OpenShift 4 - 利用 OpenShift 的 OAuth Proxy 实现应用身份认证

最新推荐文章于 2024-08-07 10:09:35 发布
最新推荐文章于 2024-08-07 10:09:35 发布
阅读量285 收藏
点赞数
文章标签: openshift 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43902588/article/details/132154988
版权
本文详细介绍了在OpenShift4.13环境中部署和配置一个测试应用,实现认证用户访问、权限控制以及使用ServiceAccount的安全访问。通过OAuthProxy和RBAC策略确保只有授权用户可以访问应用。
摘要由CSDN通过智能技术生成

OpenShift / RHEL / DevSecOps 汇总目录
说明:本文已经在 OpenShift 4.13 的环境中验证

文章目录


说明

  • 本文需要集群中除了管理员外还有一个一般用户。另外除了特殊说明,默认都是用集群管理员进行操作。
  • 在浏览器中如果需要重新登录,需要清楚浏览器的 Cookie。

部署测试应用

  1. 依次执行以下命令,创建应用资源。
$ oc new-project reverse-words
$ cat << EOF | oc apply -f -
apiVersion: apps/v1
kind: Deployment
metadata:
  name: reverse-words
  labels:
    name: reverse-words
spec:
  replicas: 1
  selector:
    matchLabels:  
      name: reverse-words
  template:
    metadata:
      labels:
        name: reverse-words
    spec:
      containers:
        - name: reverse-words
          image: quay.io/mavazque/reversewords:latest 
          imagePullPolicy: Always
          ports:
            - name: reverse-words
              containerPort: 8080
              protocol: TCP
EOF

$ cat << EOF | oc apply -f -
apiVersion: v1
kind: Service
metadata:
  labels:
    name: reverse-words
  name: reverse-words
spec:
  ports:
  - name: app
    port: 8080
    protocol: TCP
    targetPort: reverse-words
  selector:
    name: reverse-words
  sessionAffinity: None
  type: ClusterIP
EOF

$ oc create route edge reverse-words --service=reverse-words --port=app --insecure-policy=Redirect
  1. 访问应用,确认可以将字符串反转。
$ curl -k https://$(oc get route reverse-words -o jsonpath='{.spec.host}') -X POST -d '{"word": "ABCD"}'
{"reverse_word":"DCBA"}

只有认证用户才能访问

  1. 创建 OAuth Proxy 用来为登录会话 cookie 加密的 Secret。
$ oc create secret generic reversewords-proxy --from-literal=session_secret=$(head /dev/urandom | tr -dc A-Za-z0-9 | head -c43)
  1. 创建应用使用的 serviceaccount,并通过注释说明未登录时重定向 OAuth-Proxy 的登录 route。
$ oc create serviceaccount reversewords
$ oc annotate serviceaccount reversewords serviceaccounts.openshift.io/oauth-redirectreference.reversewords='{"kind":"OAuthRedirectReference","apiVersion":"v1","reference":{"kind":"Route","name":"reverse-words-authenticated"}}'
  1. 更新 Deployment 和 Service。注意:本文 OpenShift 版本 4.13,所以镜像使用的是 quay.io/openshift/origin-oauth-proxy:4.13
$ cat << EOF | oc replace -f -
apiVersion: apps/v1
kind: Deployment
metadata:
  name: reverse-words
  labels:
    name: reverse-words
spec:
  replicas: 1
  selector:
    matchLabels:  
      name: reverse-words
  template:
    metadata:
      labels:
        name: reverse-words
    spec:
      containers:
        - name: reverse-words
          image: quay.io/mavazque/reversewords:latest 
          imagePullPolicy: Always
          ports:
            - name: reverse-words
              containerPort: 8080
              protocol: TCP
        - name: oauth-proxy 
          args:
            - -provider=openshift
            - -https-address=:8888
            - -http-address=
            - -email-domain=*
            - -upstream=http://localhost:8080
            - -tls-cert=/etc/tls/private/tls.crt
            - -tls-key=/etc/tls/private/tls.key
            - -cookie-secret-file=/etc/proxy/secrets/session_secret
            - -openshift-service-account=reversewords
            - -openshift-ca=/var/run/secrets/kubernetes.io/serviceaccount/ca.crt
            - -skip-auth-regex=^/metrics
          image: quay.io/openshift/origin-oauth-proxy:4.13
          imagePullPolicy: IfNotPresent
          ports:
            - name: oauth-proxy
              containerPort: 8888    
              protocol: TCP
          volumeMounts:
            - mountPath: /etc/tls/private
              name: secret-reversewords-tls
            - mountPath: /etc/proxy/secrets
              name: secret-reversewords-proxy
      serviceAccountName: reversewords
      volumes:
        - name: secret-reversewords-tls
          secret:
            defaultMode: 420
            secretName: reversewords-tls
        - name: secret-reversewords-proxy
          secret:
            defaultMode: 420
            secretName: reversewords-proxy
EOF 
 
