Kubernetes Dashboard mit Keycloak OIDC: Unterschied zwischen den Versionen

Zur Navigation springen Zur Suche springen

Kubernetes Dashboard mit Keycloak OIDC (Quelltext anzeigen)

Version vom 7. Januar 2023, 23:52 Uhr

2.129 Bytes hinzugefügt ,  vor 1 Jahr
K
keine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
 
(20 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
__NOINDEX__
{{Infobox
{{Infobox
| Titel      = Testumgebung
| Titel      = Testumgebung
Zeile 6: Zeile 4:
| Bildbreite =  
| Bildbreite =  
| Bildtext  =  
| Bildtext  =  
| Stil            = 1
| Stil            = 2
| Titelfarbe      = 6
| Titelfarbe      = 6
| Abschnittsfarbe =  
| Abschnittsfarbe =  
Zeile 12: Zeile 10:
| Style          =  
| Style          =  
| Feldstyle      =  
| Feldstyle      =  
| Feldname1 = OS    | Daten1 = AlmaLinux 8
| Feldname1 = OS    | Daten1 = AlmaLinux 8.7
| Feldname2 = Keycloak    | Daten2 = 20.0.2
| Feldname2 = Keycloak    | Daten2 = 20.0.2
| Feldname3 = Kubernetes    | Daten3 = 1.26.0
| Feldname3 = Kubernetes    | Daten3 = 1.26.0
| Feldname4 = MetalLB    | Daten4 = 0.13.7
| Feldname5 = Ingress-Nginx    | Daten5 = 1.5.1
| Feldname6 = OAUTH2-Proxy    | Daten6 = 7.4.0
}}
}}


=== API-Server konfigurieren ===
=== API-Server konfigurieren ===
 
<syntaxhighlight lang="bash">
 
vi /etc/kubernetes/manifests/kube-apiserver.yaml
'# /etc/kubernetes/manifests/kube-apiserver.yaml
</syntaxhighlight><syntaxhighlight lang="yaml" line="1">
<syntaxhighlight lang="yaml" line="1">
spec:
spec:
   containers:
   containers:
Zeile 36: Zeile 36:
'''Hinweis:'''
'''Hinweis:'''


''Wenn <code>oidc-username-claim</code> NICHT 'email' ist, wird standardmäßig die 'issuer-url' als Prefix benutzt (z.B. https://<my.keycloak.server>/realms/<Realm-Name>:<username>).''
''Wenn <code>oidc-username-claim</code> '''NICHT''' 'email' ist, wird standardmäßig die 'issuer-url' als Präfix vor den Benutzer gestellt (z.B. https://<my.keycloak.server>/realms/<Realm-Name>:<username>).''


''Um den Prefix zu dekativieren muss als Wert '-' angegeben werden.''
''Um den Präfix zu deaktivieren muss bei <code>oidc-username-prefix</code> der Wert '-' angegeben werden.''


=== Load Balancer installieren ===
=== Load Balancer installieren ===
Zeile 46: Zeile 46:


==== Ports in der Firewall öffnen ====
==== Ports in der Firewall öffnen ====
<syntaxhighlight lang="bash">
Sowohl auf dem Controller als auch den Worker-Nodes<syntaxhighlight lang="bash">
firewall-cmd --permanent --add-port=7472/tcp
firewall-cmd --permanent --add-port=7946/tcp
firewall-cmd --permanent --add-port=7946/tcp
firewall-cmd --permanent --add-port=7946/udp
firewall-cmd --permanent --add-port=7946/udp
Zeile 84: Zeile 85:
</syntaxhighlight>
</syntaxhighlight>


=== Reverse Proxy installieren ===
=== Reverse Proxy installieren (ingress-nginx) ===
Reverse Proxy um mehrere Domains auf einer IP erreichbar zu machen.
Reverse Proxy um mehrere Domains auf einer IP erreichbar zu machen.


Zeile 97: Zeile 98:
</syntaxhighlight>'''Hinweise:'''
</syntaxhighlight>'''Hinweise:'''


''Wenn Header zu groß dann 502 Fehler. Deswegen auf 8k erhöhen''
''Bei Keycloak kann es vorkommen, dass mehr als 4 kb Daten über den Header gesendet werden.''
 
''Wenn der Header zu groß wird, bekommt man einen Fehler (502).''  


''Für TLS benötigen wir ein 'Secret" mit dem Privat Key und dem Public Certificate für die Domain, die später für das Dahsboard genutzt werden soll.''
''Deswegen erhöhen wir diesen direkt während der Installation auf 8 kb.''


''Dieses kann man als Standard direkt in der Config für Ingress-Nginx hinerlegen oder später im Ingress.''
 
 
''Für TLS benötigen wir ein 'Secret" mit dem "Privat Key" und dem "Public Certificate" für die Domain, die später für das Dashboard genutzt werden soll.''
 
''Dieses kann man als Standard, direkt in der Config für Ingress-Nginx hinerlegen oder später im Ingress definieren.''
 
