डिफ़ॉल्ट / kv पथ तक पहुँचने का प्रयास करें।
• अनुमति से इनकार कर दिया।
  आप ACL> टोकन के तहत UI में प्रत्येक टोकन के लिए निर्दिष्ट क्रेडेंशियल देख सकते हैं। जैसा कि आप देख सकते हैं, हमारे वर्तमान टोकन में केवल एक "कस्टम-सा-भूमिका" जुड़ा हुआ है। वर्तमान में हम जिस टोकन का उपयोग कर रहे हैं वह तब जनरेट किया गया था जब हम लॉगिन हुए थे, और तब केवल एक नियम-बंधन था, जो तब मेल खाती थी। हमें फिर से लॉग इन करना होगा और नए टोकन का उपयोग करना होगा।
• सुनिश्चित करें कि आप "कस्टम-सा /" और "डिफ़ॉल्ट /" केवी पथ दोनों से पढ़ सकते हैं।
  सफलता!
  ऐसा इसलिए है क्योंकि हमारा poc-ubuntu-custom-sa कस्टम-sa और डिफ़ॉल्ट-ns नियमों के बाइंडिंग से मेल खाता है।

निष्कर्ष

TTL टोकन एमजीएमटी?

इस लेखन के समय, इस प्राधिकरण पद्धति द्वारा उत्पन्न टोकन के लिए टीटीएल को निर्धारित करने का कोई एकीकृत तरीका नहीं है। यह कॉन्सुल प्राधिकरण के सुरक्षित स्वचालन प्रदान करने का एक शानदार अवसर होगा।

TTL के साथ मैन्युअल रूप से टोकन बनाना संभव है:

• https://www.consul.io/docs/acl/acl-system.html#acl-tokens
  समाप्ति समय - वह समय जब इस टोकन को निरस्त कर दिया जाएगा। (वैकल्पिक; कंसल 1.5.0 में जोड़ा गया)
• केवल मैनुअल निर्माण / अद्यतन करने के लिए https://www.consul.io/api/acl/tokens.html#expressiontime

मुझे आशा है कि निकट भविष्य में हम यह नियंत्रित करने में सक्षम होंगे कि कैसे टोकन उत्पन्न होते हैं (प्रत्येक नियम या प्राधिकरण विधि के लिए) और TTL जोड़ें।

तब तक, यह आपके तर्क में सिस्टम से बाहर निकलने के समापन बिंदु का उपयोग करने का प्रस्ताव है।

• https://www.consul.io/api/acl/acl.html#logout-from-auth-method
• https://www.consul.io/docs/acl/acl-auth-methods.html#overall-login-process

हमारे ब्लॉग पर अन्य लेख भी पढ़ें:

• प्राधिकरण के साथ ClickHouse को प्राधिकरण के बिना ClickHouse से माइग्रेशन का परिणाम क्या था
• GitLab CI / CD का उपयोग करके कई पाइपलाइन कैसे चलाएं
• डॉक छवियों को कम करने के लिए तीन सरल ट्रिक्स
• K8S के लिए एक Ingress Controller के रूप में Traefik
• बड़ी संख्या में विषम वेब परियोजनाओं का समर्थन करना
• रेडमाइन के लिए टेलीग्राम बॉट। अपने और लोगों के लिए जीवन को सरल कैसे बनाएं