视频网站开发者工具,响应式网站设计欣赏,北京设计网站的公司哪家好,wordpress 设置页面作者| Alexey Ledenev翻译 | 天道酬勤#xff0c;责编 | Carol出品 | CSDN云计算#xff08;ID#xff1a;CSDNcloud#xff09;随着企业与各种云提供商合作#xff0c;多云场景已经变得十分常见。在谷歌Kubernetes引擎#xff08;GKE#xff09;上运行的应用程序需要访… 作者| Alexey Ledenev翻译 | 天道酬勤责编 | Carol出品 | CSDN云计算IDCSDNcloud随着企业与各种云提供商合作多云场景已经变得十分常见。在谷歌Kubernetes引擎GKE上运行的应用程序需要访问亚马逊网络服务AWSAPI时这种情况也会出现。任何应用程序都有需求也许它需要在AmazonRedshift上运行分析查询访问存储在Amazon S3存储桶中的数据使用Amazon Polly将文本转换为语音或使用任何其他AWS服务。跨云访问带来了新挑战如何管理云凭据。这是从一个云提供商访问另一个提供商运行的服务所必需解决的问题。如果用不成熟的方法来分发和保存云提供商的机密是非常不安全的。将长期凭证分配给需要访问AWS服务的每个服务管理起来具有挑战性并且存在潜在的安全风险。当前解决方案实际上每个云服务商都提供了自己独特的解决方案来克服这一挑战和其中一个云服务商合作就可以解决。谷歌云Google Cloud推出了Workload Identity这是GKE应用程序认证和使用其他谷歌云服务的推荐方式。Workload Identity 通过绑定Kubernetes服务帐户和Cloud IAM服务帐户来工作因此你可以使用本地Kubernetes概念来定义哪些工作负载以哪些身份运行并允许你的工作负载自动访问其他谷歌云服务而无需管理Kubernetes秘密或IAM服务帐户密钥。AWS通过“ IAM服务帐户角色”功能支持类似的功能。使用Amazon EKS集群上服务帐户的IAM角色可以将IAM角色与Kubernetes服务帐户关联。然后该服务帐户可以向使用该服务帐户任何Pod中的容器提供AWS权限。使用此功能不再需要为工作节点IAM角色提供扩展权限以便该节点上的Pod可以调用AWS API。但是如果你在GKE集群上运行应用程序工作负载并且希望在不影响安全性的情况下访问AWS服务该怎么办定义一个使用案例假设你已经有一个AWS账户和一个GKE集群并且你的公司已决定在GKE集群上运行基于微服务的应用程序但仍想使用AWS账户中的资源Amazon S3和SNS服务与在AWS上部署的其他系统。例如在GKE集群中运行业务流程作业部署为Kubernetes Job需要将数据文件上传到S3存储桶中并向Amazon SNS主题发送消息。等效的命令行如下这是一个很简单的例子。为了能使这些命令成功执行业务流程作业必须具有可用的AWS凭证并且这些凭证必须能够进行相关的API调用。不成熟的非安全的方法IAM的长期凭据导出某些AWS IAM用户的AWS访问密钥和保密密钥并将AWS凭证作为凭证文件或环境变量注入到业务流程作业中。可能不是直接执行此操作而是使用RBAC授权策略保护的Kubernetes Secrets资源。这里的风险是这些凭据永远不会过期。必须将它们从AWS环境转移到GCP环境并且在大多数情况下人们希望将它们存储在某个位置以便在以后需要时可用于重新创建业务流程作业。使用长期AWS凭证时可以通过多种方式来破坏你的AWS账户。无意中将AWS凭证提交到GitHub存储库中、将其保存在Wiki系统中、针对不同的服务和应用程序重复使用凭证和允许无限制访问等等。尽管可以为已发布的IAM用户凭据设计适当的凭据管理解决方案但是如果你永远不会一开始就创建这些长期凭据则不需要此解决方案。作者提出的方法基本思想是将AWS IAM角色分配给GKE Pod类似于针对服务帐户云特定功能的工作负载身份和EKS IAM角色。对我们来说很幸运的是AWS允许为开放ID连接联盟OpenID Connect FederationOIDC身份提供者而不是IAM用户创建IAM角色。另一方面谷歌实现了OIDC提供程序并通过工作负载身份功能将其与GKE紧密集成。为GKE Pod提供有效的OIDC令牌该令牌在链接到谷歌云服务帐户的Kubernetes服务帐户下运行。所有这些都可以有助于实现GKE-to-AWS的安全访问。将OIDC访问令牌转换为ID令牌需要完成该方法还缺少一点东西。通过正确设置工作负载身份GKE Pod会获得OIDC访问令牌该令牌允许访问谷歌云服务。为了从AWS安全令牌服务STS获取临时AWS凭证你需要提供有效的OIDC ID令牌。正确设置以下环境变量后AWS开发工具包和aws-cli工具将自动从STS服务请求临时AWS凭证AWS_WEB_IDENTITY_TOKEN_FILE——Web身份令牌文件的路径OIDCID令牌AWS_ROLE_ARN——Pod容器承担的角色的ARNAWS_ROLE_SESSION_NAME——应用于此假定角色会话的名称。听起来可能有点复杂但是作者将提供分步指南并支持开源项目dointl / gtoken来简化该设置。gtoken-webhook可变流gtoken-webhook将gtoken initContainer注入目标Pod和一个附加的gtoken sidekick容器以在到期前刷新OIDC ID令牌安装令牌量并注入三个AWS特定的环境变量。gtoken容器会生成有效的GCP OIDC ID令牌并将其写入令牌卷。它还会注入必需的AWS环境变量。AWS SDK将代表你自动对AWS STS进行相应的AssumeRoleWithWebIdentity调用。