$ cat << EOF | oc apply -f -
apiVersion: v1
kind: Service
metadata:
  annotations:
    service.alpha.openshift.io/serving-cert-secret-name: reversewords-tls
  labels:
    name: reverse-words
  name: reverse-words
spec:
  ports:
  - name: proxy
    port: 8888
    protocol: TCP
    targetPort: oauth-proxy
  - name: app
    port: 8080
    protocol: TCP
    targetPort: reverse-words
  selector:
    name: reverse-words
  sessionAffinity: None
  type: ClusterIP
EOF
  1. 创建需登录才能访问的 Route。
$ oc create route reencrypt reverse-words-authenticated --service=reverse-words --port=proxy --insecure-policy=Redirect
  1. 打开下图中下面的 Route 地址。
    在这里插入图片描述
  2. 确认会转向登录跳转确认页面,在登录后即可访问到应用。
    在这里插入图片描述
  3. 通过以下方式直接访问应用受保护的访问地址,会显示 403 错误。
$ curl -k -I https://$(oc get route reverse-words-authenticated -o jsonpath='{.spec.host}')
HTTP/1.1 403 Forbidden
set-cookie: _oauth_proxy=; Path=/; Domain=reverse-words-authenticated-reverse-words.apps-crc.testing; Expires=Tue, 08 Aug 2023 05:22:50 GMT; HttpOnly; Secure
date: Tue, 08 Aug 2023 06:22:50 GMT
content-type: text/html; charset=utf-8
set-cookie: 24c429aac95893475d1e8c1316adf60f=facc03c3f22d98ccfadcfddc67771fd9; path=/; HttpOnly; Secure; SameSite=None
  1. 通过以下方式直接访问应用受保护的访问地址,可以从返回结果看出实际是登录跳转确认页面。
$ curl -k -L https://$(oc get route reverse-words-authenticated -o jsonpath='{.spec.host}')

只有有权的用户才能访问

  1. 修改 Deployment,在 container 的参数区域增加以下 2 个参数。
- -openshift-service-account=reversewords
- -openshift-sar={"resource":"namespaces","resourceName":"reverse-words","namespace":"reverse-words","verb":"get"}
  1. 然后在访问应用的时候使用非管理员用户登录,可以看到以下 403 Permission Denied 提示页面。这是由于该应用以及所属项目是管理员创建的,所以一般用户无权访问。
    在这里插入图片描述
$ oc s adm policy add-role-to-user view developer

使用 ServiceAccount 访问

$ cat << EOF | oc apply -f -
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  # Without this role your oauth-proxy will output
  # Failed to make webhook authenticator request: tokenreviews.authentication.k8s.io is forbidden: 
  # User "system:serviceaccount:reverse-words:reversewords" cannot create resource "tokenreviews" in API 
  # group "authentication.k8s.io" at the cluster scope
  name: oauth-create-tokenreviews
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: system:auth-delegator
subjects:
- kind: ServiceAccount
  name: reversewords
  namespace: reverse-words
EOF

$ oc create serviceaccount robot-user
$ oc adm policy add-role-to-user view -z robot-user

- -openshift-sar={"resource":"namespaces","resourceName":"reverse-words","namespace":"reverse-words","verb":"get"}
- -openshift-delegate-urls={"/":{"resource":"pods","namespace":"reverse-words","verb":"get"}}

$ TOKEN=$(oc -n reverse-words create token robot-user)
$ curl -k -H "Authorization: Bearer ${TOKEN}" https://$(oc get route reverse-words-authenticated -o jsonpath='{.spec.host}')
Reverse Words Release: NotSet. App version: v0.0.25

