Vous avez déployé Kubernetes, mais maintenant, comment allez-vous le mettre entre les mains de\nvos développeurs et administrateurs en toute sécurité?\nKubernetes a pris d'assaut le monde. En quelques années, Kubernetes\n(aka k8s) est passé d'un projet intéressant à un moteur de la technologie\net l'innovation. L’un des moyens les plus simples d’illustrer ce point est\nla différence de fréquentation dans les deux fois KubeCon Amérique du Nord a\nété à Seattle. Il y a deux ans, c'était dans un hôtel avec moins de 20\ncabines de vendeurs. Cette année, c’était au Seattle Convention Center avec\n8 000 participants et plus de 100 fournisseurs!
"},{"id":"text-2","type":"text","heading":"","plain_text":"Comme avec tout autre système complexe, k8s a son propre modèle de sécurité et\ndoit interagir avec les utilisateurs et les autres systèmes. Dans cet article,\nJe passe en revue les différentes options d’authentification et\nfournir des exemples et des conseils de mise en œuvre sur la façon dont vous devriez gérer\naccès à votre cluster.","html":"Comme avec tout autre système complexe, k8s a son propre modèle de sécurité et\ndoit interagir avec les utilisateurs et les autres systèmes. Dans cet article,\nJe passe en revue les différentes options d’authentification et\nfournir des exemples et des conseils de mise en œuvre sur la façon dont vous devriez gérer\naccès à votre cluster.
"},{"id":"text-3","type":"text","heading":"","plain_text":"Qu'est-ce que l'identité signifie pour Kubernetes?\nLa première chose à demander est "qu'est-ce qu'une identité?" en k8s. K8s est très\ndifférent de la plupart des autres systèmes et applications. C'est un ensemble d'API.\nIl n'y a pas d '"interface Web" (je discute du tableau de bord plus tard dans cet article).\nIl n'y a aucun intérêt à "se connecter". Il n'y a pas de "session" ou de "timeout".\nChaque demande d'API est unique et distincte, et elle doit tout contenir\nk8s doit s'authentifier et autoriser la demande.","html":"Qu'est-ce que l'identité signifie pour Kubernetes?\nLa première chose à demander est "qu'est-ce qu'une identité?" en k8s. K8s est très\ndifférent de la plupart des autres systèmes et applications. C'est un ensemble d'API.\nIl n'y a pas d '"interface Web" (je discute du tableau de bord plus tard dans cet article).\nIl n'y a aucun intérêt à "se connecter". Il n'y a pas de "session" ou de "timeout".\nChaque demande d'API est unique et distincte, et elle doit tout contenir\nk8s doit s'authentifier et autoriser la demande.
"},{"id":"text-4","type":"text","heading":"","plain_text":"Cela dit, la principale chose à retenir à propos des utilisateurs de k8s est qu’ils ne le font pas.\nexiste dans tout état persistant. Vous ne connectez pas k8 à un annuaire LDAP\nou Active Directory. Chaque demande doit attribuer une identité à K8 en une\nde multiples méthodes possibles. Je capitalise ASSERT car il deviendra\nimportant plus tard. La clé est de se rappeler que k8s ne s’authentifie pas\nutilisateurs; cela valide les assertions.","html":"Cela dit, la principale chose à retenir à propos des utilisateurs de k8s est qu’ils ne le font pas.\nexiste dans tout état persistant. Vous ne connectez pas k8 à un annuaire LDAP\nou Active Directory. Chaque demande doit attribuer une identité à K8 en une\nde multiples méthodes possibles. Je capitalise ASSERT car il deviendra\nimportant plus tard. La clé est de se rappeler que k8s ne s’authentifie pas\nutilisateurs; cela valide les assertions.
"},{"id":"text-5","type":"text","heading":"","plain_text":"Comptes de service","html":"Comptes de service
"},{"id":"text-6","type":"text","heading":"","plain_text":"Les comptes de service sont les endroits où cette règle est légèrement déformée. C'est vrai que k8s\nne stocke pas d'informations sur les utilisateurs. Il stocke des comptes de service,\nqui ne sont pas destinés à représenter les gens. Ils sont censés représenter\ntout ce qui n'est pas une personne. Tout ce qui interagit avec quelque chose\nsinon, dans k8s fonctionne comme un compte de service. Par exemple, si vous deviez\nsoumettre un pod très basique:","html":"Les comptes de service sont les endroits où cette règle est légèrement déformée. C'est vrai que k8s\nne stocke pas d'informations sur les utilisateurs. Il stocke des comptes de service,\nqui ne sont pas destinés à représenter les gens. Ils sont censés représenter\ntout ce qui n'est pas une personne. Tout ce qui interagit avec quelque chose\nsinon, dans k8s fonctionne comme un compte de service. Par exemple, si vous deviez\nsoumettre un pod très basique:
"},{"id":"text-7","type":"text","heading":"","plain_text":"apiVersion: v1\ngenre: Pod\nmétadonnées:\n nom: myapp-pod\n Étiquettes:\n app: myapp\nspec:\n conteneurs:\n - nom: myapp-container\n image: busybox\n commander: ['sh', '-c', 'echo Hello Kubernetes!\n ↪&& sleep 3600']","html":"apiVersion: v1\ngenre: Pod\nmétadonnées:\n nom: myapp-pod\n Étiquettes:\n app: myapp\nspec:\n conteneurs:\n - nom: myapp-container\n image: busybox\n commander: ['sh', '-c', 'echo Hello Kubernetes!\n ↪&& sleep 3600']
"},{"id":"text-8","type":"text","heading":"","plain_text":"Et puis regardez-le dans K8S après le déploiement en exécutant kubectl get pod\nmyapp-pod -o yaml:","html":"Et puis regardez-le dans K8S après le déploiement en exécutant kubectl get pod\nmyapp-pod -o yaml:
"},{"id":"text-9","type":"text","heading":"","plain_text":"apiVersion: v1\ngenre: Pod\nmétadonnées:\n creationTimestamp: 2018-12-25T19: 17: 53Z\n Étiquettes:\n app: myapp\n nom: myapp-pod\n namespace: default\n resourceVersion: "12499217"\n selfLink: / api / v1 / espaces de noms / default / pods / myapp-pod\n uid: c6dd5181-0879-11e9-a289-525400616039\nspec:\n conteneurs:\n - commande:\n - sh\n - -c\n - echo Bonjour Kubernetes! && sommeil 3600\n image: busybox\n imagePullPolicy: toujours\n nom: myapp-container\n.\n.\n.\n volumeMounts:\n - mountPath: /var/run/secrets/kubernetes.io/serviceaccount\n nom: default-token-bjzd4\n readOnly: true\n.\n.\n.\n serviceAccount: par défaut\n serviceAccountName: default\n .\n .\n .","html":"apiVersion: v1\ngenre: Pod\nmétadonnées:\n creationTimestamp: 2018-12-25T19: 17: 53Z\n Étiquettes:\n app: myapp\n nom: myapp-pod\n namespace: default\n resourceVersion: "12499217"\n selfLink: / api / v1 / espaces de noms / default / pods / myapp-pod\n uid: c6dd5181-0879-11e9-a289-525400616039\nspec:\n conteneurs:\n - commande:\n - sh\n - -c\n - echo Bonjour Kubernetes! && sommeil 3600\n image: busybox\n imagePullPolicy: toujours\n nom: myapp-container\n.\n.\n.\n volumeMounts:\n - mountPath: /var/run/secrets/kubernetes.io/serviceaccount\n nom: default-token-bjzd4\n readOnly: true\n.\n.\n.\n serviceAccount: par défaut\n serviceAccountName: default\n .\n .\n .
"},{"id":"text-10","type":"text","heading":"","plain_text":"Vous remarquerez qu'il y a un serviceAccount et\nserviceAccountName attribut,\nqui sont tous deux défaut. Ce compte de service est injecté pour\nvous par la chaîne de contrôleur d'admission. Vous pouvez définir votre propre service\ncompte sur les pods, mais c’est pour un article ultérieur sur l’autorisation dans k8s.\nPour l'instant, je veux expliquer ce qu'est un compte de service pour le distinguer\nà partir d'un compte d'utilisateur.","html":"Vous remarquerez qu'il y a un serviceAccount et\nserviceAccountName attribut,\nqui sont tous deux défaut. Ce compte de service est injecté pour\nvous par la chaîne de contrôleur d'admission. Vous pouvez définir votre propre service\ncompte sur les pods, mais c’est pour un article ultérieur sur l’autorisation dans k8s.\nPour l'instant, je veux expliquer ce qu'est un compte de service pour le distinguer\nà partir d'un compte d'utilisateur.
