通过ack-ram-authenticator组件,ACK托管集群基于阿里云RAM,通过Webhook机制为API Server的访问请求提供更安全的身份验证;同时,在SSO角色对接场景下,支持更安全地审计不同用户在扮演相同角色时对集群API Server的访问请求。本文介绍基于ack-ram-authenticator组件的ACK托管集群API Server的Webhook认证方式和使用方法。
前提条件
已创建ACK托管集群,且集群为1.24.6-aliyun.1及以上版本。具体操作, 请参见创建ACK托管集群。
注意事项
安装和卸载ack-ram-authenticator组件均会重启集群控制面API Server,导致与API Server的长连接断连。请在业务低峰期进行组件的安装和卸载。
开启Webhook认证后,不会影响DescribeClusterUserKubeconfig接口返回的KubeConfig对集群API Server的正常访问。
已新增支持ACK Serverless集群。
认证方式介绍
ack-ram-authenticator组件是面向ACK托管集群的认证插件,基于Kubernetes原生Webhook Token认证方式,实现通过RAM完成集群API Server的请求认证。同时,该组件通过CRD形式提供RAM身份和RBAC权限的映射关系,帮您更灵活地配置RBAC鉴权。
对于阿里云SSO角色对接使用ACK托管集群的场景, ack-ram-authenticator组件可以帮助您在请求API Server时,下发请求者身份对应的Session名称,从而更安全地审计不同用户在扮演相同角色后对集群API Server的访问请求。
使用ack-ram-authenticator组件后,集群的Webhook认证流程如下图所示。
当使用kubectl等工具发起对API Server的认证请求时,首先通过KubeConfig中的
exec
命令插件执行机制,执行ack-ram-tool客户端工具生成签名后的STS请求URL。发送Webhook认证请求到ACK托管集群API Server,通过Webhook认证配置路由到ack-ram-authenticator组件。
基于接收到的Token URL请求对阿里云RAM GetCallerIdentity接口进行认证。若认证成功,在ack-ram-authenticator组件中会寻找接口返回的RAM身份和用户在指定RAMIdentityMapping的CR中配置的身份映射。
在API Server中对映射后的用户和用户组身份进行原生RBAC鉴权,并返回鉴权结果。
认证方式的优势
与ACK集群默认提供的x509证书认证模式相比,使用ack-ram-authenticator Webhook认证方式有以下优点。
适配企业通过云SSO场景,提供灵活可控的数据面RBAC授权。
在角色SSO对接场景下,API Server审计日志中包含企业IDP中的身份信息,有效支持对扮演同一角色的不同IDP用户的行为审计。
当企业员工离职需删除RAM用户或RAM角色时,可自动清理其在集群中的RBAC权限。
步骤一:安装ack-ram-authenticator组件
开启RAM Webhook认证需要安装ack-ram-authenticator服务端认证插件,用于和集群API Server进行认证交互。您可以通过以下方式安装ack-ram-authenticator组件。
登录容器服务管理控制台,在左侧导航栏选择集群。
在集群列表页面,单击目标集群名称,然后在左侧导航栏,选择 。
在组件管理页面,单击安全页签,找到ack-ram-authenticator组件,单击卡片右下角的安装,然后单击确定。
步骤二:安装ack-ram-tool客户端
通过ack-ram-tool客户端可以更方便地在本地自动生成指定集群的KubeConfig访问凭据。
根据指定环境的架构类型,下载ack-ram-tool客户端。
执行以下命令,授予客户端程序的执行权限。
chmod +x ./ack-ram-tool
执行以下命令,将ack-ram-tool文件拷贝至系统PATH指定目录。
mkdir -p $HOME/bin && cp ./ack-ram-tool $HOME/bin/ack-ram-tool && export PATH=$HOME/bin:$PATH
(可选)执行以下命令,持久化
$HOME/bin
中的PATH配置。echo 'export PATH=$HOME/bin:$PATH' >> ~/.bash_profile
执行以下命令,查看是否能够返回客户端组件对应的版本,以验证ack-ram-tool客户端组件是否安装成功。
ack-ram-tool version
步骤三:配置阿里云凭据
阿里云RAM用户和SSO用户可通过以下方式配置获取云资源的访问凭据。
如果当前环境中存在访问凭据相关的环境变量,ack-ram-tool将优先使用环境变量中配置的访问凭据。您可以通过在执行ack-ram-tool命令时增加参数--ignore-env-credentials
的方式忽略这些环境变量。关于ack-ram-tool支持的凭据相关环境变量,请参见凭证信息。
RAM用户
ack-ram-tool客户端依赖本地配置的阿里云密钥凭据访问RAM进行身份认证。
关于配置资源访问凭证的具体操作,请参见阿里云CLI。
SSO用户
对于阿里云云SSO的用户,可以通过使用云SSO服务提供的CLI工具acs-sso完成登录,并获取云资源访问凭据。关于acs-sso更多信息,请参见使用CLI登录云SSO并访问阿里云资源。阿里云CLI工具中支持external模式,可实现通过执行外部命令行工具的方式动态获取资源凭据。通过执行如下命令,在本地完成云SSO登录和凭据的自动化配置。
aliyun configure --mode External --profile sso
Configuring profile 'sso' in 'External' authenticate mode...
