是否有在Kubernetes集群上提供OAUTH2安全的最佳实践标准？

Question

我开始尝试对Kubernetes集群进行Oauth2授权。

我发现了一个很好的Oauth2身份提供者，它使用UAA

我最初的意图是将其部署到Kubernetes集群中，然后允许它在该集群上提供身份验证。这将为托管在云中的解决方案提供一个单一标志，并使该解决方案能够管理Kubernetes访问以及对运行在我的集群上的应用程序的访问。

然而，当仔细考虑这个解决方案时，似乎会出现这样的配置可能是灾难性的边缘情况。例如，如果我的集群停止，那么我认为我将无法重新启动该集群，因为Oauth2提供程序将不会运行，因此我无法通过身份验证来执行任何重新启动操作。

• 还有其他人遇到过这个难题吗？
• 这是真正的风险吗？
• 是否有一种“标准”的方法来规避这个问题？

非常感谢您抽出时间来阅读这篇文章！

Answer 1

Kubernetes支持多重身份验证( ref：https://kubernetes.io/docs/reference/access-authn-authz/authentication/)。

可以启用其中的多个。您可以使用它们中的任何一个登录到kubernetes集群(如果启用和配置正确)。

根据kubernetes文档:当多个认证模块启用时，第一个模块成功认证请求短路评估。API服务器不保证订单验证器在.中运行。

因此，如果您启用多个身份验证，我认为您很好。我在使用kubernetes集群。在该集群中，启用了使用webhook令牌认证的证书身份验证和守卫。这个守卫运行在kubernetes集群中。

Answer 2

UAA的使用包括两个过程--身份验证和授权--后者允许在集群内执行某些操作。它们通过kubectl命令行工具使用。

可以使用2现有的授权模块(ABAC和RBAC)。这里您可以找到这两个选项的并行比较，在这两个选项中，作者保证使用RBAC模式，因为它“不要求每次更新策略文件时都重新启动API服务器”。

如果我正确理解你的问题，这篇文章可能会有所帮助。