"},{"id":"text-11","type":"text","heading":"","plain_text":"Il est tentant d'utiliser des comptes de service pour représenter des personnes. Ils sont simples\npour créer et facile à utiliser. Ils souffrent cependant de multiples inconvénients:","html":"Il est tentant d'utiliser des comptes de service pour représenter des personnes. Ils sont simples\npour créer et facile à utiliser. Ils souffrent cependant de multiples inconvénients:
"},{"id":"text-12","type":"text","heading":"","plain_text":"Le jeton d'un compte de service est une longue chaîne dont aucun humain ne peut se souvenir,\ndonc il sera probablement écrit, ce qui peut être exploité si pas fait\ncorrectement.","html":"Le jeton d'un compte de service est une longue chaîne dont aucun humain ne peut se souvenir,\ndonc il sera probablement écrit, ce qui peut être exploité si pas fait\ncorrectement.
"},{"id":"text-13","type":"text","heading":"","plain_text":"Le seul moyen d'autoriser les comptes de service est via des liaisons RBAC\ndirectement. (Je prévois d’entrer dans les détails dans un prochain article,\nmais imaginez avoir 2 000 développeurs pour suivre des dizaines de\nLes espaces de noms ont tous leurs propres politiques. L'audit sera un cauchemar.)","html":"Le seul moyen d'autoriser les comptes de service est via des liaisons RBAC\ndirectement. (Je prévois d’entrer dans les détails dans un prochain article,\nmais imaginez avoir 2 000 développeurs pour suivre des dizaines de\nLes espaces de noms ont tous leurs propres politiques. L'audit sera un cauchemar.)
"},{"id":"text-14","type":"text","heading":"","plain_text":"Les comptes de service n'ont pas d'expiration, donc s'il y a une fuite et personne\nsait, on peut en abuser continuellement jusqu'à ce qu'on le découvre.","html":"Les comptes de service n'ont pas d'expiration, donc s'il y a une fuite et personne\nsait, on peut en abuser continuellement jusqu'à ce qu'on le découvre.
"},{"id":"text-15","type":"text","heading":"","plain_text":"Si votre application s'exécute dans un pod et doit parler au serveur d'API,\nvous pouvez récupérer le compte de service du pod via un secret monté\nà votre pod. Si vous regardez le yaml ci-dessus, vous verrez un montage de volume\na été ajouté à /var/run/secrets/kubernetes.io/serviceaccount où\nIl existe un fichier de jeton contenant le jeton du compte de service du pod.\nN'intégrez pas de jetons de compte de service en tant que secrets ou configuration pour une\npod fonctionnant dans le cluster, car il est plus difficile d’utiliser la rotation\njetons et est généralement plus difficile à gérer.","html":"Si votre application s'exécute dans un pod et doit parler au serveur d'API,\nvous pouvez récupérer le compte de service du pod via un secret monté\nà votre pod. Si vous regardez le yaml ci-dessus, vous verrez un montage de volume\na été ajouté à /var/run/secrets/kubernetes.io/serviceaccount où\nIl existe un fichier de jeton contenant le jeton du compte de service du pod.\nN'intégrez pas de jetons de compte de service en tant que secrets ou configuration pour une\npod fonctionnant dans le cluster, car il est plus difficile d’utiliser la rotation\njetons et est généralement plus difficile à gérer.
"},{"id":"text-16","type":"text","heading":"","plain_text":"Comptes utilisateur","html":"Comptes utilisateur
"},{"id":"text-17","type":"text","heading":"","plain_text":"J'ai déjà mentionné que k8s ne se connecte à aucun type de magasin d'utilisateurs (pas\ndirectement au moins). Cela signifie qu'à chaque demande, vous devez fournir\nsuffisamment d’informations pour que k8s valide l’appelant. K8s ne se soucie pas comment\nvous établissez l'identité, il se soucie seulement de savoir comment prouver que l'identité est valide.\nPlusieurs mécanismes existent pour le faire. Je couvre le\nle plus populaire ici.","html":"J'ai déjà mentionné que k8s ne se connecte à aucun type de magasin d'utilisateurs (pas\ndirectement au moins). Cela signifie qu'à chaque demande, vous devez fournir\nsuffisamment d’informations pour que k8s valide l’appelant. K8s ne se soucie pas comment\nvous établissez l'identité, il se soucie seulement de savoir comment prouver que l'identité est valide.\nPlusieurs mécanismes existent pour le faire. Je couvre le\nle plus populaire ici.
"},{"id":"text-18","type":"text","heading":"","plain_text":"Comment Kubernetes sait qui vous êtes","html":"Comment Kubernetes sait qui vous êtes
"},{"id":"text-19","type":"text","heading":"","plain_text":"OpenID Connect","html":"OpenID Connect
"},{"id":"text-20","type":"text","heading":"","plain_text":"C’est l’option que vous devriez utiliser (à l’exception du cloud\nsolution basée sur le fournisseur pour une distribution gérée) pour authentifier les utilisateurs.","html":"C’est l’option que vous devriez utiliser (à l’exception du cloud\nsolution basée sur le fournisseur pour une distribution gérée) pour authentifier les utilisateurs.
"},{"id":"text-21","type":"text","heading":"","plain_text":"Les jetons OpenID Connect peuvent être de très courte durée, donc s'ils sont interceptés\net exfiltré, au moment où les attaquants savent ce qu'ils ont, le jeton\nest inutile.","html":"Les jetons OpenID Connect peuvent être de très courte durée, donc s'ils sont interceptés\net exfiltré, au moment où les attaquants savent ce qu'ils ont, le jeton\nest inutile.
"},{"id":"text-22","type":"text","heading":"","plain_text":"Utiliser OpenID Connect, k8s jamais a les informations d'identification de l'utilisateur, il est donc\nimpossible de faire fuir quelque chose qu'il n'a pas.","html":"Utiliser OpenID Connect, k8s jamais a les informations d'identification de l'utilisateur, il est donc\nimpossible de faire fuir quelque chose qu'il n'a pas.
"},{"id":"text-23","type":"text","heading":"","plain_text":"Une identité d’utilisateur présentée par OpenID Connect peut fournir non seulement\ninformations de nom d'utilisateur, mais aussi informations de groupe. Cela fait beaucoup\ngestion plus facile des accès via un annuaire LDAP ou une base de données externe\nsans avoir à créer des liaisons RBAC pour des utilisateurs individuels.","html":"Une identité d’utilisateur présentée par OpenID Connect peut fournir non seulement\ninformations de nom d'utilisateur, mais aussi informations de groupe. Cela fait beaucoup\ngestion plus facile des accès via un annuaire LDAP ou une base de données externe\nsans avoir à créer des liaisons RBAC pour des utilisateurs individuels.
"},{"id":"text-24","type":"text","heading":"","plain_text":"En ajoutant un "proxy" entre k8s et la couche d'identité, il permet\nil est plus facile d'ajouter plusieurs types d'authentification, tels que le multi-facteur\nauthentification.","html":"En ajoutant un "proxy" entre k8s et la couche d'identité, il permet\nil est plus facile d'ajouter plusieurs types d'authentification, tels que le multi-facteur\nauthentification.
"},{"id":"text-25","type":"text","heading":"","plain_text":"Une pléthore d'implémentations open source OpenID Connect\ntravaillera avec k8s.","html":"Une pléthore d'implémentations open source OpenID Connect\ntravaillera avec k8s.
"},{"id":"text-26","type":"text","heading":"","plain_text":"OpenID Connect Primer\nAvant d’explorer comment travailler avec OpenID Connect, laissez-moi vous expliquer.\nle protocole. Il y a deux concepts de base à comprendre avec\nOpenID Connect:","html":"OpenID Connect Primer\nAvant d’explorer comment travailler avec OpenID Connect, laissez-moi vous expliquer.\nle protocole. Il y a deux concepts de base à comprendre avec\nOpenID Connect:
"},{"id":"text-27","type":"text","heading":"","plain_text":"OpenID Connect est un protocole de génération d'assertions construit sur le dessus\nde OAuth2.","html":"OpenID Connect est un protocole de génération d'assertions construit sur le dessus\nde OAuth2.
"},{"id":"text-28","type":"text","heading":"","plain_text":"OAuth2 est un protocole d'autorisation permettant de transférer des jetons au porteur.","html":"OAuth2 est un protocole d'autorisation permettant de transférer des jetons au porteur.
