Oauth 2.0 在Kubernetes集群上提供OAUTH2安全性是否有最佳实践标准?
我开始尝试对Kubernetes集群进行Oauth2授权 我发现了一个很好的Oauth2身份提供程序,使用 我最初的意图是将其部署到Kubernetes集群中,然后允许它在该集群上提供身份验证。这将提供一个托管在云中的单一登录解决方案,并使该解决方案能够管理Kubernetes访问以及对在我的集群上运行的应用程序的访问 然而,当仔细考虑这个解决方案时,似乎会出现一些边缘情况,这种配置可能是灾难性的。例如,如果我的集群停止,那么我认为我将无法重新启动该集群,因为Oauth2提供程序将不会运行,因此我无法通过身份验证来执行任何重新启动操作Oauth 2.0 在Kubernetes集群上提供OAUTH2安全性是否有最佳实践标准?,oauth-2.0,kubernetes,Oauth 2.0,Kubernetes,我开始尝试对Kubernetes集群进行Oauth2授权 我发现了一个很好的Oauth2身份提供程序,使用 我最初的意图是将其部署到Kubernetes集群中,然后允许它在该集群上提供身份验证。这将提供一个托管在云中的单一登录解决方案,并使该解决方案能够管理Kubernetes访问以及对在我的集群上运行的应用程序的访问 然而,当仔细考虑这个解决方案时,似乎会出现一些边缘情况,这种配置可能是灾难性的。例如,如果我的集群停止,那么我认为我将无法重新启动该集群,因为Oauth2提供程序将不会运行,因此
- 还有其他人遇到过这个难题吗
- 这真的有风险吗
- 是否有一种“标准”方法来规避这个问题
非常感谢您抽出时间阅读此文 Kubernetes支持多重身份验证(参考:) 您可以启用其中的多个。您可以使用其中任何一个登录到kubernetes集群(若它们已正确启用和配置) 根据kubernetes文档:当启用多个验证器模块时,第一个成功验证请求短路评估的模块。API服务器不保证订单验证器在中运行。
因此,如果您启用多重身份验证,我认为您很好。我正在使用kubernetes群集。在该集群中,启用了证书身份验证和使用。这在kubernetes集群中运行。UAA的使用包括两个过程:身份验证和授权,后者允许在集群中执行某些操作。它们通过kubectl命令行工具使用 可以使用两个现有的授权模块(和)。您可以找到这两个选项的并列比较,其中作者为RBAC模式提供了担保,因为它“不需要在每次更新策略文件时重新启动API服务器”
如果我没弄错你的问题,也许会有帮助 我认为您的意思是管理集群(包括使用kubectl命令行客户机)和访问其API。在这一点上,可以看到它解释了一系列选项。对于部署在群集中的应用程序,您可能希望在群集中部署一个身份提供程序,并让应用程序使用它。当然,有一系列不同的身份提供者和身份验证方法。