 
'''Tipp:'''
 
Wenn man bei <code>default-ssl-certificate</code> ein Wildcard-Zertifikat (z.B. *.my-cluster.host) für den Cluster hinterlegt,
 
kann für jeden Ingress einfach eine Sub-Domain vergeben, die dann automatisch ein gültiges Zertifikat hat.
 
 
 
Installation starten:
<syntaxhighlight lang="bash">
<syntaxhighlight lang="bash">
helm upgrade --install ingress-nginx ingress-nginx \
helm upgrade --install ingress-nginx ingress-nginx \
Zeile 112: Zeile 130:
=== OAUTH2 Proxy installieren ===
=== OAUTH2 Proxy installieren ===
Authentifizierung gegen Keyclok und Token Weiterleitung an Dashboard
Authentifizierung gegen Keyclok und Token Weiterleitung an Dashboard
values.yaml
values.yaml
<syntaxhighlight lang="yaml" line="1">
<syntaxhighlight lang="yaml" line="1">
Zeile 133: Zeile 152:
   cookie-refresh: 4m # Zeit nach der ein neuer Access Token über den Refresh Token bezogen wird
   cookie-refresh: 4m # Zeit nach der ein neuer Access Token über den Refresh Token bezogen wird
   oidc-issuer-url: "https://<my.keycloak.server>/realms/<Realm-Name>"
   oidc-issuer-url: "https://<my.keycloak.server>/realms/<Realm-Name>"
   redirect-url: "https://<my.k8s.dashboard>/oauth2/callback"
   redirect-url: "https://<my.dashboard.url>/oauth2/callback"
   #whitelist-domain: ["*"]
   #whitelist-domain: ["*"]
   #allowed-group: ["*"]
   #allowed-group: ["*"]
Zeile 143: Zeile 162:
''Der Parameter <code>cookie-refresh</code> sollte kleiner als die "Access Token Lifespan" in Keycloak sein ("Realm Settings->Token").''
''Der Parameter <code>cookie-refresh</code> sollte kleiner als die "Access Token Lifespan" in Keycloak sein ("Realm Settings->Token").''


''<syntaxhighlight lang="bash">
 
Installation starten:
 
<syntaxhighlight lang="bash">
helm upgrade --install oauth2-proxy oauth2-proxy \
helm upgrade --install oauth2-proxy oauth2-proxy \
   --repo https://oauth2-proxy.github.io/manifests \
   --repo https://oauth2-proxy.github.io/manifests \
   --namespace kubernetes-dashboard \
   --namespace kubernetes-dashboard \
   -f values.yaml
   -f values.yaml
</syntaxhighlight>''
</syntaxhighlight>


=== Dem Keycloak Benutzer die Admin Rolle zuweisen ===
===Dem Keycloak Benutzer die Admin Rolle zuweisen===
oidc-role.yaml
oidc-role.yaml
<syntaxhighlight lang="yaml">
<syntaxhighlight lang="yaml">
Zeile 167: Zeile 189:
</syntaxhighlight>'''''Hinweis:'''''
</syntaxhighlight>'''''Hinweis:'''''


Der Benutzername (subjects.name) entspricht dem <code>oidc-username-claim</code> aus der "kube-apiserver.yaml".
''Der Benutzername (subjects.name) entspricht dem'' <code>oidc-username-claim</code> ''aus der "kube-apiserver.yaml".''
<syntaxhighlight lang="bash">
<syntaxhighlight lang="bash">
kubectl apply -f oidc-role.yaml
kubectl apply -f oidc-role.yaml
</syntaxhighlight>
===Ingress erstellen===
<syntaxhighlight lang="yaml" line="1">
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  annotations:
    nginx.ingress.kubernetes.io/backend-protocol: "HTTPS"
    nginx.ingress.kubernetes.io/auth-url: "https://$host/oauth2/auth"
    nginx.ingress.kubernetes.io/auth-signin: "https://$host/oauth2/start?rd=$escaped_request_uri"
    nginx.ingress.kubernetes.io/auth-response-headers: "authorization"
  name: k8s-dashboard
  namespace: kubernetes-dashboard
spec:
  ingressClassName: nginx
  tls:
  - hosts:
    - my.dashboard.url
  rules:
  - host: my.dashboard.url
    http:
      paths:
      - backend:
          service:
            name: kubernetes-dashboard
            port:
              number: 443
        path: /
        pathType: Prefix
---
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: k8s-dashboard-oauth
  namespace: oauth2-proxy
spec:
  ingressClassName: nginx
  tls:
  - hosts:
    - my.dashboard.url
  rules:
  - host: my.dashboard.url
    http:
      paths:
      - backend:
          service:
            name: oauth2-proxy
            port:
              number: 80
        path: /oauth2
        pathType: Prefix
</syntaxhighlight><syntaxhighlight lang="bash">
kubectl apply -f ingress.yaml
</syntaxhighlight>
</syntaxhighlight>
Abgerufen von „https://wiki.toenniges.net/wiki/Spezial:Mobiler_Unterschied/1746...1794

Navigationsmenü