"},{"id":"text-29","type":"text","heading":"","plain_text":"Il semble qu'il manque un mot dans ces deux points:\nauthentification! C'est parce que OpenID Connect n'est pas une authentification\nprotocole. Peu importe comment vous vous authentifiez. Peu importe si\nl'utilisateur connecté avec un nom d'utilisateur et un mot de passe, une carte à puce ou tout simplement\nregardé vraiment digne de confiance. OpenID Connect est un protocole permettant de générer,\nrécupérer et actualiser des assertions concernant un utilisateur. Il y a aussi\ncertaines normes sur ce à quoi l'assertion ressemble, mais comment l'utilisateur\nauthentifie est finalement à la mise en œuvre OpenID Connect.","html":"Il semble qu'il manque un mot dans ces deux points:\nauthentification! C'est parce que OpenID Connect n'est pas une authentification\nprotocole. Peu importe comment vous vous authentifiez. Peu importe si\nl'utilisateur connecté avec un nom d'utilisateur et un mot de passe, une carte à puce ou tout simplement\nregardé vraiment digne de confiance. OpenID Connect est un protocole permettant de générer,\nrécupérer et actualiser des assertions concernant un utilisateur. Il y a aussi\ncertaines normes sur ce à quoi l'assertion ressemble, mais comment l'utilisateur\nauthentifie est finalement à la mise en œuvre OpenID Connect.
"},{"id":"text-30","type":"text","heading":"","plain_text":"Le deuxième point sur OAuth2 est important car ces deux protocoles\nsont souvent confondus les uns avec les autres ou mal représentés. OAuth2 est un\nprotocole de transfert de jetons. Il ne définit pas ce que le jeton est\nou comment il devrait être utilisé. Il définit simplement comment le jeton est passé\nentre porteurs et parties en instance.","html":"Le deuxième point sur OAuth2 est important car ces deux protocoles\nsont souvent confondus les uns avec les autres ou mal représentés. OAuth2 est un\nprotocole de transfert de jetons. Il ne définit pas ce que le jeton est\nou comment il devrait être utilisé. Il définit simplement comment le jeton est passé\nentre porteurs et parties en instance.
"},{"id":"text-31","type":"text","heading":"","plain_text":"Comment Kubernetes fonctionne-t-il avec OpenID Connect?\nLa figure 1 montre le graphique des k8s authentification\npage.","html":"Comment Kubernetes fonctionne-t-il avec OpenID Connect?\nLa figure 1 montre le graphique des k8s authentification\npage.
"},{"id":"text-32","type":"text","heading":"","plain_text":"Figure 1. Open8 Connect Flow de k8s","html":"Figure 1. Open8 Connect Flow de k8s
"},{"id":"text-33","type":"text","heading":"","plain_text":"Je ne vais pas répéter les mots exacts du site, mais voici les\nbases:","html":"Je ne vais pas répéter les mots exacts du site, mais voici les\nbases:
"},{"id":"text-34","type":"text","heading":"","plain_text":"L'utilisateur se connecte au fournisseur d'identité de l'utilisateur.","html":"L'utilisateur se connecte au fournisseur d'identité de l'utilisateur.
"},{"id":"text-35","type":"text","heading":"","plain_text":"Le fournisseur d'identité génère un id_token et un\nrefresh_token.","html":"Le fournisseur d'identité génère un id_token et un\nrefresh_token.
"},{"id":"text-36","type":"text","heading":"","plain_text":"le id_token est utilisé pour affirmer l'identité de l'utilisateur à k8s.","html":"le id_token est utilisé pour affirmer l'identité de l'utilisateur à k8s.
"},{"id":"text-37","type":"text","heading":"","plain_text":"Quand le id_token a expiré, le refresh_token est utilisé pour\ngénérer un nouveau id_token.","html":"Quand le id_token a expiré, le refresh_token est utilisé pour\ngénérer un nouveau id_token.
"},{"id":"text-38","type":"text","heading":"","plain_text":"Un id_token est un jeton Web JSON (JWT) qui dit:","html":"Un id_token est un jeton Web JSON (JWT) qui dit:
"},{"id":"text-39","type":"text","heading":"","plain_text":"Qui est l'utilisateur?","html":"Qui est l'utilisateur?
"},{"id":"text-40","type":"text","heading":"","plain_text":"À quels groupes l'utilisateur appartient-il (facultativement)?","html":"À quels groupes l'utilisateur appartient-il (facultativement)?
"},{"id":"text-41","type":"text","heading":"","plain_text":"Combien de temps le jeton est valide.","html":"Combien de temps le jeton est valide.
"},{"id":"text-42","type":"text","heading":"","plain_text":"Et, il contient une signature numérique pour valider que le JWT n'a pas été\naltéré.","html":"Et, il contient une signature numérique pour valider que le JWT n'a pas été\naltéré.
"},{"id":"text-43","type":"text","heading":"","plain_text":"L'attribut id de l'utilisateur, sous, est généralement l'identifiant unique de l'utilisateur.\nIl est courant d'utiliser l'identifiant de connexion d'Active Directory (ou samAccountName), ou\nde nombreux développeurs préfèrent utiliser une adresse électronique. En général, ce n'est pas\nla meilleure pratique. L'identifiant d'un utilisateur doit être à la fois unique et immuable.\nBien qu’une adresse électronique soit unique, elle n’est pas toujours immuable (par exemple, parfois\ndes noms\nchangement).","html":"L'attribut id de l'utilisateur, sous, est généralement l'identifiant unique de l'utilisateur.\nIl est courant d'utiliser l'identifiant de connexion d'Active Directory (ou samAccountName), ou\nde nombreux développeurs préfèrent utiliser une adresse électronique. En général, ce n'est pas\nla meilleure pratique. L'identifiant d'un utilisateur doit être à la fois unique et immuable.\nBien qu’une adresse électronique soit unique, elle n’est pas toujours immuable (par exemple, parfois\ndes noms\nchangement).
"},{"id":"text-44","type":"text","heading":"","plain_text":"Le JWT est transmis à chaque demande de Kubectl à k8s. le\nid_token\nest appelé "jeton porteur", car il donne au porteur l'accès\nsans aucun contrôle supplémentaire. Cela signifie que si un système dans le\nflux d'un appel d'API, tel qu'un proxy de service, validant webhook\nwebhook en mutation – devaient laisser échapper ce jeton, il pourrait être abusé par un\nattaquant. Parce que ces jetons sont si facilement maltraités, ils devraient avoir\ndurée de vie très courte. Je recommande une minute. De cette façon, si un jeton\nest exfiltré au moment où quelqu'un le voit, sait ce que c'est et est\ncapable de l'utiliser, le jeton a expiré et est donc inutile. Lors de l'utilisation\nces jetons de courte durée, il est important de configurer un\nrefresh_token\npour mettre à jour votre id_token après son expiration.","html":"Le JWT est transmis à chaque demande de Kubectl à k8s. le\nid_token\nest appelé "jeton porteur", car il donne au porteur l'accès\nsans aucun contrôle supplémentaire. Cela signifie que si un système dans le\nflux d'un appel d'API, tel qu'un proxy de service, validant webhook\nwebhook en mutation – devaient laisser échapper ce jeton, il pourrait être abusé par un\nattaquant. Parce que ces jetons sont si facilement maltraités, ils devraient avoir\ndurée de vie très courte. Je recommande une minute. De cette façon, si un jeton\nest exfiltré au moment où quelqu'un le voit, sait ce que c'est et est\ncapable de l'utiliser, le jeton a expiré et est donc inutile. Lors de l'utilisation\nces jetons de courte durée, il est important de configurer un\nrefresh_token\npour mettre à jour votre id_token après son expiration.
"},{"id":"text-45","type":"text","heading":"","plain_text":"Kubectl sait comment rafraîchir la id_token jeton en utilisant le\nrefresh_token appeler l'URL du service d'autorisation du fournisseur d'identité.\nle refresh_token est un jeton que le serveur API du k8s n'utilise jamais et\ndoit être traité comme un secret par l'utilisateur. Ce jeton est utilisé pour obtenir un\nnouveau JWT, à quel point un nouveau refresh_token est disponible. Où le\nid_token devrait avoir une durée de vie très courte, le\nrefresh_token\ntimeout doit être similaire à un délai d'inactivité, généralement compris entre 15 et 20.\nminutes. De cette façon, la mise en œuvre de votre K8 sera conforme à\nles stratégies de votre entreprise se concentrent sur les délais d'inactivité. Utilisant un\nrefresh_token pour obtenir un nouveau id_token est plus sécurisé\nqu'une vie plus longue\nid_token parce que le refresh_token signifie le\nSuivant:","html":"Kubectl sait comment rafraîchir la id_token jeton en utilisant le\nrefresh_token appeler l'URL du service d'autorisation du fournisseur d'identité.\nle refresh_token est un jeton que le serveur API du k8s n'utilise jamais et\ndoit être traité comme un secret par l'utilisateur. Ce jeton est utilisé pour obtenir un\nnouveau JWT, à quel point un nouveau refresh_token est disponible. Où le\nid_token devrait avoir une durée de vie très courte, le\nrefresh_token\ntimeout doit être similaire à un délai d'inactivité, généralement compris entre 15 et 20.\nminutes. De cette façon, la mise en œuvre de votre K8 sera conforme à\nles stratégies de votre entreprise se concentrent sur les délais d'inactivité. Utilisant un\nrefresh_token pour obtenir un nouveau id_token est plus sécurisé\nqu'une vie plus longue\nid_token parce que le refresh_token signifie le\nSuivant:
"},{"id":"text-46","type":"text","heading":"","plain_text":"Il ne peut être utilisé qu'une seule fois. une fois qu'il est utilisé, un nouveau est généré.","html":"Il ne peut être utilisé qu'une seule fois. une fois qu'il est utilisé, un nouveau est généré.
