$30 off During Our Annual Pro Sale. View Details »

認証の仕組みとclient-go credential plugin / authentication and client-go credential plugin

Hidetake Iwata
August 28, 2019
Programming
7
6.4k

認証の仕組みとclient-go credential plugin / authentication and client-go credential plugin

2019.8.28
Kubernetes Meetup Tokyo #22

Hidetake Iwata

August 28, 2019
Tweet

More Decks by Hidetake Iwata

See All by Hidetake Iwata
Rewrite Go error handling using AST transformation
int128
1
1.1k
Cluster AutoscalerをTerraformとHelmfileでデプロイしてPrometheusでモニタリングする / Deploy the Cluster Autoscaler with Terraform and Helmfile, Monitor with Prometheus
int128
3
1.4k
CLIでOAuth/OIDCを快適に利用する
int128
0
420
AppEngine × Spring Boot × Kotlin
int128
0
69
いつものJIRA設定
int128
1
140
Swaggerのテンプレートを魔改造した話 / Customize Swagger Templates
int128
1
4.3k
本番環境のリリースを自動化した話
int128
0
580
Swagger × Spring Cloud
int128
0
77
The Evolution of System Architecture
int128
0
120

Other Decks in Programming

See All in Programming
弊社の開発体験の良いところは?メンバーに訊いてみた!
texmeijin
0
190
飛び出せ!フロントエンド知見共有会~Next,Astro,Sveltekitを使ったエンジニアたちの声~ - NIFTY Tech Day 2023
niftycorp
0
130
Java 8 から 21 へのバージョンアップでどう変わる?:実アプリケーションで学ぶ実装のポイント / 20231111 Key Implementation Points from Java 8 to 21
mackey0225
7
550
進化したWeb技術でPWAをネイティブアプリに近づける / frontend-conf-2023
yuhei_fujita
6
2.6k
ブランチ運用とデプロイフローを見直してリリースを楽にする
syukai
3
410
ちょうぜつ本の紹介 (クリーンアーキテクチャとパッケージ原則)
suzukimar
0
280
Voicyの生放送リスナー画面で パフォーマンスチューニングした話
miyuki2203
0
120
DIGGLEの分析基盤アーキテクチャ
zakky21
0
230
セシール、大地に立つ - NIFTY Tech Day 2023
niftycorp
0
120
Unity Searchを拡張して高度な検索型UIを実現する
trapezoid
0
520
フロントエンドエンジニアも知っておきたい HTTP/3 で変わること
yahiru
17
9.8k
Foreign Function & Memory API ( FFM API )を用いたNativeライブラリ呼び出しと既存ライブラリの比較 ( JJUG CCC 2023 Fall )
hiroisojp
1
370

Featured

See All Featured
Git: the NoSQL Database
bkeepers
PRO
420
62k
How New CSS Is Changing Everything About Graphic Design on the Web
jensimmons
215
12k
Ruby is Unlike a Banana
tanoku
93
10k
Documentation Writing (for coders)
carmenintech
55
3.5k
The MySQL Ecosystem @ GitHub 2015
samlambert
241
11k
Building Better People: How to give real-time feedback that sticks.
wjessup
349
18k
10 Git Anti Patterns You Should be Aware of
lemiorhan
645
57k
Streamline your AJAX requests with AmplifyJS and jQuery
dougneiner
130
9.8k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
185
15k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
15
1.7k
Automating Front-end Workflow
addyosmani
1354
200k
Practical Orchestrator
shlominoach
179
9.4k

Transcript

  1. 認証の仕組みと
    client-go credential plugin
    2019/8/28
    Kubernetes Meetup Tokyo #22
    Hidetake Iwata (@int128)

    View Slide

  2. View Slide

  3. 今日お話しすること
    お話しすること
    ● ユーザがKubernetesクライアント(kubectl)を操作する時,どのように認証情報
    を取得しているか?
    お話ししないこと
    ● 内部コンポーネントの認証(scheduler, kubelet等)

    View Slide

  4. Kubernetesの認証
    Kubernetesには不正なリクエストを防ぐために認証/認可がある.
    クライアントとサーバの間の認証は,TLSクライアント証明書,トークン,ユーザ名/パ
    スワードがサポートされている.
    kubectl
    (scheduler)
    (kubelet)
    ...
    kube-apiserver
    authorization: Bearer TOKEN
    authorization: Basic XXXXXX
    TLSクライアント証明書 CA証明書