Process Command [acs-sso login --profile sso]:
Default Region Id [cn-shanghai]:
Default Output Format [json]: json (Only support json)
Default Language [zh|en] en:
Saving profile[sso] ...Done.
Configure Done!!!
..............888888888888888888888 ........=8888888888888888888D=..............
...........88888888888888888888888 ..........D8888888888888888888888I...........
.........,8888888888888ZI: ...........................=Z88D8888888888D..........
.........+88888888 ..........................................88888888D..........
.........+88888888 .......Welcome to use Alibaba Cloud.......O8888888D..........
.........+88888888 ............. ************* ..............O8888888D..........
.........+88888888 .... Command Line Interface(Reloaded) ....O8888888D..........
.........+88888888...........................................88888888D..........
..........D888888888888DO+. ..........................?ND888888888888D..........
...........O8888888888888888888888...........D8888888888888888888888=...........
............ .:D8888888888888888888.........78888888888888888888O ..............
步骤四:生成KubeConfig
使用以下命令,生成KubeConfig。关于命令详情,请参见get-kubeconfig。
ack-ram-tool credential-plugin get-kubeconfig --cluster-id $cluster_id --mode ram-authenticator-token
在本地或指定环境中配置上述命令返回的KubeConfig。更多信息,请参见Kubernetes官方文档。
步骤五:配置RAM身份和RBAC权限的映射关系
ack-ram-authenticator组件安装完成后,默认会在集群中安装一个名为RAMIdentityMapping的CRD,该CRD用于配置RAM身份和K8s用户模型映射。集群权限管理员可以参考以下方式配置指定RAM用户或RAM角色与Kubernetes RBAC权限绑定的用户身份。
使用以下YAML内容,创建配置模板auth.yaml文件。
cat >auth.yaml <<EOF --- apiVersion: ramauthenticator.k8s.alibabacloud/v1alpha1 kind: RAMIdentityMapping metadata: name: tester spec: arn: '<ARN>' username: tester groups: - system:users EOF
RAMIdentityMapping实例中的
spec
字段仅支持配置一个RAM ARN和username
、groups
的映射。如需不同的RAM身份映射,则需要创建多个RAMIdentityMapping实例。需要将
<ARN>
替换为指定RAM用户或RAM角色的ARN。不同类型账号的ARN格式说明如下。账号类型
ARN格式
示例
阿里云账号(主账号)
acs:ram::<root_uid>:root
其中
<root_uid>
是阿里云账号的账号 ID。acs:ram::123456789012****:root
RAM用户(子账号)
acs:ram::<root_uid>:user/<user_name>
其中
<root_uid>
是阿里云账号的账号 ID,<user_name>
是RAM用户的用户名。acs:ram::123456789012****:user/testuser
RAM角色
acs:ram::<root_uid>:role/<role_name>
其中
<root_uid>
是阿里云账号的账号 ID,<role_name>
是RAM角色的名称。关于如何查看RAM角色的ARN信息,请参见查看RAM角色。acs:ram::123456789012****:role/testrole
执行以下命令,创建RAMIdentityMapping实例。
kubectl apply -f auth.yaml
配置目标集群的RBAC权限,根据需求创建自定义的RBAC角色和绑定。
一个RBAC绑定的创建示例如下。
cat >binding.yaml <<EOF --- apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: tester-clusterrolebinding roleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: cs:ops subjects: - apiGroup: rbac.authorization.k8s.io kind: User name: tester - apiGroup: rbac.authorization.k8s.io kind: User name: tester2 EOF kubectl apply -f binding.yaml
步骤六:使用KubeConfig发起请求
通过步骤四生成的KubeConfig发起对APIServer的请求,并验证是否能够在权限范围内成功请求API Server。
kubectl get ns
预期输出:
NAME STATUS AGE
arms-prom Active 4h48m
default Active 4h50m
kube-node-lease Active 4h50m
kube-public Active 4h50m
kube-system Active 4h50m