"},{"id":"text-47","type":"text","heading":"","plain_text":"Il est uniquement transmis entre l'utilisateur et le fournisseur d'identité,\nil y a donc beaucoup moins d'acteurs qui pourraient potentiellement la laisser couler.","html":"Il est uniquement transmis entre l'utilisateur et le fournisseur d'identité,\nil y a donc beaucoup moins d'acteurs qui pourraient potentiellement la laisser couler.
"},{"id":"text-48","type":"text","heading":"","plain_text":"Il ne vous identifie pas; s'il est exfiltré seul, il ne peut pas être utilisé\npour vous identifier car il est opaque, afin qu'un attaquant ne sache pas quoi\nfaire avec sans informations supplémentaires.","html":"Il ne vous identifie pas; s'il est exfiltré seul, il ne peut pas être utilisé\npour vous identifier car il est opaque, afin qu'un attaquant ne sache pas quoi\nfaire avec sans informations supplémentaires.
"},{"id":"text-49","type":"text","heading":"","plain_text":"Le tableau de bord Kubernetes\nLe tableau de bord ne dispose pas de son propre système de connexion. Tout ce qu'il peut faire utilise un\njeton existant agissant au nom de l'utilisateur. Cela signifie souvent mettre un\nproxy inverse devant le tableau de bord qui injectera le\nid_token\nsur chaque demande. Le proxy inverse est alors responsable de l'actualisation\nle jeton au besoin.","html":"Le tableau de bord Kubernetes\nLe tableau de bord ne dispose pas de son propre système de connexion. Tout ce qu'il peut faire utilise un\njeton existant agissant au nom de l'utilisateur. Cela signifie souvent mettre un\nproxy inverse devant le tableau de bord qui injectera le\nid_token\nsur chaque demande. Le proxy inverse est alors responsable de l'actualisation\nle jeton au besoin.
"},{"id":"text-50","type":"text","heading":"","plain_text":"Quel fournisseur d'identité devrais-je utiliser?\nLors du choix d'un fournisseur d'identité, k8s n'a en réalité que deux exigences:","html":"Quel fournisseur d'identité devrais-je utiliser?\nLors du choix d'un fournisseur d'identité, k8s n'a en réalité que deux exigences:
"},{"id":"text-51","type":"text","heading":"","plain_text":"Il doit supporte la découverte OpenID Connect.","html":"Il doit supporte la découverte OpenID Connect.
"},{"id":"text-52","type":"text","heading":"","plain_text":"Il fournit un mécanisme pour générer des jetons et les injecter dans votre\n~ / .kube / config.","html":"Il fournit un mécanisme pour générer des jetons et les injecter dans votre\n~ / .kube / config.
"},{"id":"text-53","type":"text","heading":"","plain_text":"C'est à peu près ça! La découverte est importante car elle vous garde\nd'avoir à dire à K8 où les différentes URL sont manuellement, quelles sont les clés\nsont utilisés pour la signature et ainsi de suite. Il est beaucoup plus facile de pointer le k8s vers une découverte\nURL qui contient toutes ces informations. C’est une norme commune, et la plupart\nLes fournisseurs d'identité le prennent en charge immédiatement.","html":"C'est à peu près ça! La découverte est importante car elle vous garde\nd'avoir à dire à K8 où les différentes URL sont manuellement, quelles sont les clés\nsont utilisés pour la signature et ainsi de suite. Il est beaucoup plus facile de pointer le k8s vers une découverte\nURL qui contient toutes ces informations. C’est une norme commune, et la plupart\nLes fournisseurs d'identité le prennent en charge immédiatement.
"},{"id":"text-54","type":"text","heading":"","plain_text":"Le point 2 est l'endroit où les choses deviennent intéressantes. Il y a différentes écoles\nde penser à comment obtenir vos informations de jeton à partir de votre point de connexion\n(généralement un navigateur Web) dans votre ~ / .kube / config.","html":"Le point 2 est l'endroit où les choses deviennent intéressantes. Il y a différentes écoles\nde penser à comment obtenir vos informations de jeton à partir de votre point de connexion\n(généralement un navigateur Web) dans votre ~ / .kube / config.
"},{"id":"text-55","type":"text","heading":"","plain_text":"Injection de navigateur Web\nDans ce modèle, tout se concentre sur votre navigateur Web. Vous\ns'authentifier via votre navigateur, puis des commandes sont fournies à\nconfigurez votre Kubectl client correctement. Par exemple, OpenUnison (notre propre projet)\nvous fournit une seule commande pour définir votre configuration de cluster\nune fois authentifié (Figure 2).","html":"Injection de navigateur Web\nDans ce modèle, tout se concentre sur votre navigateur Web. Vous\ns'authentifier via votre navigateur, puis des commandes sont fournies à\nconfigurez votre Kubectl client correctement. Par exemple, OpenUnison (notre propre projet)\nvous fournit une seule commande pour définir votre configuration de cluster\nune fois authentifié (Figure 2).
"},{"id":"text-56","type":"text","heading":"","plain_text":"Figure 2. Jeton de navigateur","html":"Figure 2. Jeton de navigateur
"},{"id":"text-57","type":"text","heading":"","plain_text":"Tu utilises KubectlLa capacité intégrée de configurer le fichier de configuration à partir de\nla ligne de commande pour terminer la configuration.","html":"Tu utilises KubectlLa capacité intégrée de configurer le fichier de configuration à partir de\nla ligne de commande pour terminer la configuration.
"},{"id":"text-58","type":"text","heading":"","plain_text":"Cette méthode a plusieurs avantages:","html":"Cette méthode a plusieurs avantages:
"},{"id":"text-59","type":"text","heading":"","plain_text":"Les navigateurs ont le plus d'options pour l'authentification. En plus de\nnom d'utilisateur et mot de passe, vous pouvez intégrer Kerberos, multi-facteurs, etc.","html":"Les navigateurs ont le plus d'options pour l'authentification. En plus de\nnom d'utilisateur et mot de passe, vous pouvez intégrer Kerberos, multi-facteurs, etc.
"},{"id":"text-60","type":"text","heading":"","plain_text":"Vous n'avez pas besoin de gérer des configurations complexes de K8; ils sont gérés\npour vous.","html":"Vous n'avez pas besoin de gérer des configurations complexes de K8; ils sont gérés\npour vous.
"},{"id":"text-61","type":"text","heading":"","plain_text":"Cela fonctionne avec stock Kubectl commandes, donc il n'y a rien de plus à déployer pour\npostes de travail.","html":"Cela fonctionne avec stock Kubectl commandes, donc il n'y a rien de plus à déployer pour\npostes de travail.
"},{"id":"text-62","type":"text","heading":"","plain_text":"Le plugin kubectl\nVous pouvez prolonger le Kubectl commande utilisant des plugins.\nÀ l'aide d'un plugin, vous pouvez collecter les informations d'identification d'un utilisateur, puis générer\nun jeton. J'ai vu des plugins qui vont collecter vos identifiants\nla CLI et d’autres plug-ins qui lanceront un navigateur pour vous demander de\nun login. Cette méthode est bonne du point de vue de la CLI car elle permet à votre CLI\npilotez votre expérience utilisateur. L’inconvénient majeur de cette approche est-il\nnécessite l'installation du plug-in sur chaque poste de travail.","html":"Le plugin kubectl\nVous pouvez prolonger le Kubectl commande utilisant des plugins.\nÀ l'aide d'un plugin, vous pouvez collecter les informations d'identification d'un utilisateur, puis générer\nun jeton. J'ai vu des plugins qui vont collecter vos identifiants\nla CLI et d’autres plug-ins qui lanceront un navigateur pour vous demander de\nun login. Cette méthode est bonne du point de vue de la CLI car elle permet à votre CLI\npilotez votre expérience utilisateur. L’inconvénient majeur de cette approche est-il\nnécessite l'installation du plug-in sur chaque poste de travail.
