ref: https://jzimnowo.medium.com/harbor-keycloak-and-istio-a-good-dance-troupe-6c3520fb87de
本篇是個經驗分享文,作者想要打造一個基於 Kubernetes namespace 的多租戶 Kubernetes 平台。
該平台主要針對的是團隊內不同的 DevOps team,並且每個 Team 都會有自己的下列資源
1. Harbor: Private Container Registry
2. Keycloak: SSO
3. Istio: Service Mesh.
# Harbor
Harbor 是 CNCF 的畢業專案,專注於提供 private container registry,本身除了有友善的操作介面外,也整合了多項常見功能,譬如
1. 基於 OIDC 的授權認證機制
2. 容器安全性掃描
3. Chartmuseum (未來會被移除)
4. 專案管理
透過 OIDC 與專案的機制,能夠很輕鬆的針對不同專案設定不同權限,譬如屬於群組 A 的只能使用 Project A。
此外每個專案本身也有提供 robot account,該 robot account 的目的則是讓整個工作流程更佳簡潔。
如果要於 Kubernetes 中去抓取這些 Private Container Registry,則必須要透過 ImagePullSecret 的物件來描述登入資訊。
為了避免使用個人帳戶來存取,作者推薦每個專案都要準備兩個 Robot Account,這兩個 Robot Account 都只能針對該專案底下的 container 去存取
所以也不用擔心會去存取到其他 Team 的專案。
第一個 robot account 專注於 Pull Image,主要是讓 Kubernetes 內部可以下載 Image 使用。
第二個 robot account 則是給 CI/CD pipeline 使用,讓 pipeline 有能力將新的 image 給推向 Harbor。
前述所說 Harbor 可以基於 OIDC 來滿足認證的機制,作者於團隊中就使用 Keycloak 這個開源來作為一個 OIDC 提供者(另外一個常見的是 Dex)。
文章中有稍微介紹如何於 Keycloak 中創立一個 Client 的物件,並且於 Harbor 如何設定。
如果團隊有這個需求的可以看一下要如何操作。
文章最後探討使用這三個專案的一些經驗與痛點,有興趣的可以閱讀全文參考
sso登入 在 Tnn滔新聞 Facebook 的最讚貼文
#科技快訊
Duo 無密碼身份驗證將通過利用安全密鑰和平台生物識別技術,簡化和加強識別由 Duo 單一登入、第三方 SSO 和身份供應商所保護的雲端應用程式的身份驗證。
更多科技報導在 滔科技
#Cisco
sso登入 在 滔科技 Facebook 的最讚貼文
Duo 無密碼身份驗證將通過利用安全密鑰和平台生物識別技術,簡化和加強識別由 Duo 單一登入、第三方 SSO 和身份供應商所保護的雲端應用程式的身份驗證。
Cisco
sso登入 在 什麼是Azure 單一登入(SSO)? - GitHub 的推薦與評價
了解單一登入(SSO) 如何與Azure Active Directory 搭配運作。 請使用SSO 讓使用者不需要記住每個應用程式的密碼。 也請使用SSO 來簡化帳戶管理作業。 ... <看更多>
sso登入 在 什麼是"單點登入" SSO / Single Sign On - YouTube 的推薦與評價
... <看更多>