备案控制台
文档
产品文档
输入文档关键字查找
首页 容器服务 Kubernetes 版 ACK 容器服务 Kubernetes 版 操作指南 授权 通过ack-ram-authenticator完成ACK托管集群APIServer的Webhook认证

通过ack-ram-authenticator完成ACK托管集群APIServer的Webhook认证

更新时间:
一键部署
产品详情
相关技术圈
我的收藏

通过ack-ram-authenticator组件,ACK托管集群可以通过Webhook方式、基于阿里云RAM完成请求认证;同时,在SSO角色对接场景下,支持更安全地审计不同用户在扮演相同角色时对集群APIServer的访问请求。本文介绍基于ack-ram-authenticator组件的ACK托管集群APIServer的Webhook认证方式和使用方法。

前提条件

已创建ACK托管集群,且集群版本为1.24.6-aliyun.1及以上。具体操作, 请参见创建Kubernetes托管版集群

注意事项

  • 安装和卸载ack-ram-authenticator组件均会重启集群管控侧APIServer,导致与APIServer的长连接断连。请在业务低峰期进行组件的安装和卸载。

  • 开启Webhook认证后,不会影响DescribeClusterUserKubeconfig接口返回的KubeConfig对集群APIServer的正常访问。

认证方式介绍

ack-ram-authenticator组件是面向ACK托管集群的认证插件,基于Kubernetes原生Webhook Token认证方式,实现通过RAM完成集群APIServer的请求认证。同时,该组件通过ConfigMap和CRD等形式提供RAM身份和RBAC权限的映射关系,帮您更灵活地配置RBAC鉴权。

对于阿里云SSO角色对接使用ACK托管集群的场景 , ack-ram-authenticator组件可以帮助您在请求APIServer时,下发请求者身份对应的Session名称,从而更安全地审计不同用户在扮演相同角色后对集群APIServer的访问请求。

使用ack-ram-authenticator组件后,集群的Webhook认证流程如下图所示。

123..png

  1. 当使用kubectl等工具发起对APIServer的认证请求时,首先通过KubeConfig中的exec命令插件执行机制,通过执行ack-ram-tool客户端工具生成签名后的STS请求URL。

  2. 发送Webhook认证请求到ACK托管集群APIServer,通过Webhook认证配置路由到ack-ram-authenticator组件。

  3. 基于接收到的Token URL请求对阿里云RAM GetCallerIdentity接口进行认证。若认证成功,在ack-ram-authenticator组件中会寻找接口返回的RAM身份和用户在指定ConfigMap或RAMIdentityMapping的CR中配置的身份映射。

  4. 在APIServer中对映射后的用户和用户组身份进行原生RBAC鉴权,并返回鉴权结果。

认证方式的优势

与ACK集群默认提供的x509证书认证模式,使用ack-ram-authenticator Webhook认证方式有以下优点。

  • 适配企业通过云SSO场景,提供灵活可控的数据面RBAC授权。

  • 在角色SSO对接场景下,APIServer审计日志中包含企业IDP中的身份信息,有效支持对扮演同一角色的不同IDP用户的行为审计。

  • 当企业员工离职需删除RAM用户或RAM角色时,可自动清理其在集群中的RBAC权限。

步骤一:安装ack-ram-authenticator组件

开启RAM Webhook认证需要安装ack-ram-authenticator服务端认证插件,用于和集群APIServer进行认证交互。您可以通过以下方式安装ack-ram-authenticator组件。

  1. 登录容器服务管理控制台,在左侧导航栏选择集群

  2. 集群列表页面,单击目标集群名称,然后在左侧导航栏,选择运维管理 > 组件管理

  3. 组件管理页面,单击安全页签,找到ack-ram-authenticator组件,单击卡片右下角的安装,然后单击确定

步骤二:安装ack-ram-tool客户端

通过ack-ram-tool客户端可以更方便地在本地自动生成指定集群的KubeConfig访问凭据。

  1. 根据指定环境的架构类型,下载ack-ram-tool客户端

  2. 执行以下命令,授予客户端程序的执行权限。

    chmod +x ./ack-ram-tool

  3. 执行以下命令,将ack-ram-tool文件拷贝至系统PATH指定目录。

     mkdir -p $HOME/bin && cp ./ack-ram-tool $HOME/bin/ack-ram-tool && export PATH=$HOME/bin:$PATH