"},{"id":"text-63","type":"text","heading":"","plain_text":"Télécharger la configuration\nAvec cette méthode, le fournisseur d’identité (ou une application personnalisée)\nvous fournit un fichier de configuration entièrement généré que vous pouvez télécharger.\nCela peut créer un problème de support si quelque chose n'est pas enregistré dans\nau bon endroit.","html":"Télécharger la configuration\nAvec cette méthode, le fournisseur d’identité (ou une application personnalisée)\nvous fournit un fichier de configuration entièrement généré que vous pouvez télécharger.\nCela peut créer un problème de support si quelque chose n'est pas enregistré dans\nau bon endroit.
"},{"id":"text-64","type":"text","heading":"","plain_text":"Une fois que vous avez choisi un fournisseur d’identité, suivez ses instructions.\nl'intégration. Les éléments clés d’importance sont l’URL de découverte, le\nl'identifiant "claim" et la "claim" du groupe.","html":"Une fois que vous avez choisi un fournisseur d’identité, suivez ses instructions.\nl'intégration. Les éléments clés d’importance sont l’URL de découverte, le\nl'identifiant "claim" et la "claim" du groupe.
"},{"id":"text-65","type":"text","heading":"","plain_text":"Certificats X509","html":"Certificats X509
"},{"id":"text-66","type":"text","heading":"","plain_text":"L’authentification par certificat exploite la négociation TLS entre les\nclient (généralement le Kubectl commande) et le serveur API k8s\npour affirmer une identité en présentant un certificat au serveur API.\nÀ l'exception d'un cas d'utilisation, cette méthode n'est pas une "meilleure pratique"\net devrait être découragé pour plusieurs raisons:","html":"L’authentification par certificat exploite la négociation TLS entre les\nclient (généralement le Kubectl commande) et le serveur API k8s\npour affirmer une identité en présentant un certificat au serveur API.\nÀ l'exception d'un cas d'utilisation, cette méthode n'est pas une "meilleure pratique"\net devrait être découragé pour plusieurs raisons:
"},{"id":"text-67","type":"text","heading":"","plain_text":"Les certificats ne peuvent pas être révoqués en k8. Vous devez soit attendre jusqu'à\nle certificat a expiré ou ressaisissez l'intégralité du cluster.","html":"Les certificats ne peuvent pas être révoqués en k8. Vous devez soit attendre jusqu'à\nle certificat a expiré ou ressaisissez l'intégralité du cluster.
"},{"id":"text-68","type":"text","heading":"","plain_text":"La clé privée d'un certificat doit jamais quitter le support sécurisé\noù c'était\ngénéré. Habituellement, on vous "donne" une paire de clés et un certificat à utiliser.","html":"La clé privée d'un certificat doit jamais quitter le support sécurisé\noù c'était\ngénéré. Habituellement, on vous "donne" une paire de clés et un certificat à utiliser.
"},{"id":"text-69","type":"text","heading":"","plain_text":"Il est difficile d'utiliser des groupes avec des certificats. Vous devez les intégrer\ndans le sujet, et si ces groupes doivent changer, bien, voir n ° 1 ci-dessus.","html":"Il est difficile d'utiliser des groupes avec des certificats. Vous devez les intégrer\ndans le sujet, et si ces groupes doivent changer, bien, voir n ° 1 ci-dessus.
"},{"id":"text-70","type":"text","heading":"","plain_text":"La seule situation où vous devriez utiliser des certificats X509 pour\nl'authentification est lorsque vous démarrez votre cluster ou en cas de\nurgence et votre fournisseur d'identité n'est pas disponible. La plupart des distributions\ndéployer une paire de clés sur chaque maître, donc si vous ssh dans ce maître, vous pouvez\nutilisation Kubectl gérer le cluster. Cela signifie que vous devez verrouiller\naccès au maître (je prévois de couvrir cela dans un prochain article).","html":"La seule situation où vous devriez utiliser des certificats X509 pour\nl'authentification est lorsque vous démarrez votre cluster ou en cas de\nurgence et votre fournisseur d'identité n'est pas disponible. La plupart des distributions\ndéployer une paire de clés sur chaque maître, donc si vous ssh dans ce maître, vous pouvez\nutilisation Kubectl gérer le cluster. Cela signifie que vous devez verrouiller\naccès au maître (je prévois de couvrir cela dans un prochain article).
"},{"id":"text-71","type":"text","heading":"","plain_text":"Webhooks","html":"Webhooks
"},{"id":"text-72","type":"text","heading":"","plain_text":"Cette méthode vous permet d’intégrer une connexion tierce ou un système de jeton via\nun Webhook. Au lieu de dire à k8s comment valider une identité, k8s\nappelle un webhook et demande "qui est-ce?"","html":"Cette méthode vous permet d’intégrer une connexion tierce ou un système de jeton via\nun Webhook. Au lieu de dire à k8s comment valider une identité, k8s\nappelle un webhook et demande "qui est-ce?"
"},{"id":"text-73","type":"text","heading":"","plain_text":"Ne le faites pas sauf si vous êtes un fournisseur de cloud et que vous avez votre propre identité.\nSolution. À peu près toutes les mises en œuvre que j'ai vues de cela se transforment en\n"passons les mots de passe" ou un OpenID Connect mal pensé.","html":"Ne le faites pas sauf si vous êtes un fournisseur de cloud et que vous avez votre propre identité.\nSolution. À peu près toutes les mises en œuvre que j'ai vues de cela se transforment en\n"passons les mots de passe" ou un OpenID Connect mal pensé.
"},{"id":"text-74","type":"text","heading":"","plain_text":"Proxy inverse avec emprunt d'identité","html":"Proxy inverse avec emprunt d'identité
"},{"id":"text-75","type":"text","heading":"","plain_text":"Ici, le client (kubectl ou autre) ne communique pas avec l'API\nserveur directement. Au lieu de cela, il communique avec un proxy inverse, qui\ninjecte des en-têtes dans la requête pour représenter l'utilisateur. C'est souvent\nsouligné comme un moyen de gérer les scénarios d’authentification avancée,\ncela demande le moins de travail possible du point de vue du serveur d'API.\nLes étapes de la mise en œuvre sont les suivantes:","html":"Ici, le client (kubectl ou autre) ne communique pas avec l'API\nserveur directement. Au lieu de cela, il communique avec un proxy inverse, qui\ninjecte des en-têtes dans la requête pour représenter l'utilisateur. C'est souvent\nsouligné comme un moyen de gérer les scénarios d’authentification avancée,\ncela demande le moins de travail possible du point de vue du serveur d'API.\nLes étapes de la mise en œuvre sont les suivantes:
"},{"id":"text-76","type":"text","heading":"","plain_text":"Créez un compte de service.","html":"Créez un compte de service.
"},{"id":"text-77","type":"text","heading":"","plain_text":"Autorisez le compte de service à effectuer l'emprunt d'identité.","html":"Autorisez le compte de service à effectuer l'emprunt d'identité.
"},{"id":"text-78","type":"text","heading":"","plain_text":"Configurez un proxy inverse pour injecter le compte de service et\nen-têtes d'emprunt d'identité dans chaque demande.","html":"Configurez un proxy inverse pour injecter le compte de service et\nen-têtes d'emprunt d'identité dans chaque demande.
"},{"id":"text-79","type":"text","heading":"","plain_text":"Cette solution fournit ces problèmes ainsi que les mêmes pièges que Webhooks.\nIl est fort probable que les normes existantes satisferont vos besoins et seront plus faciles à\ngérer et maintenir.","html":"Cette solution fournit ces problèmes ainsi que les mêmes pièges que Webhooks.\nIl est fort probable que les normes existantes satisferont vos besoins et seront plus faciles à\ngérer et maintenir.
"},{"id":"text-80","type":"text","heading":"","plain_text":"Le tirer ensemble\nPour intégrer l'identité dans les k8, suivez cette liste de contrôle de base:","html":"Le tirer ensemble\nPour intégrer l'identité dans les k8, suivez cette liste de contrôle de base:
"},{"id":"text-81","type":"text","heading":"","plain_text":"Utilisez les comptes de service uniquement pour les systèmes, pas pour les utilisateurs.","html":"Utilisez les comptes de service uniquement pour les systèmes, pas pour les utilisateurs.
