作者:李帅

介绍

KubeSphere 多租户是实际生产使用中非常需要的一个功能,该功能满足不同用户登陆 KubeSphere 平台的需求。比如开发,运维,测试都需要登陆 KubeSphere 平台,并且需要为不同身份的用户配置不同的权限。当公司内需要访问 KubeSphere 的用户比较多时,管理员再去手动为用户创建账号就不太灵活了。KubeSphere 包含一个内置的 OAuth 服务和帐户系统,用户通过获取 OAuth 访问令牌以对 API 进行身份验证,我们可以通过接入 LDAP 或者 OIDC 来提供身份认证信息。

多租户方案

认证鉴权链路

使用

假设集群内已经最小化安装 KubeSphere。我们这里使用 OIDC 身份提供者进行认证,通过 Dex 接入到 GitLab 中,使用 GitLab 中的用户完成认证。

安装 Dex

Dex 是一种身份认证服务,它使用 OpenID Connect 来驱动其他应用程序的身份验证。Dex 通过 “connectors” 充当其他身份提供商的门户。 Dex 可以将身份验证推到 LDAP 服务器、SAML 提供商或已建立的身份提供商(如 GitHub、Gitlab、Google 和 Active Directory等)。 客户端编写身份验证逻辑以与 Dex 交互认证,然后 Dex 通过 connector 转发到后端用户认证方进行认证,并返回给客户端 Oauth2 Token。与其相似的身份认证服务还有 Keycloak,auth0 等。

首先需要在 gitlab 上创建应用,在范围里勾选这几个 read_user profile email openid,创建后需要记住页面上的应用程序 id 和密码,后面会用得到。

#添加dex的helm仓库

root@i-tsfhx8p6:~/qke-k8s/dex# helm repo add dex https://charts.dexidp.io

"dex" has been added to your repositories

#下载dex的chart 文件到本地

root@i-tsfhx8p6:~/qke-k8s/dex# helm pull dex/dex

root@i-tsfhx8p6:~/qke-k8s/dex# ls

dex-0.5.0.tgz

root@i-tsfhx8p6:~/qke-k8s/dex# tar xf dex-0.5.0.tgz

root@i-tsfhx8p6:~/qke-k8s/dex# ls

dex  dex-0.5.0.tgz

root@i-tsfhx8p6:~/qke-k8s/dex# ls dex

Chart.yaml  LICENSE  README.md  ci  templates  values.yaml

修改values.yaml文件



replicaCount: 1

image:

  repository: dexidp/dex

  pullPolicy: IfNotPresent

  tag: "v2.29.0"

imagePullSecrets: []

nameOverride: ""

fullnameOverride: ""

hostAliases: []

https:

  # -- Enable the HTTPS endpoint.

  enabled: false

grpc:

  # -- Enable the gRPC endpoint.

  # Read more in the [documentation](https://dexidp.io/docs/api/).

  enabled: false

configSecret:

  # -- Enable creating a secret from the values passed to `config`.

  # If set to false, name must point to an existing secret.

  create: true

  # -- The name of the secret to mount as configuration in the pod.

  # If not set and create is true, a name is generated using the fullname template.

  # Must point to secret that contains at least a `config.yaml` key.

  name: ""

config:

  issuer: https://dex-qke.lishuai.fun  #修改为你实际的地址

  storage:

    type: kubernetes

    config:

      inCluster: true

  web:

    http: 0.0.0.0:5556

  telemetry:

    http: 0.0.0.0:5558

  expiry:

    signingKeys: "6h"

    idTokens: "24h"

  logger:

    level: debug

    format: json

  oauth2:

    responseTypes: ["code", "token", "id_token"]

    skipApprovalScreen: true

  connectors:

  - type: gitlab

    id: gitlab

    name: GitLab

    config:

      baseURL: https://gitlab.lishuai.fun  #修改为你实际的gitlab 地址

      clientID: ca14d16e376b6f6634*********57378d1267e946e9d3e758e2f0     #修改为你gitlab 应用的clientid

      clientSecret: 15dcb3501becd17******1b82b05874e2ef893b7a0888fdaaa37885fd9387  #修改为你gitlab 应用的clientsecert

      redirectURI: https://dex-qke.lishuai.fun/callback  #修改为你实际的地址,格式为(dex issuer)/callback

      groups:

      - k8s-auth

      - k8s-auth/dashboard

      - k8s-auth/dashboard/show  ##gitlab项目组,只允许dashboard项目组成员访问

  staticClients:

  - id: dex-k8s-authenticator

    name: dex-k8s-authenticator

    secret: generatedLongRandomPhrase

    redirectURIs:

    - 'http://kubesphere.lishuai.fun/oauth/redirect/dex' #这个是kubesphere的回调地址,对于dex认证,格式为kubesphere_url/oauth/redirect/dex

volumes: []

volumeMounts: []

envFrom: []

env: {}

serviceAccount:

  # -- Enable service account creation.

  create: true

  # -- Annotations to be added to the service account.

  annotations: {}

  # -- The name of the service account to use.

  # If not set and create is true, a name is generated using the fullname template.

  name: "dex-sa"

rbac:

  create: true

podAnnotations: {}

podDisruptionBudget:

  enabled: false

  minAvailable:

  maxUnavailable:

priorityClassName: ""

podSecurityContext: {}

  # fsGroup: 2000

securityContext: {}

  # capabilities:

  #   drop:

  #   - ALL

  # readOnlyRootFilesystem: true

  # runAsNonRoot: true

  # runAsUser: 1000

service:

  annotations: {}

  type: ClusterIP

  ports:

    http:

      port: 5556

      nodePort:

    https:

      port: 5554

      nodePort:

    grpc:

      port: 5557

      nodePort:

ingress:

  enabled: true

  className: ""

  annotations:

    kubernetes.io/ingress.class: nginx

    kubernetes.io/tls-acme: "true"

    cert-manager.io/cluster-issuer: tls  #集群内已经安装了cert-manager,通过cert-manager来进行证书签发

  hosts:

    - host: dex-qke.lishuai.fun

      paths:

        - path: /

          pathType: ImplementationSpecific

  tls:

  - secretName: dex-tls

    hosts:

      - dex-qke.lishuai.fun

resources: {}

  # limits:

  #   cpu: 100m

  #   memory: 128Mi

  # requests:

  #   cpu: 100m

  #   memory: 128Mi

autoscaling:

  enabled: false

  minReplicas: 1

  maxReplicas: 100

  targetCPUUtilizationPercentage: 80

  # targetMemoryUtilizationPercentage: 80

nodeSelector: {}

tolerations: []

affinity: {}

这里有几点需要注意:

  • Gitlab 配置下的 groups 为项目组,需要根据实际情况填写,此处填写项目组的成员才会允许通过 Dex 进行身份认证
  • 如果集群内没有安装 cert-manager,需要手动创建证书的 secert

执行如下命令进行安装。

root@i-tsfhx8p6:~/qke-k8s/dex# ls

dex  dex-0.5.0.tgz

#在当前目录执行

kubectl create ns dex

kubectl -n dex install dex dex

root@i-tsfhx8p6:~/qke-k8s/dex# kubectl -n dex get pod

NAME                                  READY   STATUS    RESTARTS   AGE

dex-d8c5cdfc-577gf                    1/1     Running   0          21h

配置 KubeSphere

安装好 Dex 后需要修改 cluster-configuration.yaml

apiVersion: installer.kubesphere.io/v1alpha1

kind: ClusterConfiguration

metadata:

  name: ks-installer

  namespace: kubesphere-system

  labels:

    version: v3.1.1

spec:

  persistence:

    storageClass: "longhorn"        # If there is no default StorageClass in your cluster, you need to specify an existing StorageClass here.

  authentication:

    jwtSecret: ""

    authenticateRateLimiterMaxTries: 10

    authenticateRateLimiterDuration: 10m0s

    oauthOptions:

      accessTokenMaxAge: 1h

      accessTokenInactivityTimeout: 30m

      identityProviders:

      - name: dex

        type: OIDCIdentityProvider

        mappingMethod: auto

        provider:

          clientID: 'dex-k8s-authenticator'

          clientSecret: 'gener*******ongRandomPhrase'

          issuer: https://dex-qke.lishuai.fun

          redirectURL: http://kubesphere.lishuai.fun/oauth/redirect/dex

          scopes:

          - openid

          - email

......