  4. (可选)执行以下命令,持久化$HOME/bin中的PATH配置。

    echo 'export PATH=$HOME/bin:$PATH' >> ~/.bash_profile

  5. 执行以下命令,查看是否能够返回客户端组件对应的版本,以验证ack-ram-tool客户端组件是否安装成功。

    ack-ram-tool version

步骤三:配置阿里云凭据

阿里云RAM用户和SSO用户可通过以下方式配置获取云资源的访问凭据。

RAM用户

ack-ram-tool客户端依赖本地配置的阿里云密钥凭据访问RAM进行身份认证。

关于配置资源访问凭证的具体操作,请参见阿里云CLI

SSO用户

对于阿里云云SSO的用户,可以通过使用云SSO服务提供的CLI工具acs-sso完成登录,并获取云资源访问凭据。关于acs-sso更多信息,请参见使用CLI登录云SSO并访问阿里云资源。阿里云CLI工具中支持external模式,可实现通过执行外部命令行工具的方式动态获取资源凭据。通过执行如下命令,在本地完成云SSO登录和凭据的自动化配置。

aliyun configure --mode External --profile sso

Configuring profile 'sso' in 'External' authenticate mode...
Process Command [acs-sso login --profile sso]:
Default Region Id [cn-shanghai]:
Default Output Format [json]: json (Only support json)
Default Language [zh|en] en:
Saving profile[sso] ...Done.


Configure Done!!!
..............888888888888888888888 ........=8888888888888888888D=..............
...........88888888888888888888888 ..........D8888888888888888888888I...........
.........,8888888888888ZI: ...........................=Z88D8888888888D..........
.........+88888888 ..........................................88888888D..........
.........+88888888 .......Welcome to use Alibaba Cloud.......O8888888D..........
.........+88888888 ............. ************* ..............O8888888D..........
.........+88888888 .... Command Line Interface(Reloaded) ....O8888888D..........
.........+88888888...........................................88888888D..........
..........D888888888888DO+. ..........................?ND888888888888D..........
...........O8888888888888888888888...........D8888888888888888888888=...........
............ .:D8888888888888888888.........78888888888888888888O ..............

步骤四:生成KubeConfig

  1. 使用以下命令,生成KubeConfig。关于命令详情,请参见get-kubeconfig

    ack-ram-tool credential-plugin get-kubeconfig --cluster-id $cluster_id --mode ram-authenticator-token

  2. 在本地或指定环境中配置上述命令返回的KubeConfig。更多信息,请参见Kubernetes官方文档

步骤五:配置RAM身份和RBAC权限的映射关系

ack-ram-authenticator组件安装完成后,默认会在集群中安装一个名为RAMIdentityMapping的CRD,该CRD用于配置RAM身份和K8s用户模型映射。集群的权限管理员可通过以下方式配置指定RAM用户或RAM角色与Kubernetes RBAC权限绑定的用户身份。

  1. 使用以下YAML内容,创建配置模板auth.yaml文件。

    cat >auth.yaml <<EOF
---
apiVersion: ramauthenticator.k8s.alibabacloud/v1alpha1
kind: RAMIdentityMapping
metadata:
  name: tester
spec:
  arn: acs:ram::xxxxx:assumed-role/aliyunreservedsso-admin/tester2
  username: tester
  groups:
    - system:users    
EOF
    说明

    • RAMIdentityMapping实例中的spec字段仅支持配置一个RAM ARN和usernamegroups的映射。如需不同的RAM身份映射,则需要创建多个RAMIdentityMapping实例。

    • 关于如何查看模板中指定RAM角色的ARN信息,请参见查看RAM角色

  2. 执行以下命令,创建RAMIdentityMapping实例。

    kubectl apply -f auth.yaml

  3. 配置目标集群的RBAC权限,根据需求创建自定义的RBAC角色和绑定。

    一个RBAC绑定的创建示例如下。

    cat >binding.yaml <<EOF
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: tester-clusterrolebinding
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cs:ops
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: User
  name: tester
- apiGroup: rbac.authorization.k8s.io
  kind: User
  name: tester2
EOF

kubectl apply -f binding.yaml

步骤六:使用KubeConfig发起请求

通过步骤四生成的KubeConfig发起对APIServer的请求,并验证是否能够在权限范围内成功请求APIServer。

kubectl get ns
NAME              STATUS   AGE
arms-prom         Active   4h48m
default           Active   4h50m
kube-node-lease   Active   4h50m
kube-public       Active   4h50m
kube-system       Active   4h50m

文档推荐
  • 本页导读 (1)
文档反馈