参考

https://linuxera.org/oauth-proxy-secure-applications-openshift/

dawnsky.liu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
OpenShift 3.11单机安装和使用
twingao的专栏
05-30 4147
安装 建议系统内存>=6G,CPU>=4。在hosts中添加主机名。 vi /etc/hosts 192.168.1.42 os-node 开启SELINUX。 vi /etc/selinux/config # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy
Openshift 4.4 静态 IP 离线安装系列:初始安装
sinat_28371057的博客
12-01 1114
Openshift 4.4 静态 IP 离线安装系列:初始安装 上篇文章准备了离线安装 OCP 所需要的离线资源,包括安装镜像、所有样例Image Stream和OperatorHub中的所有 RedHat Operators。本文就开始正式安装OCP(Openshift Container Platform) 集群,包括 DNS 解析、负载均衡配置、ignition配置文件生成和集群部署。 OCP安装期间需要用到多个文件:安装配置文件、Kubernetes 部署清单、Ignition 配...
oauth-proxy:OAuth 安全 API 和客户端应用程序之间的代理
06-22
oauth 代理 这是一个用 PHP 编写的独立 Web 服务器,充当您的 OAuth 安全 API 和您的客户端应用程序之间的代理。 正如的所讨论的,它基本上是 OAuth + 客户端 Web 应用程序方法的实现。 目前只支持密码授权。 部署 克隆存储库并将您的网络服务器指向public/ 。 运行composer install --no-dev 创建和编辑配置文件( .env基于.env.example )。 理论 对于深入的解释,您应该真正查看的。 以下是所提出的所有请求所描述的底线。 向代理请求: POST /auth HTTP/1.1 Host: proxy.example.com username=foo &password=bar 对实际 API 服务器的请求: POST /auth HTTP/1.1 Host: api.example.com grant
oauthproxy:oauthproxy 服务器
06-30
oauthproxy OAuth 代理服务器
Keycloak实现开源SSO oauth2登陆权限系统(1)—— 安装keycloak并配置 oauth clienntid 和 nginx-ingress配置oauth-proxy2授权登陆跳转
weixin_43041894的博客
07-21 923
它允许创建独立的应用程序和用户组。master 是keycloak 中默认的 realm,master 是专用于管理 keycloak的,不建议用于自己的应用程序。要应用于自己的应用程序时,一般建立一个指定名称的 realm。3、在右侧 Add realm 界面的 Name 处填写自己相应建立的 realm 的名称,例如: myrealm。2、点击左侧的 Clients,在右侧的弹出界面点击 Create 按钮,得到 Add Client 界面。1、在出现界面点击 Credentials,出现如下界面。
oauth-proxy docker 镜像
03-30
原生镜像。 registry.access.redhat.com/openshift3/oauth-proxy版本号是v3.7.23-3
oauth2 github_如何使用oauth2_proxy保护GitHub登录后的私有Kubernetes服务
08-13 1639
oauth2 github 介绍 (Introduction) Kubernetes ingresses make it easy to expose web services to the internet. When it comes to private services, however, you will likely want to limit who can access them....
oauth-proxy:oauth代理
04-30
Appengine骨架 这是从appengine-skeleton原型生成的应用程序。
IT运维面试问题总结-LVS、Keepalived、HAProxy、Kubernetes、OpenShift
empty_csx的博客
05-08 2920
文章目录1.简述ETCD及其特点2、简述ETCD适应的场景?3、简述HAProxy及其特性 1.简述ETCD及其特点 etcd 是 CoreOS 团队发起的开源项目,是一个管理配置信息和服务发现(service discovery)的项目,它的目标是构建一个高可用的分布式键值(key-value)数据库,基于 Go 语言实现。 特点: 简单:支持 REST 风格的 HTTP+JSON API 安全:支持 HTTPS 方式的访问 快速:支持并发 1k/s 的写操作 可靠:支持分布式结构,基于 Raft 的一
在Ubuntu上安装OpenShift并使用
南瓜慢说
01-15 782
服务器信息 在阿里云买了个抢占式的服务器,地区为华南广州,系统为Ubuntu 20.04,8核16GB。 安装Docker 命令如下: $ apt-get update -y $ apt-get upgrade -y $ apt-get install -y docker.io 安装成功后,检查一下版本: $ docker version Client: Version: 20.10.7 API version: 1.41 Go version: go1
oauthproxy:Nginx或与Nginx Ingress Controller兼容的oauth2代理,充当oauth客户端并执行身份验证流程