    View Slide

  5. Kubernetesクライアントはkubeconfig(デフォルトでは~/.kube/config)に書いてある
    静的な認証情報を利用してAPIサーバにアクセスする.
    Kubernetesクライアントの認証情報
    kubectl
    client-go
    ~/.kube/config
    users:
    - name: hello-basic
    user:
    client-certificate-data: LS...
    client-key-data: LS…
    password: YOUR_PASSWORD
    username: YOUR_USERNAME
    - name: hello-token
    user:
    token: YOUR_TOKEN
    証明書と秘密鍵
    ユーザ名/パスワード
    トークン

    View Slide

  6. 疑問:認証情報を更新するには?
    Q: トークン認証を利用している場合に,クライアントがサーバに送るトークンを新しい
    ものに更新したい.どうする?
    A: ユーザにkubeconfigのトークンを書き換えてもらう.
    Q: ユーザがつらいのでは?
    A: ・・・

    View Slide

  7. auth-provider
    静的な認証情報を扱うだけでなく,動的に認証情報を取得する仕組みが用意されて
    いる.コンパイル時に認証モジュール(auth-provider)を組み込む.
    https://github.com/kubernetes/client-go/tree/master/plugin/pkg/client/auth で実装されている
    kubectl
    client-go
    ~/.kube/config
    auth-provider
    外部の認証情報
    kubectlには以下のauth-providerが
    組み込まれている.
    gcp, azure, openstack, oidc

    View Slide

  8. 疑問:組み込みモジュールの弊害
    Q: 僕が考えた最強の認証方式に対応してください.
    A: ではgithub.com/kubernetes/client-goにプルリクをオナシャス!!
    Q: 強者のクラウドベンダしか対応してもらえないのでは・・・
    A: ()

    View Slide

  9. client-go credential plugin
    コンパイル時にモジュールを組み込むのではなく,外部コマンドを実行して動的に認
    証情報を取得する仕組みが用意されている.(v1.11からbeta)
    kubectl
    client-go
    ~/.kube/config
    credential plugin
    外部の認証情報
    credential pluginはstdoutにJSON
    で認証情報を出力する.
    client-goはkubeconfigに書いてあ
    るcredential pluginを実行する.

    View Slide

  10. Credential plugin
    の利用場面

    View Slide

  11. aws-iam-authenticator(EKSのIAM認証)
    kubectlの実行時に裏でaws eks get-tokenを実行してトークンを取得する.ユーザは
    トークンを意識せずに透過的にKubernetesにアクセスできる.
    https://github.com/kubernetes-sigs/aws-iam-authenticator/pull/72 にてcredential pluginに対応
    kubectl
    client-go
    ~/.kube/config
    aws eks get-token
    IAM
    master
    kube-
    apiserver
    aws-iam-au
    thenticator
    IAM
    トークン

    View Slide

  12. kubelogin(OpenID Connect認証)
    kubectlの実行時に裏でkubelogin get-tokenを実行してIDトークンを取得する.ユー
    ザはトークンを意識せずに透過的にKubernetesにアクセスできる.
    kubectl
    client-go
    ~/.kube/config
    kubelogin get-token
    OIDC
    Provider
    kube-apiserver
    OIDC
    Provider
    トークン
    authenticator
    https://github.com/int128/kubelogin からインストールできる

    View Slide

  13. まとめ
    Kubernetesクライアントは以下からTLSクライアント証明書,トークン,ユーザ名/パス
    ワードといった認証情報を読み込んで,APIサーバに送信する.
    ● kubeconfigに書いてある静的な認証情報
    ● 認証モジュール(auth-provider)が実行時に返す認証情報
    ● 外部コマンド(credential plugin)が実行時に返す認証情報
    Special thanks: icons by https://icons8.com

    View Slide

  14. 参考資料
    ● client-go credential pluginsの仕様,
    https://kubernetes.io/docs/reference/access-authn-authz/authentication/
    #client-go-credential-plugins
    ● client-go credential pluginsのプロポーザル,
    https://stupefied-goodall-e282f7.netlify.com/contributors/design-proposal
    s/auth/kubectl-exec-plugins/.

    View Slide