参数释意:

  • authenticateRateLimiterMaxTries: authenticateLimiterDuration 指定的期间内允许的最大连续登录失败次数。如果用户连续登录失败次数达到限制,则该用户将被封禁。
  • authenticateRateLimiterDuration: 作用于 authenticateRateLimiterMaxTries
  • loginHistoryRetentionPeriod: 用户登录记录保留期限,过期条目将被自动删除。
  • maximumClockSkew: 控制执行对时间敏感的操作(例如验证用户令牌的过期时间)时允许的最大时钟偏移,默认值为 10 秒。
  • multipleLogin: 允许多个用户同时从不同位置登录,默认值为 true
  • jwtSecret: 签发用户令牌的密钥,最小长度为 32 个字符。多集群环境需要注意的事项

oauthOptions: OAuth 设置

  • accessTokenMaxAge: 访问令牌有效期。对于多集群环境中的成员集群,默认值为 0h,这意味着访问令牌永不过期。对于其他集群,默认值为 2h
  • accessTokenInactivityTimeout: 令牌空闲超时时间。该值表示令牌过期后,刷新用户令牌最大的间隔时间,如果不在此时间窗口内刷新用户身份令牌,用户将需要重新登录以获得访问权。
  • identityProviders: 身份提供者设置
    • name: 身份提供者的名称。
    • type: 身份提供者的类型。
    • mappingMethod: 帐户映射方式. 值可以是 auto 或者 lookup
    • 默认值为 auto, 通过第三方帐户登录时会自动创建关联帐户。
    • 如果值为 lookup, 你需要手动关联第三方帐户与KubeSphere帐户。
    • provider: Identity provider 配置,此部分中的字段根据身份提供的类型而异

provider:

  • ​ clientID: OAuth2 客户端 ID
  • ​ clientSecret: OAuth2 客户端secert
  • ​ issuer: dex的地址
  • ​ redirectURL:重定向到 ks-console 的 URL ,注意这个地址要在dex里也配置

修改完后执行 kubectl apply -f cluster-configuration.yaml

也可以通过以下命令修改认证配置:

kubectl -n kubesphere-system edit cc ks-installer

配置示例:

apiVersion: installer.kubesphere.io/v1alpha1

kind: ClusterConfiguration

metadata:

  name: ks-installer

spec:

  authentication:

    jwtSecret: ********************************

    authenticateRateLimiterMaxTries: 10

    authenticateRateLimiterDuration: 10m

    oauthOptions:

      accessTokenInactivityTimeout: 30m

      accessTokenMaxAge: 1h

      identityProviders:

      - mappingMethod: auto

        name: github

        type: GitHubIdentityProvider

        provider:

...

当修改上述配置后,需要等待配置生效,可以通过以下命令查看相关进度及日志:

 kubectl -n kubesphere-system logs -l app=ks-installer -f

重新应用后打开登录页面会发现登录页面多了通过 dex 登陆的按钮。

点击后会自动跳转到 Gitlab 进行认证,第一次登陆需要授权应用可以访问,这里要注意允许访问的 KubeSphere 的 Gitlab用户为 Dex 服务中定义的 Gitlab 项目组中的用户,实际中我们可以设置特定特定的项目组,将用户添加到项目组中来实现用户登陆的限制。

点击 authorize 允许后,KubeSphere 会让我们确认账户信息,此时需要合理修改用户名。

设定完成后,就可以进入 KubeSphere 了,此时该用户是没有任何访问权限的,还需要管理员对该用户进行授权才能正常进行使用,希望后期 KubeSphere 可以支持在用户登陆前可以对用户组进行授权,或者预先通过邮箱对用户进行收钱,避免用户登陆后,管理员还需要手动去创建权限。

本文由博客一文多发平台 OpenWrite 发布!

使用 GitLab 账号登陆 KubeSphere的更多相关文章

  1. Git多账号登陆

        最近工作上遇到了使用git+repo的情况,需要用公司的邮箱和账号名重新申请ssh公私密钥,而我本身在github上也有一些开源项目,这里就是记录一下我是如何实现git多账号登陆的.   取消 ...

  2. Oracle BIEE 环境迁移所导致的账号登陆问题的解决

    系统版本 系统版本:11G(11.1.1.9) 问题描述 将系统数据(RPD.catalog等数据)迁移到另一环境(版本同样为11G)后,老系统weblogic控制台中添加的账户在新系统(仪表盘)中无 ...

  3. 基于Lumisoft.NET组件的SMTP账号登陆检测

    在邮件处理的方面,Lumisoft.NET可以说是非常不错的一个选择,我在前面几篇文章中都介绍过这个组件. 基于Lumisoft.NET组件开发碰到乱码等一些问题的解决 基于Lumisoft.NET组 ...

