Авторизация в kubernetes через keycloak + Lens IDE?

Question

i-pushkin @i-pushkin

Авторизация в kubernetes через keycloak + Lens IDE?

Мы используем bare-metall kubernetes и задумались о распределении прав доступа по конкретным namespaces. Обычный RBAC работает, мы уже умеем делать через конфиги для отдельных неймспейсов и даже подружили с этим Lens (при помощи костыля в виде ручного перечисления доступных неймспейсов в настройках). Однако это крайне не гибко.
Сейчас на эксперементальном кластере пытаюсь прикруть keycloak + LDAP. Но я не очень понимаю вот какой момент - в keycloak перечисляются URL которым нужна авторизация (например dashboard), хотя это не совсем то, что нам нужно, нам нужно разграничение доступа по RBAC внутри самого кубернетеса. Подходит ли для этого keycloak? Или стоит рассмотреть другие решения?

Вопрос задан более двух лет назад
122 просмотра

1 комментарий

Подписаться 1 Простой 1 комментарий

С Lens можно было и проще - разрешить всем авторизованным получать список ns

Answer 1 · 2022-11-04 12:45:09

в keycloak перечисляются URL которым нужна авторизация

Нет, такого там точно нет.

Подходит ли для этого keycloak?

Отлично подходит, почитайте про настройку oauth2 в Kubernetes - необходимо сматчить пермишены (claim) выставляемые в keyclaok с определенными roles через rolebinding. Например, видится наипростейшим способ сделать пермишены одноименными с неймспейсами к которым будет предоставляться доступ.

Авторизация в kubernetes через keycloak + Lens IDE?

Войдите на сайт