Существует ли стандарт Best Practice для обеспечения безопасности OAUTH2 в кластере Kubernetes?

Question

Я начинаю экспериментировать с авторизацией Oauth2 для кластера Kubernetes.

Я нашел хорошего провайдера идентификации Oauth2, использующего UAA

Мое первоначальное намерение состояло в том, чтобы развернуть это в кластере Kubernetes, и затем позволить ему обеспечивать аутентификацию по этому кластеру. Это обеспечило бы единый вход для решения, размещенного в облаке, и позволило бы этому решению управлять доступом Kubernetes, а также доступом к приложениям, работающим в моем кластере.

Однако, если продумать это решение, могут возникнуть некоторые крайние случаи, когда такая конфигурация может быть катастрофической. Например, если мой кластер останавливается, я не думаю, что смогу перезапустить этот кластер, поскольку поставщик Oauth2 не будет работать, и, следовательно, я не смог пройти аутентификацию для выполнения каких-либо операций перезапуска.

• Кто-нибудь еще сталкивался с этой загадкой?
• Это реальный риск?
• Существует ли «стандартный» подход для обхода этой проблемы?

Большое спасибо, что нашли время прочитать это!

Answer 1

Использование UAA состоит из двух двух процедур - аутентификации и авторизации, где последняя позволяет выполнять определенные действия в кластере. Они используются через инструмент командной строки kubectl.

Можно использовать 2 существующих модуля авторизации ( ABAC и RBAC ). Здесь вы можете найти параллельное сравнение этих двух вариантов, когда автор поручился за режим RBAC, так как он «не требует перезапуска сервера API при каждом обновлении файлов политики». ,

Если я правильно понял ваш вопрос, эта статья может помочь.

Answer 2

Kubernetes поддерживает множественную аутентификацию (ref: https://kubernetes.io/docs/reference/access-authn-authz/authentication/).

Вы можете включить несколько из них. Вы можете войти в кластер kubernetes, используя любой из них (если они включены и настроены правильно).

В соответствии с документацией kubernetes: Когда включено несколько модулей аутентификатора, первый модуль для успешной аутентификации запроса оценивает короткие замыкания. Сервер API не гарантирует работу аутентификаторов заказов.

Итак, если вы активируете множественную аутентификацию, я думаю, у вас все в порядке. Я использую кластер kubernetes. В этом кластере включена аутентификация сертификатов и аутентификация токена webhook с использованием guard . И этот охранник работает в этом кластере kubernetes.