以Kubernetes为单位的微认证服务和数据库

Question

我在Kubernetes的数据平台上工作。因此，我需要安装

• 几个数据库，如C年会(或Minio)、Postgresql、Elasticsearch
• 卡夫卡集群
• 像Trino这样的SQL引擎(以前的PrestoSQL)
• 几个api服务器

需要对多个用户和应用程序( Kubernetes内部的或非内部的用户和应用程序)进行身份验证，并授权它们使用上述组件。

为了获得授权，我发现了一个像Open这样的项目，它符合我的愿望，希望有一种集中统一的方式来控制它。我想要同样的东西进行认证，但我仍然在寻找它。

有不同的身份验证方法，最有趣的是：

• TLS证书
• OAuth2
• Kerberos

但上述所有组件都没有实现这些方法。

例如，我对使用Keycloak感兴趣。它非常适合API服务器，Kafka，但不适合Postgresql。

你知道一些解决办法吗，我的问题的替代方案？

Answer 1

就像评论中提到的乔纳斯：

这完全取决于您的系统支持什么。如果它们支持JWT令牌进行身份验证，那么微服务可以使用它的serviceAccount。

解决方案之一可能是使用服务网格，比如伊蒂奥和JWT (JSON )。这里也是关于JWT的istio文档。简单地说，微服务将生成一个JWT，istio将检查令牌是否正确。本指南准确地展示了Istio授权策略的工作原理。

这里您可以找到一篇非常好的文章，解释这种授权是如何一步一步地工作的。它提出了各种实现方法。它显示了他们的长处和弱点。

这里也值得一看。官方的istio安全文档解释了如何处理授权问题。您可以在那里找到所有支持的授权方法。

还可以创建自定义操作，将授权委托给外部系统。这里是指南，你如何能做到这一点。

Kubernetes还支持第三方身份验证工具：凯克雅克、Auth0或谷歌Auth。以下是指南，如何使用以下方法确保Kubernetes集群的安全：

• 凯克雅克和伊索
• Auth0和Istio
• Google Auth和Istio