它将处理内存中的缓存以及根据需要刷新凭据。配置流程指南1部署gtoken-webhook要部署gtoken-webhook服务器我们需要在Kubernetes集群中创建一个webhook服务和部署。这很简单只需配置服务器的TLS。如果你想检查deploy.yaml文件则会发现从命令行参数中读取了证书和相应的私钥文件并且这些文件的路径来自指向Kubernetes机密的卷安装要记住的最重要的事情是稍后在webhook配置中设置相应的CA证书因此apiserver将知道应接受该证书。现在我们将重用Istio团队最初编写的脚本来生成证书签名请求。然后我们会将请求发送到KubernetesAPI获取证书然后从结果中创建所需的秘密。首先运行webhook-create-signed-cert.sh脚本并检查是否已创建包含证书和密钥的机密一旦创建了秘密我们就可以创建部署和服务。这些是标准的Kubernetes部署和服务资源。到目前为止我们只生成了HTTP服务器该服务器通过端口443上的服务接受请求2配置可变的webhook现在我们的webhook服务器正在运行它可以接受来自apiserver的请求。但是我们应该首先在Kubernetes中创建一些配置资源。让我们从验证webhook开始然后再配置可变的webhook。如果查看一下webhook配置你会注意到它包含CA_BUNDLE的占位符有一个小的脚本用此CA替换配置中的CA_BUNDLE占位符。在创建验证webhook配置之前运行以下命令创建一个可变的webhook配置3为gtoken-webhook配置RBAC创建与gtoken-webhook一起使用的Kubernetes服务帐户定义webhook服务帐户的RBAC权限4配置流程变量用户应提供以下某些变量其他变量将自动生成并在以下步骤中重复使用。PROJECT_ID——GCP项目ID由用户提供CLUSTER_NAME——GKE群集名称由用户提供GSA_NAME——谷歌云帐户名由用户提供GSA_ID——谷歌云服务帐户的唯一ID由谷歌生成KSA_NAME——Kubernetes服务帐户名由用户提供KSA_NAMESPACE——Kubernetes命名空间由用户提供AWS_ROLE_NAME——AWS IAM角色名称由用户提供AWS_POLICY_NAME——分配给IAM角色的AWS IAM策略由用户提供AWS_ROLE_ARN——AWS IAM角色ARN标识符由AWS生成5谷歌云启用GKE工作负载身份创建一个启用了工作负载标识的新GKE集群或更新现有集群6谷歌云创建一个谷歌云服务账户创建一个谷歌云服务帐户使用以下角色更新GSA_NAME谷歌服务帐户role / iam.workloadIdentityUser——模拟来自GKE 工作负载的服务帐户role / iam.serviceAccountTokenCreator——模拟服务帐户以创建OAuth2访问令牌签署Blob或签署JWT令牌7AWS使用谷歌OIDC联盟创建AWSIAM角色为谷歌 OIDC提供者准备角色信任策略文档使用谷歌网络身份创建AWSIAM角色分配所需的AWS角色策略获取要在K8s SA注释中使用的AWS Role ARN8GKE创建一个Kubernetes服务帐户创建K8s命名空间创建K8s服务帐户使用GKE工作负载身份GCP服务帐户电子邮件注释K8s服务帐户使用AWS Role ARN注释K8s服务帐户9运行一个演示样例使用K8s ${KSA_NAME}服务帐户运行新的K8s Pod好啦希望这篇文章对你有用如果你对此有意见和任何问题欢迎在评论区和我们交流。参考文献l GitHub: Securely access AWS services from GKE cluster with doitintl/gtokenl AWS Docs: Creating aRole for Web Identity or OpenID Connect Federationl Blog: Kubernetes GKE Workload Identity linkl AWS Blog: Introducing fine-grained IAM roles for service accounts linkl GitHub: AWS Auth using Web IdentityFederation from Google Cloud shrikant0013/gcp-aws-webidentityfederation GitHubprojectl Blog: Using GCP Service Accounts to access AWS IAM Roles blog post byColin Panisset 原文https://hackernoon.com/access-aws-services-from-google-kubernetes-engine-securely-a-how-to-guide-x8an3b5y本文为 CSDN 云计算翻译转载请经授权。在中国企业与「远程办公」正面相遇满月之际2月29日CSDN 联合广大「远程办公」工具服务企业共同举办【抗击疫情科技公司在行动】系列之【远程办公】专题线上峰会活动中国「远程办公」大考。扫下方二维码或点击阅读原文免费报名直播抽取奖品与大牛交流。想提前了解峰会详情可加小助手微信csdnai回复远程办公进直播群。推荐阅读面试还搞不懂Redis快看看这40道面试题| 博文精选
彻彻底底给你讲明白啥是SpringMvc异步处理
IntelliJ IDEA 的这个接口调试工具真是太好用了
NFT——加密数字资产的基石
AI口罩“督查官”诞生记
一个学渣的 CTO 逆袭之路真香朕在看了点击“阅读原文”参与报名
