Je voudrais protéger les microk8s derrière un serveur d'identité (keycloak) avec OIDC.
Où dois-je définir les configurations pour utiliser mon serveur keycloak comme serveur d'identité Kubernetes ?
Réponses
Trop de publicités?
ioanb7
Points
437
J'ai essayé avec microk8s (1.21/stable) et après avoir configuré l'apiserver pour la configuration oidc, dex dans mon cas, le kubelite ne démarre pas :
vi /var/snap/microk8s/2210/args/kube-apiserver
#Added these oidc parameters:
--oidc-issuer=https://oidc-url.example.com
--oidc-auth-client=oidc-auth-client
--oidc-username-claim=email
--oidc-groups-claim=groups
--oidc-ca-file=/etc/ssl/certs/ca.pemAprès cela, j'ai redémarré le kubelite, à partir de 1.20 je pense, tous les contrôleurs kubernetes avec apiserver et db sont fournis par le kubelite, mais il ne démarre pas.
systemctl stop snap.microk8s.daemon-kubelite.service
systemctl start snap.microk8s.daemon-kubelite.service
journactl -u snap.microk8s.daemon-kubelite.service
mag 19 18:41:29 microk8s-test-01 microk8s.daemon-kubelite[599787]: Error:
unknown flag: --oidc-issuer
mag 19 18:41:29 microk8s-test-01 microk8s.daemon-kubelite[599787]: F0519 18:41:29.537492 599787 daemon.go:67] API Server exited unknown flag: --oidc-issuer
mag 19 18:41:29 microk8s-test-01 systemd[1]: snap.microk8s.daemon-kubelite.service: Main process exited, code=exited, status=255/EXCEPTION
mag 19 18:41:29 microk8s-test-01 systemd[1]: snap.microk8s.daemon-kubelite.service: Failed with result 'exit-code'.D'après les journaux ci-dessus, l'apiserver ne reconnaît pas le paramètre oidc-issuer.
Meilleur
Stefano
KrisztiánPál Klucsik
Points
1
Le paquet snap de miccrok8s stocke ses fichiers de configuration dans le répertoire $SNAP_DATA, qui pointe normalement vers /var/snap/microk8s/current (docs) .
Vous devez modifier la configuration de kube-apiserver. Ajoutez les drapeaux nécessaires, qui sont décrits dans le fichier documentation sur kubernetes