05-11
这是Nginx兼容的oauth代理,充当oauth客户端并执行身份验证流程 用法 Usage: <main> [-h] [-cb=<redirectUri>] [-ci=<clientId>] [-cs=<clientSecret>] [-i=<issuer>] [-p=<port>] -cb, --callback=<redirectUri> Callback URI Default: http://127.0.0.1:8089/p/callback -ci, --clientId=<clientId> Client Id of OAuth client
aks-oauth2-proxy-example:示例AKS和oauth2-proxy配置
04-05
AKS和OAuth2代理 使用--set controller.service.externalTrafficPolicy=Local参数安装nginx入口控制器,它将确保AKS使用真实IP来访问入口。 创建入口控制器后,在DNS区域中添加A记录,将“ *”指向此IP地址,否则,您需要为每个具有不同子域的应用创建DNS记录。 使用命令kubectl create secret generic oauth2-secrets --from-literal=clientSecret=<CLIENT>创建密钥以存储AAD App客户端密钥kubectl create secret generic oauth2-secrets --from-literal=clientSecret=<CLIENT> 安装oauth2-proxy.yaml。 Doc说要允许将带有有
OpenShift Authentication
Christina の Blog
05-10 383
重要的英文概念 Authentication 授权 Authorization 身份验证 OAuth access tokens OAuth访问令牌 Authentication operator 授权操作器 OpenShift API 用户想要登录 OpenShift, 第一步一定是验证身份.??? 一般来说,我们会用 oc login 去登录账户,这种方式就是使用 OpenShift API 来进行授权. API会验证身份 有两种方式用来验证 Oauth 访问令牌 X.509 客户端证书 Aut
prometheus-operator+oauth-proxy+github添加鉴权
因上努力,果上随缘。但行好事,莫问前程。
08-16 588
图片中的client-id、client-secret要记录一下,一会配置oauth-proxy 容器的时候会用到!
OAuth2 Proxy 与 Caddy v2 集成,在访问网站之前进行鉴权
SerinaNya 的博客
05-12 1179
如果你想保护某个 Web 服务避免未经授权的访问,或者实现类似于 Cloudflare Zero Trust 的 Access Gateway 那样的功能的话,这套方案似乎是个不错的选择。
OAuth2 Proxy 使用教程
最新发布
gitblog_00976的博客
08-07 909
OAuth2 Proxy 使用教程 oauth2-proxyA reverse proxy that provides authentication with Google, Azure, OpenID Connect and many more identity providers.项目地址:https://gitcode.com/gh_mirrors/oa/oauth2-proxy 项目介绍...
转(Openshift 用户权限管理 )
完颜振江
06-30 313
创建本地role○ ,本地角色的名称○ ,以逗号分隔的、应用到角色的操作动词列表○ ,角色应用到的资源○ ,项目名称例:要创建一个本地角色来允许用户查看 blue 项目中的 Pod#新角色绑定到用户创建集群role○ ,本地角色的名称○ ,以逗号分隔的、应用到角色的操作动词列表○ ,角色应用到的资源。
openshift internal-registry 切换 sc
05-25
要在 OpenShift 中切换内部注册表的 StorageClass(SC),可以遵循以下步骤: 1. 查看当前内部注册表的 StorageClass: ``` oc get cm image-registry-config -n openshift-image-registry -ojsonpath='{.data.storage}' ``` 2. 在输出中找到当前使用的 StorageClass 的名称,例如 `default`. 3. 创建一个新的 StorageClass,例如 `new-sc`, 并设置适当的参数(例如 storageClassName、provisioner、parameters 等)。 4. 更新内部注册表的配置以使用新的 StorageClass: ``` oc patch configs.imageregistry.operator.openshift.io/cluster -n openshift-image-registry --type merge --patch '{"spec":{"storage":{"pvc": {"claim": {"storageClassName": "new-sc"}}}}}' ``` 5. 验证配置是否已更新: ``` oc get cm image-registry-config -n openshift-image-registry -ojsonpath='{.data.storage}' ``` 在输出中,应该看到新的 StorageClass 的名称。现在内部注册表将使用新的 StorageClass 来创建持久卷声明(PVC)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值