安全篇-为Spinnaker配置LDAP登录和操作认证

最新推荐文章于 2024-08-05 11:46:34 发布
最新推荐文章于 2024-08-05 11:46:34 发布
阅读量647 收藏 1
点赞数
分类专栏: Spinnaker实战
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_22917163/article/details/108627615
版权

为Spinnaker配置LDAP登录和操作认证


因为部署完Spinnaker后,默认没有任何认证机制,需要我们自己配置登录认证和权限认证机制,spinnaker支持gitlab、github、ldap等认证机制,这里我们采用ldap(AD域)的方式。

登录认证配置

在halyard容器中执行

//配置ldap认证
bash-5.0$ hal config security authn ldap enable
bash-5.0$ hal config security authn ldap edit \
> --url ldap://172.16.0.19:389/dc=test,dc=com \
> --manager-dn CN=spinnaker,OU=ServiceAccount,OU=信息与数据中心,OU=小牛电动,DC=test,DC=com \
> --manager-password 密码 \
> --userSearchFilter (&(objectClass=user)(sAMAccountName={0})) \
> --user-search-base OU=信息与数据中心,OU=小牛电动

//更新spinnaker
hal deploy apply

如何设置成功,刷新spinnaker会跳转到登录认证页面
在这里插入图片描述

权限认证配置

在AD域服务器根DN(test.com)下创建一个OU取名为groups,在该OU下创建两个组Admin、User
将管理员用户分别添加到Admin、User组中
将普通用户添加到User中
在这里插入图片描述在运行halyard的容器中执行以下命令

bash-5.0$ hal config security authz ldap edit \
> --url ldap://172.16.0.19:389/dc=niudian,dc=com \
> --manager-dn CN=spinnaker,OU=ServiceAccount,DC=test,DC=com \
> --manager-password 密码 \
> --user-search-base OU=信息与数据中心,OU=小牛电动
> --userSearchFilter (&(objectClass=user)(sAMAccountName={0})) \
> --group-search-base ou=groups \
> --group-search-filter "(member={0})" \
> --group-role-attributes cn

bash-5.0$ hal config security authz edit --type ldap
bash-5.0$ hal config security authz enable
bash-5.0$ hal deploy apply

大家可以参考下英文配置文档
https://spinnaker.io/setup/security/authorization/ldap/ spinnaker authz ldap
https://github.com/spinnaker/halyard/blob/master/docs/commands.md#hal-config-security-authz-ldap hal config配置命令大全
https://blog.csdn.net/levinzhang1981/article/details/84130407 LDAP集成到使用Spring Security的应用中以提供认证、授权和用户信息服务

如果大家使用的是openldap,有可能修改的地方包括–group-search-filter、 --userSearchFilter

登录spinnaker,新建应用或者在已有应用上配置该应用权限
Admin组中的成员具有read、write、execute权限
User组中的成员具有read、execute权限
在这里插入图片描述

自动化管道触发

Spinnaker中的一个流行功能是能够基于触发事件(例如A git push或Jenkins构建完成)自动运行管道,完成发布流程。当为应用设置了操作权限后,应该为管道触发器配置足够的权限以允许触发器触发管道,否则会造成触发器无权限不自动触发。
这可以通过两种方式完成:

  • 使用管道权限
  • 使用Fiat服务账号

这里我们使用管道权限的方式
管道权限默认情况下处于禁用状态,可以通过设置以下标志来启用:

  • 对于orca,将以下内容添加到 orca-local.yml

     [root@idc-hk-proxy ~]#cat .hal/default/profiles/orca-local.yml
 tasks:
 	useManagedServiceAccounts: true

  • 对于Deck,将以下内容添加到 settings-local.js

     [root@idc-hk-proxy ~]# cat .hal/default/profiles/settings-local.js 
 window.spinnakerSettings.feature.managedServiceAccounts = true;

设置完后,清理下历史记录,重新登录打开管道配置界面,会在触发器模块里出现权限选择器,选择一个拥有EXECUTE权限的角色即可,这样触发器就可以自动触发了。

参考链接
https://spinnaker.io/setup/security/authorization/pipeline-permissions/
在这里插入图片描述

