51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
视频课免费课排行榜短视频直播课软考学堂
全部课程软考华为认证厂商认证IT技术PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
活动 短视频 专栏 极客Show 鸿蒙技术特刊

如何保护对外暴露的 Kubernetes 服务?

dlgdwuxy
发布于 2022-5-3 12:46
7248浏览
0收藏
加载失败
最新收录于
k8s技术圈
查看专栏

作者 阳明
来源 | k8s技术圈(ID:kube100)

有时候我们需要在 Kubernetes 中暴露一些没有任何安全验证机制的服务,比如没有安装 xpack 的 Kibana,没有开启登录认证的 Jenkins 服务之类的,我们也想通过域名来进行访问,比较域名比较方便,更主要的是对于 Kubernetes 里面的服务,通过 Ingress 暴露一个服务太方便了,而且还可以通过 cert-manager 来自动的完成 HTTPS化。所以就非常有必要对这些服务进行一些安全验证了。

Basic Auth 认证
我们在前面升级 Dashboard 的文章中就给大家提到过两种方式来为我们的服务添加 Basic Auth 认证:haproxy/nginx 和 traefik/nginx-ingress。

使用 haproxy/nginx 的方式非常简单,就是直接添加 basic auth 认证,然后将请求转发到后面的服务;而 traefik/nginx-ingress 都直接提供了 basic auth 的支持,我们这里使用 nginx-ingress 来为 Jenkins 服务添加一个 basic auth 的认证服务。

首先,我们需要创建用于存储用户名和密码的 htpasswd文件: 

$ htpasswd -bc auth admin admin321
Adding password for user admin
  • 1.
  • 2.

 

然后,创建一个基于上面 htpasswd 文件的 Secret 对象: 

$ kubectl create secret generic jenkins-basic-auth --from-file=auth -n kube-ops
secret "jenkins-basic-auth" created
  • 1.
  • 2.


最后,我们需要在 Ingress 对象中添加 auth-type:basic和 auth-jenkins-basic-auth两个 annotations:(ingress.yaml) 

apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: jenkins
  namespace: kube-ops
  annotations:
    kubernetes.io/ingress.class: nginx
    # 认证类型
    nginx.ingress.kubernetes.io/auth-type: basic
    # 包含 user/password 的 Secret 名称
    nginx.ingress.kubernetes.io/auth-secret: jenkins-basic-auth
    # 当认证的时候显示一个合适的上下文信息
    nginx.ingress.kubernetes.io/auth-realm: 'Authentication Required - admin'
spec:
  rules:
  - host: jenkins.qikqiak.com
    http:
      paths:
      - backend:
          serviceName: jenkins
          servicePort: web
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.
  • 16.
  • 17.
  • 18.
  • 19.
  • 20.
  • 21.

 

然后更新上面的资源对象: 

$ kubectl apply -f ingress.yaml
ingress.extensions "jenkins" configured
  • 1.
  • 2.

 

更新完成后,现在我们去访问我们的 Jenkins 服务可以看到需要输入用户名和密码的提示信息了:

如何保护对外暴露的 Kubernetes 服务?-鸿蒙开发者社区

OAuth 认证
除了上面的 Basic Auth 认证方式以为,我们还可以通过 Github、Google 等提供的 OAuth 服务来进行身份验证。我们可以通过名为OAuth2 Proxy的工具来代理请求,它通过提供一个外部身份验证的反向代理来实现,使用起来也相对简单。

安装
首先我们需要为我们的应用添加自动的 HTTPS,可以参考我们前面的文章使用 Let's Encrypt 实现 Kubernetes Ingress 自动化 HTTPS。

然后登录 Github,在https://github.com/settings/applications/new添加一个新的 OAuth应用程序:

如何保护对外暴露的 Kubernetes 服务?-鸿蒙开发者社区

替换成你自己需要使用的域名,然后在回调 URL 上添加 /oauth2/callback,点击注册后,记录下应用详细页面 ClientID和 ClientSecret的值。然后还需要生成一个 cookie 密钥,当然如果我们系统中安装了 python 环境可以直接生成,没有的话用 Docker 容器运行当然也行: 

$ docker run -ti --rm python:3-alpine \
    python -c 'import secrets,base64; print(base64.b64encode(base64.b64encode(secrets.token_bytes(16))));'
b'<GENERATED_COOKIE_SECRET>'
  • 1.
  • 2.
  • 3.

 

然后部署 OAuth2Proxy应用,这里我们直接使用 Helm 来简化安装: 

$ helm install --name authproxy \
    --namespace=kube-system \
    --set config.clientID=<YOUR_CLIENT_ID> \
    --set config.clientSecret=<YOUR_SECRET> \
    --set config.cookieSecret=<GENERATED_COOKIE_SECRET> \
    --set extraArgs.provider=github \
    --set extraArgs.email-domain="*" \
    stable/oauth2-proxy
NAME:   authproxy
LAST DEPLOYED: Sun Apr 14 01:11:50 2019
NAMESPACE: kube-system
STATUS: DEPLOYED
RESOURCES:
==> v1/Secret
NAME                    TYPE    DATA  AGE
authproxy-oauth2-proxy  Opaque  3     0s
==> v1/ConfigMap
NAME                    DATA  AGE
authproxy-oauth2-proxy  1     0s
==> v1/Service
NAME                    TYPE       CLUSTER-IP      EXTERNAL-IP  PORT(S)  AGE
authproxy-oauth2-proxy  ClusterIP  10.109.110.219  <none>       80/TCP   0s
==> v1beta2/Deployment
NAME                    DESIRED  CURRENT  UP-TO-DATE  AVAILABLE  AGE
authproxy-oauth2-proxy  1        0        0           0          0s
==> v1/Pod(related)
NAME                                     READY  STATUS             RESTARTS  AGE
authproxy-oauth2-proxy-798cff85fc-pc8x5  0/1    ContainerCreating  0         0s
NOTES:
To verify that oauth2-proxy has started, run:
  kubectl --namespace=kube-system get pods -l "app=oauth2-proxy"
$ # 执行下面的命令待编程 Running 状态证明安装成功了。
$ kubectl --namespace=kube-system get pods -l "app=oauth2-proxy"
NAME                                     READY     STATUS    RESTARTS   AGE
authproxy-oauth2-proxy-cdb4f675b-wvdg5   1/1       Running   0          1m
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.
  • 16.
  • 17.
  • 18.
  • 19.
  • 20.
  • 21.
  • 22.
  • 23.
  • 24.
  • 25.
  • 26.
  • 27.
  • 28.
  • 29.
  • 30.
  • 31.
  • 32.
  • 33.
  • 34.
  • 35.