"},{"id":"text-82","type":"text","heading":"","plain_text":"Utilisez OpenID Connect pour les personnes; il est bien vérifié et soutenu par\nplusieurs systèmes, à la fois open-source et propriétaires.","html":"Utilisez OpenID Connect pour les personnes; il est bien vérifié et soutenu par\nplusieurs systèmes, à la fois open-source et propriétaires.
"},{"id":"text-83","type":"text","heading":"","plain_text":"Utilisez l'authentification par certificat uniquement pour "briser le verre en cas de\nsituations d'urgence.","html":"Utilisez l'authentification par certificat uniquement pour "briser le verre en cas de\nsituations d'urgence.
"},{"id":"text-84","type":"text","heading":"","plain_text":"Suivez ces règles et vous constaterez que vos développeurs sont heureux de\navoir un mot de passe de moins à retenir, et votre équipe de sécurité sera heureuse\nvous suivez les meilleures pratiques et les exigences de conformité.","html":"Suivez ces règles et vous constaterez que vos développeurs sont heureux de\navoir un mot de passe de moins à retenir, et votre équipe de sécurité sera heureuse\nvous suivez les meilleures pratiques et les exigences de conformité.
"},{"id":"text-85","type":"text","heading":"","plain_text":"Ressources","html":"Ressources
"},{"id":"text-86","type":"text","heading":"","plain_text":"Click to rate this post!\n \n [Total: 0 Average: 0]","html":"Click to rate this post!\n \n [Total: 0 Average: 0]
"}],"sections":[{"id":"text-1","heading":"Text","content":"Vous avez déployé Kubernetes, mais maintenant, comment allez-vous le mettre entre les mains de\nvos développeurs et administrateurs en toute sécurité?\nKubernetes a pris d'assaut le monde. En quelques années, Kubernetes\n(aka k8s) est passé d'un projet intéressant à un moteur de la technologie\net l'innovation. L’un des moyens les plus simples d’illustrer ce point est\nla différence de fréquentation dans les deux fois KubeCon Amérique du Nord a\nété à Seattle. Il y a deux ans, c'était dans un hôtel avec moins de 20\ncabines de vendeurs. Cette année, c’était au Seattle Convention Center avec\n8 000 participants et plus de 100 fournisseurs!"},{"id":"text-2","heading":"Text","content":"Comme avec tout autre système complexe, k8s a son propre modèle de sécurité et\ndoit interagir avec les utilisateurs et les autres systèmes. Dans cet article,\nJe passe en revue les différentes options d’authentification et\nfournir des exemples et des conseils de mise en œuvre sur la façon dont vous devriez gérer\naccès à votre cluster."},{"id":"text-3","heading":"Text","content":"Qu'est-ce que l'identité signifie pour Kubernetes?\nLa première chose à demander est "qu'est-ce qu'une identité?" en k8s. K8s est très\ndifférent de la plupart des autres systèmes et applications. C'est un ensemble d'API.\nIl n'y a pas d '"interface Web" (je discute du tableau de bord plus tard dans cet article).\nIl n'y a aucun intérêt à "se connecter". Il n'y a pas de "session" ou de "timeout".\nChaque demande d'API est unique et distincte, et elle doit tout contenir\nk8s doit s'authentifier et autoriser la demande."},{"id":"text-4","heading":"Text","content":"Cela dit, la principale chose à retenir à propos des utilisateurs de k8s est qu’ils ne le font pas.\nexiste dans tout état persistant. Vous ne connectez pas k8 à un annuaire LDAP\nou Active Directory. Chaque demande doit attribuer une identité à K8 en une\nde multiples méthodes possibles. Je capitalise ASSERT car il deviendra\nimportant plus tard. La clé est de se rappeler que k8s ne s’authentifie pas\nutilisateurs; cela valide les assertions."},{"id":"text-5","heading":"Text","content":"Comptes de service"},{"id":"text-6","heading":"Text","content":"Les comptes de service sont les endroits où cette règle est légèrement déformée. C'est vrai que k8s\nne stocke pas d'informations sur les utilisateurs. Il stocke des comptes de service,\nqui ne sont pas destinés à représenter les gens. Ils sont censés représenter\ntout ce qui n'est pas une personne. Tout ce qui interagit avec quelque chose\nsinon, dans k8s fonctionne comme un compte de service. Par exemple, si vous deviez\nsoumettre un pod très basique:"},{"id":"text-7","heading":"Text","content":"apiVersion: v1\ngenre: Pod\nmétadonnées:\n nom: myapp-pod\n Étiquettes:\n app: myapp\nspec:\n conteneurs:\n - nom: myapp-container\n image: busybox\n commander: ['sh', '-c', 'echo Hello Kubernetes!\n ↪&& sleep 3600']"},{"id":"text-8","heading":"Text","content":"Et puis regardez-le dans K8S après le déploiement en exécutant kubectl get pod\nmyapp-pod -o yaml:"},{"id":"text-9","heading":"Text","content":"apiVersion: v1\ngenre: Pod\nmétadonnées:\n creationTimestamp: 2018-12-25T19: 17: 53Z\n Étiquettes:\n app: myapp\n nom: myapp-pod\n namespace: default\n resourceVersion: "12499217"\n selfLink: / api / v1 / espaces de noms / default / pods / myapp-pod\n uid: c6dd5181-0879-11e9-a289-525400616039\nspec:\n conteneurs:\n - commande:\n - sh\n - -c\n - echo Bonjour Kubernetes! && sommeil 3600\n image: busybox\n imagePullPolicy: toujours\n nom: myapp-container\n.\n.\n.\n volumeMounts:\n - mountPath: /var/run/secrets/kubernetes.io/serviceaccount\n nom: default-token-bjzd4\n readOnly: true\n.\n.\n.\n serviceAccount: par défaut\n serviceAccountName: default\n .\n .\n ."},{"id":"text-10","heading":"Text","content":"Vous remarquerez qu'il y a un serviceAccount et\nserviceAccountName attribut,\nqui sont tous deux défaut. Ce compte de service est injecté pour\nvous par la chaîne de contrôleur d'admission. Vous pouvez définir votre propre service\ncompte sur les pods, mais c’est pour un article ultérieur sur l’autorisation dans k8s.\nPour l'instant, je veux expliquer ce qu'est un compte de service pour le distinguer\nà partir d'un compte d'utilisateur."},{"id":"text-11","heading":"Text","content":"Il est tentant d'utiliser des comptes de service pour représenter des personnes. Ils sont simples\npour créer et facile à utiliser. Ils souffrent cependant de multiples inconvénients:"},{"id":"text-12","heading":"Text","content":"Le jeton d'un compte de service est une longue chaîne dont aucun humain ne peut se souvenir,\ndonc il sera probablement écrit, ce qui peut être exploité si pas fait\ncorrectement."},{"id":"text-13","heading":"Text","content":"Le seul moyen d'autoriser les comptes de service est via des liaisons RBAC\ndirectement. (Je prévois d’entrer dans les détails dans un prochain article,\nmais imaginez avoir 2 000 développeurs pour suivre des dizaines de\nLes espaces de noms ont tous leurs propres politiques. L'audit sera un cauchemar.)"},{"id":"text-14","heading":"Text","content":"Les comptes de service n'ont pas d'expiration, donc s'il y a une fuite et personne\nsait, on peut en abuser continuellement jusqu'à ce qu'on le découvre."},{"id":"text-15","heading":"Text","content":"Si votre application s'exécute dans un pod et doit parler au serveur d'API,\nvous pouvez récupérer le compte de service du pod via un secret monté\nà votre pod. Si vous regardez le yaml ci-dessus, vous verrez un montage de volume\na été ajouté à /var/run/secrets/kubernetes.io/serviceaccount où\nIl existe un fichier de jeton contenant le jeton du compte de service du pod.\nN'intégrez pas de jetons de compte de service en tant que secrets ou configuration pour une\npod fonctionnant dans le cluster, car il est plus difficile d’utiliser la rotation\njetons et est généralement plus difficile à gérer."},{"id":"text-16","heading":"Text","content":"Comptes utilisateur"},{"id":"text-17","heading":"Text","content":"J'ai déjà mentionné que k8s ne se connecte à aucun type de magasin d'utilisateurs (pas\ndirectement au moins). Cela signifie qu'à chaque demande, vous devez fournir\nsuffisamment d’informations pour que k8s valide l’appelant. K8s ne se soucie pas comment\nvous établissez l'identité, il se soucie seulement de savoir comment prouver que l'identité est valide.\nPlusieurs mécanismes existent pour le faire. Je couvre le\nle plus populaire ici."},{"id":"text-18","heading":"Text","content":"Comment Kubernetes sait qui vous êtes"},{"id":"text-19","heading":"Text","content":"OpenID Connect"},{"id":"text-20","heading":"Text","content":"C’est l’option que vous devriez utiliser (à l’exception du cloud\nsolution basée sur le fournisseur pour une distribution gérée) pour authentifier les utilisateurs."