浅抒流年
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Spinnaker-配置基于LDAP的Authentication和RBAC
鬼刺
06-30 543
1 引言
spinnaker 配置认证
IT
11-27 855
Spinnaker中,安全性是一个关键的考虑因素,尤其是在大型组织或在多团队环境中。Spinnaker部署完成后,默认没有任何认证机制,需要自行配置登录认证和权限认证机制,spinnaker支持gitlab、github、ldap认证机制,下面介绍ldap和基于github的认证方式。登录spinnaker,验证是否需要认证,账号为testuser,密码为openldap创建的对应账号密码。请适当调整配置,适配您的环境,例如可能为。点击 Create a child entry。
服务器集群配置LDAP统一认证高可用集群(配置tsl安全链接)-centos9stream-openldap2.6.2
最新发布
Innocence_0的博客
08-05 818
因之前集群为centos6,已经很久没升级了,所以这次配置统一用户认证也是伴随系统升级到centos9时一起做的配套升级。新版的openldap配置大致与老版本比较相似,但有些地方配置还是有变化,另外,铺天盖地的帮助文档有相当一部分是直接搬砖过来的,所以参考时容易出错,这里将自己实践的内容一一共享,让大家更方便,更实用。另外,openldap配置一般都采用ldif文件配置后使用命令导入,如果有人写的是要直接修改config目录下的文件的话赶紧绕道吧,那不是推荐的写法,会把你的配置搞乱的。
spinnaker
weixin_30785593的博客
04-03 295
一、Spinnaker介绍持续交付平台(快速且持续的部署到多种云平台上)特征:配置一次、随时运行;随地部署,集中化管理;快源实现目标:1)通过灵活和可配置的管道实现可重复的自动部署2)提供一个所有环境的全局试图,一个应用程序可以看见自己在所属管道中的状态3)通过一致且可靠的API,提供可编程配置4)易于配置、维护和扩展二、主要功能集群管理:1)机器组:Spinnaker管理资源的单位,标识了机器...
安装Spinnaker
engchina的专栏
02-19 1345
安装Spinnaker
Spinnaker 生产环境安装部署监控
DevOps持续集成的博客
10-19 1856
1. 架构分析2.准备工作2.1 启动Halyard容器2.2 下载所需要的镜像2.3 准备bom文件3.Halyard配置管理3.1.Halyard初始化配置3.2 添加镜像仓库(ha...
se-spinnaker-config:spinnaker.se.armory.io配置文件
04-20
此存储库存储了Armory销售工程团队正在为其Spinnaker演示实例的实际配置文件。 我们正在利用社区和军械库(最近)构建的几个功能: 大三角帆算子 Kustomize烘烤 Git触发器(带有秘密) 管道相对简单,包含两个...
DFT的matlab源代码-spinnaker-the-hard-way:了解大三角帆的概念,安装,配置操作
05-26
登录云提供商的控制台时,您没有简便的方法可以对您的应用程序资源进行归零! 大三角帆对于应用程序“管理”的关注程度与对应用程序“部署”的关注程度一样 大三角帆微服务 基于浏览器的UI API网关:所有API调用程序...
连续交付-spinnaker-gke:在GKE上部署,配置和运行Spinnaker的教程,以实现连续交付
02-03
用大三角帆和Kubernetes连续交付 有关运行本教程的说明,请访问: 。
armory-observability-plugin:Spinnaker 插件,用于启用、配置和自定义可观察性功能
05-29
军械库可观察性插件 Spinnaker 插件,用于配置和自定义可观察性。 版本兼容性 插入 三角帆平台 1.+ 1.20.+ 什么是可观察性? 在控制理论中,可观察性是衡量... 强烈建议您了解影响和安全风险。 例如,这在门上公开
Spinnaker-配置邮件通知
鬼刺
07-20 244
1 引言 spinnaker可以配置邮件通知,其他的通知类型在我们国家不适用,就不说了~ 2 配置邮件通知 2.1 修改配置文件 vim /home/spinnaker/.hal/default/profiles/settings-local.js window.spinnakerSettings = window.spinnakerSettings || {}; window.spinnakerSettings.notifications = window.spinnakerSettings.noti
持续交付平台Spinnaker.zip
07-16
Spinnaker 是一个持续交付平台,它定位于将产品快速且持续的部署到多种云平台上。Spinnaker 主要特性:配置一次,随时运行;随地部署,集中化管理;开源。Spinnaker 组件:Spinnaker 最初是以实现内部的端到端持续交付为目标,作为 Asgard 的替代,该项目期望重建一个持续交付平台,能够实现:通过灵活和可配置的管道实现可重复的自动部署提供一个所有环境的全局视图,一个应用程序可以看见自己的在所属管道中的状态通过一致且可靠的API,提供可编程配置易于配置、维护和扩展兼容Asgard特性同时,Spinnaker作为云平台部署工具,Spinnaker团队和Google、微软、Pivotal等公司合作,致力于提供在多种平台上实现开箱即用的集群管理和部署功能。目前,Spinnaker可以部署管理AWS和Google云平台(GCP),针对Azure等平台的支持也在进行中。Spinnaker主要包含2块内容,集群管理和部署管理。集群管理功能,主要用于管理云上的资源。集群管理将云上资源做了逻辑划分:机器组:机器组是Spinnaker管理资源的单位。机器组标识了机器实例,并且关联了一个负载均衡器和安全组。每个机器组都拥有独立的配置信息(如机器帐号等);安全组:安全组定义了网络访问权限,也就是一般意义上的一组防火墙规则;负载均衡器:负载均衡器用于将网络流量重定向到机器组中的机器实例,负载均衡器还可以指定一系列规则,用于对机器组中的机器实例做健康检查;集群:集群是由用户定义的,对机器组的逻辑分组;部署管理功能用于创建一个持续交付流程。部署管理的核心是管道,在Spinnaker的定义中,管道由一系列的阶段(stages)组成。管道可以 由Jenkins、定时器、其他管道或者人工触发。同时,管道可以配置参数和通知,可以在管道一些节点上发出消息。Spinnaker已经内置了一些阶 段,如执行自定义脚本、触发Jenkins任务等。介绍来自 InfoQ 标签:Spinnaker