对于 GitHub,我们可以通过 github-org和 github-team来限制访问,一般设置 email-doamin="*",我们可以通过 OAuth2Proxy的示例文档来查看更改 GitHub Provider 的配置。

测试
同样我们这里还是使用一个 Jenkins 服务,大家也可以使用任意的一个服务来验证,当然最好是没有身份验证功能的,比如没有安装 x-pack 的 Kibana。

要实现外部服务来进行认证的关键点在于 nginx-ingress-controller 在 annotations 中为我们提供了 auth-url和 auth-signin两个注解来允许配置外部身份验证的入口。

上面这两个 annotation 需要 nginx-ingress-controller 在 v0.9.0 版本或以上。

我们在 Jenkins 的核心 Ingress 对象中配置服务认证的 url: https://$host/oauth2/auth,然后通过创建一个同域的 Ingress 对象将 oauth2路径代理到 OAuth2proxy应用去处理认证服务: 

nginx.ingress.kubernetes.io/auth-url: "https://$host/oauth2/auth"
nginx.ingress.kubernetes.io/auth-signin: "https://$host/oauth2/start?rd=$escaped_request_uri"
  • 1.
  • 2.

 

然后按照上面的思路重新创建 Jenkins 的两个 Ingress 对象: 

$ cat <<EOF | kubectl apply -f -
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: jenkins
  namespace: kube-ops
  annotations:
    kubernetes.io/ingress.class: nginx
    kubernetes.io/tls-acme: "true"
    nginx.ingress.kubernetes.io/auth-url: "https://$host/oauth2/auth"
    nginx.ingress.kubernetes.io/auth-signin: "https://$host/oauth2/start?rd=$escaped_request_uri"
spec:
  rules:
  - host: jenkins.qikqiak.com
    http:
      paths:
      - backend:
          serviceName: jenkins
          servicePort: web
        path: /
  tls:
  - hosts:
    - jenkins.qikqiak.com
    secretName: jenkins-tls

---
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: authproxy-oauth2-proxy
  namespace: kube-system
  annotations:
    kubernetes.io/ingress.class: nginx
    kubernetes.io/tls-acme: "true"
spec:
  rules:
  - host: jenkins.qikqiak.com
    http:
      paths:
      - backend:
          serviceName: authproxy-oauth2-proxy
          servicePort: 80
        path: /oauth2
  tls:
  - hosts:
    - jenkins.qikqiak.com
    secretName: jenkins-tls
EOF
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.
  • 16.
  • 17.
  • 18.
  • 19.
  • 20.
  • 21.
  • 22.
  • 23.
  • 24.
  • 25.
  • 26.
  • 27.
  • 28.
  • 29.
  • 30.
  • 31.
  • 32.
  • 33.
  • 34.
  • 35.
  • 36.
  • 37.
  • 38.
  • 39.
  • 40.
  • 41.
  • 42.
  • 43.
  • 44.
  • 45.
  • 46.
  • 47.
  • 48.

 

我们这里通过 cert-manager来自动为服务添加 HTTPS ,添加了 kubernetes.io/tls-acme=true这个注解,然后我们在浏览器中打开我们的 Jenkins 服务,正常就会跳转到 GitHub 登录页面了:

如何保护对外暴露的 Kubernetes 服务?-鸿蒙开发者社区

然后认证通过后就可以跳转到我们的 Jenkins 服务了:

如何保护对外暴露的 Kubernetes 服务?-鸿蒙开发者社区

当然除了使用 GitHub 之外,还可以使用其他的 OAuth 认证服务,比如 Google,我们可以根据需要自行去添加即可。

 

分类
云原生
标签
Kubernetes
收藏
回复
举报


回复
    相关推荐
    dlgdwuxy
    LV.1
    这个用户很懒,还没有个人简介
    觉得TA不错?点个关注精彩不错过
    69
    帖子
    0
    视频
    54
    声望
    2
    粉丝
    最近发布
    热门推荐
    【有奖互动活动】# HarmonyOS 连接·突破# 我在现场活动​ 96回复
    聊聊 2025 年最值得关注的 IT 技术趋势,一起来投票! 14回复
    鸿蒙Flutter开发知识地图 0回复
    鸿蒙性能优化之卡顿优化 1回复
    获奖名单公布|【有奖调研】#我是鸿蒙生态优化官#,我为社区未来绘新篇​ 3回复
    相关问题
    Kubernetes 如何基于节点服务器 Memory/CPU 比进行调度 1回答
    kubernetes中的Redis--sidecar还是客户端-服务器模式? 1回答
    HarmonyOS上如何合理的对外提供SDK 1回答
    HarmonyOS如何对外提供sdk 1回答
    如何在 kubernetes 的 pod 中获取 node 的 hostname? 1回答
    社区精华内容