},{"id":"text-21","heading":"Text","content":"Les jetons OpenID Connect peuvent être de très courte durée, donc s'ils sont interceptés\net exfiltré, au moment où les attaquants savent ce qu'ils ont, le jeton\nest inutile."},{"id":"text-22","heading":"Text","content":"Utiliser OpenID Connect, k8s jamais a les informations d'identification de l'utilisateur, il est donc\nimpossible de faire fuir quelque chose qu'il n'a pas."},{"id":"text-23","heading":"Text","content":"Une identité d’utilisateur présentée par OpenID Connect peut fournir non seulement\ninformations de nom d'utilisateur, mais aussi informations de groupe. Cela fait beaucoup\ngestion plus facile des accès via un annuaire LDAP ou une base de données externe\nsans avoir à créer des liaisons RBAC pour des utilisateurs individuels."},{"id":"text-24","heading":"Text","content":"En ajoutant un "proxy" entre k8s et la couche d'identité, il permet\nil est plus facile d'ajouter plusieurs types d'authentification, tels que le multi-facteur\nauthentification."},{"id":"text-25","heading":"Text","content":"Une pléthore d'implémentations open source OpenID Connect\ntravaillera avec k8s."},{"id":"text-26","heading":"Text","content":"OpenID Connect Primer\nAvant d’explorer comment travailler avec OpenID Connect, laissez-moi vous expliquer.\nle protocole. Il y a deux concepts de base à comprendre avec\nOpenID Connect:"},{"id":"text-27","heading":"Text","content":"OpenID Connect est un protocole de génération d'assertions construit sur le dessus\nde OAuth2."},{"id":"text-28","heading":"Text","content":"OAuth2 est un protocole d'autorisation permettant de transférer des jetons au porteur."},{"id":"text-29","heading":"Text","content":"Il semble qu'il manque un mot dans ces deux points:\nauthentification! C'est parce que OpenID Connect n'est pas une authentification\nprotocole. Peu importe comment vous vous authentifiez. Peu importe si\nl'utilisateur connecté avec un nom d'utilisateur et un mot de passe, une carte à puce ou tout simplement\nregardé vraiment digne de confiance. OpenID Connect est un protocole permettant de générer,\nrécupérer et actualiser des assertions concernant un utilisateur. Il y a aussi\ncertaines normes sur ce à quoi l'assertion ressemble, mais comment l'utilisateur\nauthentifie est finalement à la mise en œuvre OpenID Connect."},{"id":"text-30","heading":"Text","content":"Le deuxième point sur OAuth2 est important car ces deux protocoles\nsont souvent confondus les uns avec les autres ou mal représentés. OAuth2 est un\nprotocole de transfert de jetons. Il ne définit pas ce que le jeton est\nou comment il devrait être utilisé. Il définit simplement comment le jeton est passé\nentre porteurs et parties en instance."},{"id":"text-31","heading":"Text","content":"Comment Kubernetes fonctionne-t-il avec OpenID Connect?\nLa figure 1 montre le graphique des k8s authentification\npage."},{"id":"text-32","heading":"Text","content":"Figure 1. Open8 Connect Flow de k8s"},{"id":"text-33","heading":"Text","content":"Je ne vais pas répéter les mots exacts du site, mais voici les\nbases:"},{"id":"text-34","heading":"Text","content":"L'utilisateur se connecte au fournisseur d'identité de l'utilisateur."},{"id":"text-35","heading":"Text","content":"Le fournisseur d'identité génère un id_token et un\nrefresh_token."},{"id":"text-36","heading":"Text","content":"le id_token est utilisé pour affirmer l'identité de l'utilisateur à k8s."},{"id":"text-37","heading":"Text","content":"Quand le id_token a expiré, le refresh_token est utilisé pour\ngénérer un nouveau id_token."},{"id":"text-38","heading":"Text","content":"Un id_token est un jeton Web JSON (JWT) qui dit:"},{"id":"text-39","heading":"Text","content":"Qui est l'utilisateur?"},{"id":"text-40","heading":"Text","content":"À quels groupes l'utilisateur appartient-il (facultativement)?"},{"id":"text-41","heading":"Text","content":"Combien de temps le jeton est valide."},{"id":"text-42","heading":"Text","content":"Et, il contient une signature numérique pour valider que le JWT n'a pas été\naltéré."},{"id":"text-43","heading":"Text","content":"L'attribut id de l'utilisateur, sous, est généralement l'identifiant unique de l'utilisateur.\nIl est courant d'utiliser l'identifiant de connexion d'Active Directory (ou samAccountName), ou\nde nombreux développeurs préfèrent utiliser une adresse électronique. En général, ce n'est pas\nla meilleure pratique. L'identifiant d'un utilisateur doit être à la fois unique et immuable.\nBien qu’une adresse électronique soit unique, elle n’est pas toujours immuable (par exemple, parfois\ndes noms\nchangement)."},{"id":"text-44","heading":"Text","content":"Le JWT est transmis à chaque demande de Kubectl à k8s. le\nid_token\nest appelé "jeton porteur", car il donne au porteur l'accès\nsans aucun contrôle supplémentaire. Cela signifie que si un système dans le\nflux d'un appel d'API, tel qu'un proxy de service, validant webhook\nwebhook en mutation – devaient laisser échapper ce jeton, il pourrait être abusé par un\nattaquant. Parce que ces jetons sont si facilement maltraités, ils devraient avoir\ndurée de vie très courte. Je recommande une minute. De cette façon, si un jeton\nest exfiltré au moment où quelqu'un le voit, sait ce que c'est et est\ncapable de l'utiliser, le jeton a expiré et est donc inutile. Lors de l'utilisation\nces jetons de courte durée, il est important de configurer un\nrefresh_token\npour mettre à jour votre id_token après son expiration."},{"id":"text-45","heading":"Text","content":"Kubectl sait comment rafraîchir la id_token jeton en utilisant le\nrefresh_token appeler l'URL du service d'autorisation du fournisseur d'identité.\nle refresh_token est un jeton que le serveur API du k8s n'utilise jamais et\ndoit être traité comme un secret par l'utilisateur. Ce jeton est utilisé pour obtenir un\nnouveau JWT, à quel point un nouveau refresh_token est disponible. Où le\nid_token devrait avoir une durée de vie très courte, le\nrefresh_token\ntimeout doit être similaire à un délai d'inactivité, généralement compris entre 15 et 20.\nminutes. De cette façon, la mise en œuvre de votre K8 sera conforme à\nles stratégies de votre entreprise se concentrent sur les délais d'inactivité. Utilisant un\nrefresh_token pour obtenir un nouveau id_token est plus sécurisé\nqu'une vie plus longue\nid_token parce que le refresh_token signifie le\nSuivant:"},{"id":"text-46","heading":"Text","content":"Il ne peut être utilisé qu'une seule fois. une fois qu'il est utilisé, un nouveau est généré."},{"id":"text-47","heading":"Text","content":"Il est uniquement transmis entre l'utilisateur et le fournisseur d'identité,\nil y a donc beaucoup moins d'acteurs qui pourraient potentiellement la laisser couler."},{"id":"text-48","heading":"Text","content":"Il ne vous identifie pas; s'il est exfiltré seul, il ne peut pas être utilisé\npour vous identifier car il est opaque, afin qu'un attaquant ne sache pas quoi\nfaire avec sans informations supplémentaires."},{"id":"text-49","heading":"Text","content":"Le tableau de bord Kubernetes\nLe tableau de bord ne dispose pas de son propre système de connexion. Tout ce qu'il peut faire utilise un\njeton existant agissant au nom de l'utilisateur. Cela signifie souvent mettre un\nproxy inverse devant le tableau de bord qui injectera le\nid_token\nsur chaque demande. Le proxy inverse est alors responsable de l'actualisation\nle jeton au besoin."},{"id":"text-50","heading":"Text","content":"Quel fournisseur d'identité devrais-je utiliser?\nLors du choix d'un fournisseur d'identité, k8s n'a en réalité que deux exigences:"},{"id":"text-51","heading":"Text","content":"Il doit supporte la découverte OpenID Connect."},{"id":"text-52","heading":"Text","content":"Il fournit un mécanisme pour générer des jetons et les injecter dans votre\n~ / .kube / config."},{"id":"text-53","heading":"Text","content":"C'est à peu près ça! La découverte est importante car elle vous garde\nd'avoir à dire à K8 où les différentes URL sont manuellement, quelles sont les clés\nsont utilisés pour la signature et ainsi de suite. Il est beaucoup plus facile de pointer le k8s vers une découverte\nURL qui contient toutes ces informations. C’est une norme commune, et la plupart\nLes fournisseurs d'identité le prennent en charge immédiatement."