  4. ftp虚拟账号登陆

    配置使用虚拟用户登录的FTP服务器,可以避免使用操作系统帐号作为FTP用户带来的一些安全问题,也便于通过数据库或其它程序来进行管理.废话不多说,这里记录下ftp虚拟账号登陆的部署过程及其中遇到的问题: ...

  5. eclipse svn切换账号登陆问题

    1.当一个人有权限访问文件代码,而另一个账号无法访问该文件代码,要在eclipse上切换账号登陆有权限的账号时,eclipse会用缓存的账号,不会弹出从新输入新账号的窗口. 这样该怎么解决呢? 关闭e ...

  6. ebay如何确定同一电脑登陆了多个账号,以及同一账号登陆过多台电脑

    转自hilton 的BLOG http://jimqu.blog.51cto.com/105370/654691 一切要从ebay的买家保护说起 ebay作为一个电子商务平台,之所以可以汇聚如此众多的 ...

  7. Disable root 账号登陆

    1. 改动文件: /etc/ssh/sshd_config #PermitRootLogin yes 改动为: PermitRootLogin no 2. 重新启动ssh进程 /etc/init.d/ ...

  8. php接入域账号登陆代码

    php接入域账号登陆代码       //替换本地登录为AD域用户认证//edit by ZhangJin on 2015-05-23 -START-$dn = $user_account.'@fun ...

  9. Ubuntu14.04如何用root账号登陆系统

    在虚拟机VMWARE中安装完Ubuntu后,只能用新建的普通用户登陆,很不方便做实验:那如何用root用户登陆账号呢? (1)用普通账号登陆,打开终端terminal: (2)在terminal的输入 ...

  10. gitlab 账号

    gitlab 账号 国外版-比较慢 https://gitlab.com/hgnulb 国内版-比较快 https://git.lug.ustc.edu.cn/hglibin github账号 htt ...

随机推荐

  1. 【转载】 机器人真·涨姿势了:比肩人类抓取能力,上海交大、非夕科技联合提出全新方法AnyGrasp

    原文地址: https://developer.aliyun.com/article/822654 ================================================= ...

  2. 【VMware ESXi】把硬盘当内存用?VMware 内存分层(Memory Tiering),你值得拥有!

    VMware vSphere 8.0 U3 发布了一个非常有意义的功能叫内存分层(Memory Tiering),以利用基于 PCIe 的 NVMe 设备充当第二层(辅助)内存,从而使 ESXi 主机 ...

  3. Es java API官网手册

    官方地址: 一.TransportClient客户端 https://www.elastic.co/guide/en/elasticsearch/client/java-api/7.5/index.h ...

  4. C#学习日记

    2023年9月9日 工具visual stdio 2019 窗口名称修改 lable标签 button 点击事件 点击换颜色 formLearn.ActiveForm.BackColor = Colo ...

  5. 【Java】之获取CSV文件数据以及获取Excel文件数据

    一.获取CSV文件数据 import org.apache.poi.ss.usermodel.Cell; import org.apache.poi.ss.usermodel.Sheet; impor ...

  6. express项目的创建

    前言 前端开发者若要进行后端开发,大多都会选择node.js,在node生态下是有大量框架的,其中最受新手喜爱的便是老牌的express.js,接下来我们就从零创建一个express项目. 安装nod ...

  7. 【YashanDB知识库】ycm纳管主机安装YCM-AGENT时报错“任务提交失败,无法连接主机”

    问题现象 执行安装ycm-agent命令纳管主机时报错 问题的风险及影响 会导致ycm-agent纳管不成功,YCM无法监控主机和数据库 问题影响的版本 yashandb-cloud-manager- ...

  8. pycharm批量注释

    pycharm批量注释不像是spyder可以鼠标右键选择,pycharm是要用快捷键的,选中要注释的代码,然后快捷键就可以了. 注释代码和取消注释代码的快捷键都一样ctrl + /

  9. 人脸伪造图像检测:Deepfake魔高一尺,TextIn道高一丈

      只因开了一个视频会议,直接被骗1.8个亿 今年2月,一家跨国公司的香港分公司财务人员被一场精心策划的Deepfake视频会议诈骗,导致公司损失2亿港币(约1.8亿人民币). 事件起因是财务人员收到 ...

  10. AI构建新质生产力,合合信息Embedding模型助力专业知识应用

    一.合合信息acge模型获MTEB中文榜单第一   现阶段,大语言模型的飞速发展吸引着社会各界的目光,背后支撑大型语言模型应用落地的Embedding模型也成为业内关注的焦点.近期,合合信息发布了文本 ...