helm 安装 spinnaker
weixin_30550081的博客
04-11 219
$ curl -Lo values.yaml https://raw.githubusercontent.com/kubernetes/charts/master/stable/spinnaker/values.yaml helm install -n my-spinnaker stable/spinnaker -f values.yaml --timeout 3600 --version 0...
Centos7下spinnaker安装至k8s
qq_42869878的博客
06-01 390
## 1. 架构分析 Halyard + Kubernetes + Redis + MySQL57 + S3 - redis: Gate、Orca、Clouddrive、Rosco、Igor、Fiat、Kayenta - S3: Front50 、Kayenta 数据持久化 - Orca 、Clouddriver 默认安装使用redis存储数据,转换为使用SQL数据库存储。 - Front50 默认安装使用s3持久化存储,转换为使用SQL数据库存储。 - 使用k8s外部redis集群。 ## .
Spinnaker 安装记录
zhangpin04的博客<img src="http://awfwef.com/a.png">
09-10 372
按照官方文档通过 Helm 安装 Spinnaker,结果失败,Google 到这个 issue,有人提交一个 PR,升级 halyard 版本,但是没有合并进去,于是尝试直接 clone 下来对方的修改,使用 helm install . --timeout 6000 安装,漫长等待过后等来的是失败(helm status <release-name> 显示 FAILED),通过查看...
Spinnaker V1.26.7 安装部署文件已更新
DevOps持续集成的博客
03-08 361
获取Artifacts(会有一个过期时间, 如果过期了可以提醒我一下哈,或者直接fork这个项目,然后添加上自己的仓库信息也就可以自维护了)获取Spinnaker最新的稳定版本: 运行G...
ubuntu 20.04 下使用 Flir Blackfly S BFS-U3-16S2C 工业相机:安装spinnaker sdk和spinnaker_camera_driver
wujing_555的博客
09-19 1459
ubuntu 20.04 配置 Flir Blackfly S BFS-U3-16S2C 工业相机:安装spinnaker sdk和spinnaker_camera_driver
使用Spinnaker实现持续部署:一键安装指南与深度解析
gitblog_00047的博客
04-21 980
使用Spinnaker实现持续部署:一键安装指南与深度解析 项目地址:https://gitcode.com/zeyangli/spinnaker-cd-install 项目简介 在现代DevOps实践中,持续集成和持续部署(Continuous Integration/Continuous Deployment, CI/CD)是提高软件开发效率的关键环节。Spinnaker是一个开源平台,专为...
Spinnaker-helm3部署Spinnaker 1.19.*
鬼刺
04-28 610
1 引言
spinnaker 安装
03-23
Spinnaker是一个开源的持续交付平台,用于帮助用户在云环境中进行应用程序的部署和管理。下面是Spinnaker的安装步骤: 1. 安装前提条件: - Java 8或更高版本 - Redis数据库 - MySQL或PostgreSQL数据库 2. 下载并安装Halyard: -alyard是Spinnaker的部署工具,可以通过以下命令进行安装: ``` curl -O https://raw.githubusercontent.com/spinnaker/halyard/master/install/debian/InstallHalyard.sh sudo bash InstallHalyard.sh ``` 3. 配置Halyard: - 运行以下命令以配置Halyard: ``` hal config deploy edit --type distributed --account-name my-spinnaker-account ``` 4. 配置存储: - 选择一个存储后端,如S3、Google Cloud Storage等,并配置存储账户信息。 5. 配置云提供商: - 根据你的需求,配置你想要使用的云提供商,如AWS、GCP等。 6. 部署Spinnaker: - 运行以下命令以部署Spinnaker: ``` hal deploy apply ``` 7. 访问Spinnaker: - 完成部署后,你可以通过浏览器访问Spinnaker的UI界面,默认端口为9000。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

浅抒流年

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值