Autenticación y autorización

Clase 29 de 33 • Curso de Kubernetes (2019)

Resumen

Autenticación es el método por el cual Kubernetes deja ingresar a un usuario.
Autorización es el mecanismo para que un usuario tenga una serie determinada de permisos para realizar ciertas acciones sobre el cluster.

Cuando el API server recibe un request intenta autorizarlo con uno o más de uno de los siguientes métodos: Certificados TLS, Bearer Tokens, Basic Auth o Proxy de autenticación.
Si cualquier método rechaza la solicitud, se devuelve un 401.
Si el request no es aceptado o rechazado, el usuario es anónimo.
Por defecto el usuario anónimo no puede hacer ninguna operación en el cluster.

Cristian Córdova

student•

Otra forma que encontré de conseguir el certificado del secreto por defecto que nos crea el clúster. Para ello primero buscamos cuál es secreto por defecto que tenemos:

➜ kubectl get secrets
NAME                                                    TYPE                                  DATA   AGE
default-token-nsj48                                     kubernetes.io/service-account-token   3      27h
torrid-pronghorn-kube-state-metrics-token-sc7xp         kubernetes.io/service-account-token   3      72m
torrid-pronghorn-prometheus-alertmanager-token-nmg9w    kubernetes.io/service-account-token   3      72m
torrid-pronghorn-prometheus-node-exporter-token-n2ttp   kubernetes.io/service-account-token   3      72m
torrid-pronghorn-prometheus-pushgateway-token-bj799     kubernetes.io/service-account-token   3      72m
torrid-pronghorn-prometheus-server-token-rnb99          kubernetes.io/service-account-token   3      72m

En mi caso se llama: default-token-nsj48 Ahora lanzamos el comando:

kubectl get secret default-token-nsj48 -o jsonpath="{['data']['ca\.crt']}" | base64 --decode

Esto nos dará como resultado el certificado sin codificar. :D

Juan Camilo Sarmiento Reyes

student•

10 months later...life saver, thanks

Cesar Galvis

student•

Para octubre del 2021 en mi equipo con Ubuntu y minikube los comandos han cambiado. en mi caso apliqué los siguientes comandos:

# Obtener servicios de todos los namespaces
# Guardar la ip del servicio de kubernetes
kubectl get service --all-namespaces
# Acceder al cluster (SOLO MINIKUBE)
minikube ssh -p multinode-platzi-demo
# Intentar acceder a la API (debería mostrar un error)
curl -k $IP_SERVICIO_K8S
# Salir del cluster (SOLO MINIKUBE)
exit
# Ver configuración de kubernetes
kubectl config view --raw -o json
# Ver ruta del certificado
kubectl config view --raw -o json | jq -r '.users[0].user["client-certificate"]'
# Ver contenido del certificado
cat $(kubectl config view --raw -o json | jq -r '.users[0].user["client-certificate"]')
# Ver contenido descifrado del certificado
cat $(kubectl config view --raw -o json | jq -r '.users[0].user["client-certificate"]')  | openssl x509 -text | grep Subject

Fernando Giraldo Montoya

student•

Muchas gracias, funcionaron perfecto los comandos.

Edynson Edgardo Coronado Icochea

student•

kubectl config view --raw -o json | jq -r .users[0].user["client-certificate-data"] | base64 -d | openssl x509 -text | grep Subject

Victor bustos sazo

student•

La clase incluía hack al TLS ? Genial :D

Alejandro Anaya

student•

⚠️ Para los que no les sirvió el comando largo les paso el comando con algunos arreglos que hice, que básicamente fueron (escapar la entrada de jq -r con comillas simples, no usar base64 -d, cambiar el nombre de la propiedad client-certificate, obtener el texto del nombre del archivo .crt con cat):

kubectl config view -o json | jq -r '.users[0].user["client-certificate"]' | xargs cat | openssl x509 --text | grep Subject

DAVID EDUARDO BAEZ SANCHEZ

student•

Muy bien y se entiende muy claro.

Me toco modificar el jq para que funcionara

k config view --raw -o json
k config view --raw -o json | jq -r '.users[0].user["client-certificate-data"]'
k config view --raw -o json | jq -r '.users[0].user["client-certificate-data"]'| base64 -d | openssl x509 -text | grep Subject

Usuario anónimo

user•

entendido :)

Lourdes Marianela Sotelo Espinoza

student•

Muy buena y concisa fue esta clase

Autenticación y autorización

Introducción a Kubernetes

Introducción a Kubernetes: conceptos y aplicación práctica

Repaso de contenedores e introducción a k8s

De pods a contenedores

¿Cómo funciona la arquitectura de red de Kubernetes?

Modelos declarativos e imperativos

Visión general del modelo de red

Recomendaciones

Introducción a aplicación de prueba

Instalando nuestro primer cluster con Minikube, Kubeadm

Instalando nuestro primer cluster con Kubeadm

Desplegando el Cluster en AWS con EKS

Desplegando una aplicación de prueba con EKS

Primer contacto con un cluster de kubernetes

Usando kubectl

Creación y manejo de pods

Deployments y replica sets

Balanceo de carga y service discovery

Accediendo a nuestros PODS a través de servicios

Enrutando el tráfico utilizando servicios

Desplegando nuestra app en k8s

Escalando nuestra aplicación

Exponiendo servicios interna y externamente (kubectl-proxy)

Kubernetes dashboard

Balanceo de carga y Daemon sets

Despliegues controlados

Healthchecks

Optimizando el uso de nuestro cluster

Gestionar stacks con Helm

Gestionando la configuración aplicativas utilizando Config Maps

Volúmenes

Autorización y Namespaces

Introducción a namespaces

Despliegue múltiples instancias de la misma aplicación en un solo cluster.

Autenticación y autorización

Service account tokens

RBAC

Fin del curso

Recomendaciones para implementar Kubernetes en tu organización o proyectos

Bonus

Clase en vivo: workflows de Kubernetes usando git