},{"id":"text-54","heading":"Text","content":"Le point 2 est l'endroit où les choses deviennent intéressantes. Il y a différentes écoles\nde penser à comment obtenir vos informations de jeton à partir de votre point de connexion\n(généralement un navigateur Web) dans votre ~ / .kube / config."},{"id":"text-55","heading":"Text","content":"Injection de navigateur Web\nDans ce modèle, tout se concentre sur votre navigateur Web. Vous\ns'authentifier via votre navigateur, puis des commandes sont fournies à\nconfigurez votre Kubectl client correctement. Par exemple, OpenUnison (notre propre projet)\nvous fournit une seule commande pour définir votre configuration de cluster\nune fois authentifié (Figure 2)."},{"id":"text-56","heading":"Text","content":"Figure 2. Jeton de navigateur"},{"id":"text-57","heading":"Text","content":"Tu utilises KubectlLa capacité intégrée de configurer le fichier de configuration à partir de\nla ligne de commande pour terminer la configuration."},{"id":"text-58","heading":"Text","content":"Cette méthode a plusieurs avantages:"},{"id":"text-59","heading":"Text","content":"Les navigateurs ont le plus d'options pour l'authentification. En plus de\nnom d'utilisateur et mot de passe, vous pouvez intégrer Kerberos, multi-facteurs, etc."},{"id":"text-60","heading":"Text","content":"Vous n'avez pas besoin de gérer des configurations complexes de K8; ils sont gérés\npour vous."},{"id":"text-61","heading":"Text","content":"Cela fonctionne avec stock Kubectl commandes, donc il n'y a rien de plus à déployer pour\npostes de travail."},{"id":"text-62","heading":"Text","content":"Le plugin kubectl\nVous pouvez prolonger le Kubectl commande utilisant des plugins.\nÀ l'aide d'un plugin, vous pouvez collecter les informations d'identification d'un utilisateur, puis générer\nun jeton. J'ai vu des plugins qui vont collecter vos identifiants\nla CLI et d’autres plug-ins qui lanceront un navigateur pour vous demander de\nun login. Cette méthode est bonne du point de vue de la CLI car elle permet à votre CLI\npilotez votre expérience utilisateur. L’inconvénient majeur de cette approche est-il\nnécessite l'installation du plug-in sur chaque poste de travail."},{"id":"text-63","heading":"Text","content":"Télécharger la configuration\nAvec cette méthode, le fournisseur d’identité (ou une application personnalisée)\nvous fournit un fichier de configuration entièrement généré que vous pouvez télécharger.\nCela peut créer un problème de support si quelque chose n'est pas enregistré dans\nau bon endroit."},{"id":"text-64","heading":"Text","content":"Une fois que vous avez choisi un fournisseur d’identité, suivez ses instructions.\nl'intégration. Les éléments clés d’importance sont l’URL de découverte, le\nl'identifiant "claim" et la "claim" du groupe."},{"id":"text-65","heading":"Text","content":"Certificats X509"},{"id":"text-66","heading":"Text","content":"L’authentification par certificat exploite la négociation TLS entre les\nclient (généralement le Kubectl commande) et le serveur API k8s\npour affirmer une identité en présentant un certificat au serveur API.\nÀ l'exception d'un cas d'utilisation, cette méthode n'est pas une "meilleure pratique"\net devrait être découragé pour plusieurs raisons:"},{"id":"text-67","heading":"Text","content":"Les certificats ne peuvent pas être révoqués en k8. Vous devez soit attendre jusqu'à\nle certificat a expiré ou ressaisissez l'intégralité du cluster."},{"id":"text-68","heading":"Text","content":"La clé privée d'un certificat doit jamais quitter le support sécurisé\noù c'était\ngénéré. Habituellement, on vous "donne" une paire de clés et un certificat à utiliser."},{"id":"text-69","heading":"Text","content":"Il est difficile d'utiliser des groupes avec des certificats. Vous devez les intégrer\ndans le sujet, et si ces groupes doivent changer, bien, voir n ° 1 ci-dessus."},{"id":"text-70","heading":"Text","content":"La seule situation où vous devriez utiliser des certificats X509 pour\nl'authentification est lorsque vous démarrez votre cluster ou en cas de\nurgence et votre fournisseur d'identité n'est pas disponible. La plupart des distributions\ndéployer une paire de clés sur chaque maître, donc si vous ssh dans ce maître, vous pouvez\nutilisation Kubectl gérer le cluster. Cela signifie que vous devez verrouiller\naccès au maître (je prévois de couvrir cela dans un prochain article)."},{"id":"text-71","heading":"Text","content":"Webhooks"},{"id":"text-72","heading":"Text","content":"Cette méthode vous permet d’intégrer une connexion tierce ou un système de jeton via\nun Webhook. Au lieu de dire à k8s comment valider une identité, k8s\nappelle un webhook et demande "qui est-ce?""},{"id":"text-73","heading":"Text","content":"Ne le faites pas sauf si vous êtes un fournisseur de cloud et que vous avez votre propre identité.\nSolution. À peu près toutes les mises en œuvre que j'ai vues de cela se transforment en\n"passons les mots de passe" ou un OpenID Connect mal pensé."},{"id":"text-74","heading":"Text","content":"Proxy inverse avec emprunt d'identité"},{"id":"text-75","heading":"Text","content":"Ici, le client (kubectl ou autre) ne communique pas avec l'API\nserveur directement. Au lieu de cela, il communique avec un proxy inverse, qui\ninjecte des en-têtes dans la requête pour représenter l'utilisateur. C'est souvent\nsouligné comme un moyen de gérer les scénarios d’authentification avancée,\ncela demande le moins de travail possible du point de vue du serveur d'API.\nLes étapes de la mise en œuvre sont les suivantes:"},{"id":"text-76","heading":"Text","content":"Créez un compte de service."},{"id":"text-77","heading":"Text","content":"Autorisez le compte de service à effectuer l'emprunt d'identité."},{"id":"text-78","heading":"Text","content":"Configurez un proxy inverse pour injecter le compte de service et\nen-têtes d'emprunt d'identité dans chaque demande."},{"id":"text-79","heading":"Text","content":"Cette solution fournit ces problèmes ainsi que les mêmes pièges que Webhooks.\nIl est fort probable que les normes existantes satisferont vos besoins et seront plus faciles à\ngérer et maintenir."},{"id":"text-80","heading":"Text","content":"Le tirer ensemble\nPour intégrer l'identité dans les k8, suivez cette liste de contrôle de base:"},{"id":"text-81","heading":"Text","content":"Utilisez les comptes de service uniquement pour les systèmes, pas pour les utilisateurs."},{"id":"text-82","heading":"Text","content":"Utilisez OpenID Connect pour les personnes; il est bien vérifié et soutenu par\nplusieurs systèmes, à la fois open-source et propriétaires."},{"id":"text-83","heading":"Text","content":"Utilisez l'authentification par certificat uniquement pour "briser le verre en cas de\nsituations d'urgence."},{"id":"text-84","heading":"Text","content":"Suivez ces règles et vous constaterez que vos développeurs sont heureux de\navoir un mot de passe de moins à retenir, et votre équipe de sécurité sera heureuse\nvous suivez les meilleures pratiques et les exigences de conformité."},{"id":"text-85","heading":"Text","content":"Ressources"},{"id":"text-86","heading":"Text","content":"Click to rate this post!\n \n [Total: 0 Average: 0]"}],"media":{"primary_image":"https://tutos-gameserver.fr/wp-content/uploads/2019/04/12634f1.png"},"relations":[{"rel":"canonical","href":"https://tutos-gameserver.fr/2019/04/22/kubernetes-identity-management-authentification-journal-linux/"},{"rel":"alternate","href":"https://tutos-gameserver.fr/2019/04/22/kubernetes-identity-management-authentification-journal-linux/llm","type":"text/html"},{"rel":"alternate","href":"https://tutos-gameserver.fr/2019/04/22/kubernetes-identity-management-authentification-journal-linux/llm.json","type":"application/json"},{"rel":"llm-manifest","href":"https://tutos-gameserver.fr/llm-endpoints-manifest.json","type":"application/json"}],"http_headers":{"X-LLM-Friendly":"1","X-LLM-Schema":"1.1.0","Content-Security-Policy":"default-src 'none'; img-src * data:; style-src 'unsafe-inline'"},"license":"CC BY-ND 4.0","attribution_required":true,"allow_cors":false}