Inlore Dec 27 2023 at 17:55

Аутентификация в Kubernetes через Gitlab'овские JWT токены

5 min

3.3K

DevOps*

Tutorial

Comments 9

Inlore Dec 27 2023 at 18:06

Кстати, в 1.28 через KEP-3331 завезли возможность доверять нескольким провайдерам аутентификации - об этом летом писал Флант

AlexGluck Dec 27 2023 at 20:18

Кстати JWT токены депрекейтнуты, потратьте время сейчас, чтобы через год после обновления гитлаба получить кактус, вместо работающего сервиса.

-1

Inlore Dec 27 2023 at 20:56

Если внимательно читать указанный deprecation, то можно узнать, что:

Депрекейтятся старые версии JWT, вместо которых в 15.7 появились другие JWT, которые назвали ID Tokens, о которых и говорится в статье
Будет удалён путь /-/jwks, который был алиасом к пути /oauth/discovery/keys, и который был частью старых JWT

kube-api-server не использует путь /-/jwks. Для OIDC discovery будет по-стандарту опрашиваться путь /.well-known/openid-configuration, откуда будет получен jwks_uri с публичными ключами для проверки подписи токенов

Не вводите людей в заблуждение. Поставил минус вашему коменту за невнимательность

AlexGluck Dec 27 2023 at 21:06

Это уже третья версия токенов (не факт что последняя), не проще внутри куба поставить раннер с ролью доступа к Кубу? Не будет зависимости от авторизации на внешнем сервисе, что поднимет стабильность.

mayorovp Dec 27 2023 at 22:12

Права раннера в такой конфигурации не будут зависеть от того, чью задачу он выполняет. Тут даже два раннера тэгами не разделить, потому что тэги для задач задаются в самом репозитории, и любой разработчик может их отредактировать.

Возможность достать информацию из токена и проверить независимым от пайплайна способом выглядит куда надёжнее.

AlexGluck Dec 27 2023 at 22:14

Для деплоя же протектед параметр на ранере надо использовать и уже протектед теги\ветки управляются правами в гитлабе.

mayorovp Dec 28 2023 at 20:16

Они там слишком бинарно управляются.

Пользователь либо имеет право пушить в защищённую ветку - тогда у него потенциальный доступ ко всем секретам. Либо не имеет таких прав - тогда доступа нет.

Inlore Dec 27 2023 at 22:52

Это уже третья версия токенов (не факт что последняя)

И... какой вывод вы хотите сделать из данного утверждения?

Не будет зависимости от авторизации на внешнем сервисе, что поднимет стабильность

Не согласен. Получается, вы под одну гребёнку сгребаете всякие dex, keycloak, vault и прочие внешние сервисы, "понижающие стабильность"

На тему раннера в кубе вам уже сказали, что права будут общие для запускающих джобу, а я добавлю, что protected не запрещает запускать джобу конкретным юзерам. Да - этот вариант рабочий, да - он проще, но это не является альтернативой авторизации в кластере каждого юзера под своей УЗ

AlexGluck Dec 28 2023 at 20:08

Я вот не могу в менеджед кубере яндекс, селектела, вк, сберклауд сделать такую авторизацию как вы предлагаете, зато могу ранер поставить с правами. Выходит что решение частное и подходит под ваши случаи. Альтернатива же моя общая. Ну и я про деплой, а не персонифицированную авторизацию. Для неё действительно можно подбирать инструмент, но вряд ли в той конфигурации что вы предложили.

-2

Show the best of all time