Upgrade to Pro — share decks privately, control downloads, hide ads and more …

認証の仕組みとclient-go credential plugin / authentication and client-go credential plugin

Hidetake Iwata
August 28, 2019
Programming
7
5.6k

認証の仕組みとclient-go credential plugin / authentication and client-go credential plugin

2019.8.28
Kubernetes Meetup Tokyo #22

Hidetake Iwata

August 28, 2019
Tweet

More Decks by Hidetake Iwata

See All by Hidetake Iwata
Rewrite Go error handling using AST transformation
int128
1
930
Cluster AutoscalerをTerraformとHelmfileでデプロイしてPrometheusでモニタリングする / Deploy the Cluster Autoscaler with Terraform and Helmfile, Monitor with Prometheus
int128
3
1.2k
CLIでOAuth/OIDCを快適に利用する
int128
0
230
AppEngine × Spring Boot × Kotlin
int128
0
64
いつものJIRA設定
int128
1
110
Swaggerのテンプレートを魔改造した話 / Customize Swagger Templates
int128
1
3.9k
本番環境のリリースを自動化した話
int128
0
490
Swagger × Spring Cloud
int128
0
55
The Evolution of System Architecture
int128
0
58

Other Decks in Programming

See All in Programming
フィーチャートグルを 使って素早く価値を検証する 早く安全に失敗し学ぶために
akki_megane
0
650
OpenAPIで 楽に始めるスキーマ駆動開発実践論 - PHP Conference 2022
komtaki
0
300
php-conference-japan-2022
tasuku43
1
450
watchOS におけるバックグラウンドタスクの限界
yamannnu
2
390
入門Hello world(PHPカンファレンス2022)
yutaron
0
180
Nature Remo SDKアップデートの軌跡
tomoyuki
1
420
治っていくmbstring ㋿時代の文字化け
youkidearitai
0
380
今更だけどUIKitで型パラメータのインジェクトを利用してViewのレイアウトをしてみよう
martysuzuki
0
450
AltJS を作るなら型変換を入れた方がいい
cannorin
0
380
小さなユーザーストーリーのすゝめ~的確な進捗把握編~
ryothkay
1
330
Kotlin Multiplatform Mobile でiOSとAndroidの実装差異を無くす
teamlab
PRO
0
420
Ruby Pattern Matching
bkuhlmann
0
470

Featured

See All Featured
No one is an island. Learnings from fostering a developers community.
thoeni
10
1.4k
Reflections from 52 weeks, 52 projects
jeffersonlam
337
18k
jQuery: Nuts, Bolts and Bling
dougneiner
56
6.5k
Adopting Sorbet at Scale
ufuk
65
7.6k
The Language of Interfaces
destraynor
148
21k
KATA
mclloyd
7
9k
Design by the Numbers
sachag
271
17k
Debugging Ruby Performance
tmm1
66
11k
How New CSS Is Changing Everything About Graphic Design on the Web
jensimmons
213
11k
Why You Should Never Use an ORM
jnunemaker
PRO
48
7.7k
Gamification - CAS2011
davidbonilla
75
4k
Building an army of robots
kneath
300
40k

Transcript

  1. 認証の仕組みと client-go credential plugin 2019/8/28 Kubernetes Meetup Tokyo #22 Hidetake

    Iwata (@int128)
  2. None

  3. 今日お話しすること お話しすること • ユーザがKubernetesクライアント(kubectl)を操作する時,どのように認証情報 を取得しているか? お話ししないこと • 内部コンポーネントの認証(scheduler, kubelet等)

  4. Kubernetesの認証 Kubernetesには不正なリクエストを防ぐために認証/認可がある. クライアントとサーバの間の認証は,TLSクライアント証明書,トークン,ユーザ名/パ スワードがサポートされている. kubectl (scheduler) (kubelet) ... kube-apiserver authorization:

    Bearer TOKEN authorization: Basic XXXXXX TLSクライアント証明書 CA証明書

  5. Kubernetesクライアントはkubeconfig(デフォルトでは~/.kube/config)に書いてある 静的な認証情報を利用してAPIサーバにアクセスする. Kubernetesクライアントの認証情報 kubectl client-go ~/.kube/config users: - name: hello-basic

    user: client-certificate-data: LS... client-key-data: LS… password: YOUR_PASSWORD username: YOUR_USERNAME - name: hello-token user: token: YOUR_TOKEN 証明書と秘密鍵 ユーザ名/パスワード トークン

  6. 疑問:認証情報を更新するには? Q: トークン認証を利用している場合に,クライアントがサーバに送るトークンを新しい ものに更新したい.どうする? A: ユーザにkubeconfigのトークンを書き換えてもらう. Q: ユーザがつらいのでは? A: ・・・

  7. auth-provider 静的な認証情報を扱うだけでなく,動的に認証情報を取得する仕組みが用意されて いる.コンパイル時に認証モジュール(auth-provider)を組み込む. https://github.com/kubernetes/client-go/tree/master/plugin/pkg/client/auth で実装されている kubectl client-go ~/.kube/config auth-provider 外部の認証情報

    kubectlには以下のauth-providerが 組み込まれている. gcp, azure, openstack, oidc

  8. 疑問:組み込みモジュールの弊害 Q: 僕が考えた最強の認証方式に対応してください. A: ではgithub.com/kubernetes/client-goにプルリクをオナシャス!! Q: 強者のクラウドベンダしか対応してもらえないのでは・・・ A: ()

  9. client-go credential plugin コンパイル時にモジュールを組み込むのではなく,外部コマンドを実行して動的に認 証情報を取得する仕組みが用意されている.(v1.11からbeta) kubectl client-go ~/.kube/config credential plugin

    外部の認証情報 credential pluginはstdoutにJSON で認証情報を出力する. client-goはkubeconfigに書いてあ るcredential pluginを実行する.

  10. Credential plugin の利用場面

  11. aws-iam-authenticator(EKSのIAM認証) kubectlの実行時に裏でaws eks get-tokenを実行してトークンを取得する.ユーザは トークンを意識せずに透過的にKubernetesにアクセスできる. https://github.com/kubernetes-sigs/aws-iam-authenticator/pull/72 にてcredential pluginに対応 kubectl client-go

    ~/.kube/config aws eks get-token IAM master kube- apiserver aws-iam-au thenticator IAM トークン

  12. kubelogin(OpenID Connect認証) kubectlの実行時に裏でkubelogin get-tokenを実行してIDトークンを取得する.ユー ザはトークンを意識せずに透過的にKubernetesにアクセスできる. kubectl client-go ~/.kube/config kubelogin get-token

    OIDC Provider kube-apiserver OIDC Provider トークン authenticator https://github.com/int128/kubelogin からインストールできる

  13. まとめ Kubernetesクライアントは以下からTLSクライアント証明書,トークン,ユーザ名/パス ワードといった認証情報を読み込んで,APIサーバに送信する. • kubeconfigに書いてある静的な認証情報 • 認証モジュール(auth-provider)が実行時に返す認証情報 • 外部コマンド(credential plugin)が実行時に返す認証情報

    Special thanks: icons by https://icons8.com

  14. 参考資料 • client-go credential pluginsの仕様, https://kubernetes.io/docs/reference/access-authn-authz/authentication/ #client-go-credential-plugins • client-go credential

    pluginsのプロポーザル, https://stupefied-goodall-e282f7.netlify.com/contributors/design-proposal s/auth/kubectl-exec-plugins/.