MF
и там целый сраный квест
extension-apiserver-authentication в неймспейсе kube-systemSize: a a a
2019 November 08
MF
во-первых, есть хитрожопая конфигмапа
MF
во-вторых, в дело вступает ещё как минимум одна ссл-кейпара -
proxy-client, которая должна быть подписана с помощью CA requestheader-client-caMF
CA-кейпара
requestheader-client-ca может быть как отдельной (хорошо), так и той же самой, что kubelet-certificate-authority (плохо)MF
дальше мы приходим к RBAC'у и выдаём сервисаккаунту нашего чудного приложения, косплеящего аписервер, кластерроль
system:auth-delegatorMF
это нужно по очень смешной причине
MF
когда вы делаете
kubectl apply -f <какой-нить-кастом-апи-манифест>, происходит следующее:MF
- кубецтл как обычно логинится в апи с креденшлами из вашего
- агрегатор (это такой контроллер отдельный) берёт ваши креденшлы, распихивает их в HTTP-заголовки
~/.kube/config- агрегатор (это такой контроллер отдельный) берёт ваши креденшлы, распихивает их в HTTP-заголовки
X-Remote-Extra-, X-Remote-Group, X-Remote-User (по умолчанию, так-то можно и в любые другие напихать) и несёт всё это в псевдо-аписервер, аутентифицируясь сертификатом proxy-clientMF
чувствуете подвох? - у сертификата ж есть
CN, который какбэ является его юзернеймом, но сертификат-то один на всех, а вам нужно пройти собственную авторизацию в этом псевдо-аписервереMF
и вот тут-то, пользуясь кластерролью
system:auth-delegator, псевдо-аписервер превращает те чудные HTTP-заголовки в запрос на авторизацию и какбэ заново вас авторизует уже как вас, а не CN сертификата (ну то есть делает CREATE объекта SubjectAccessReview в настоящем апи)MF
и вот пока не произойдёт магия со второй авторизацией, вы для псевдо-аписервера -
system:anonymousMF
точнее не совсем так
MF
если первая часть магии работает и
proxy-client кейпара есть, то system:anonymous превращается в CN прокси-клиентаMF
про которого тоже как правило никто ничего не знает, конечно же
TS
Я аж закурил от такого. Почитать из этого всего только если исходники, я так понел.
G
istio/istio tagged: 1.4.0-beta.3
Link: https://github.com/istio/istio/releases/tag/1.4.0-beta.3
Release notes:
Link: https://github.com/istio/istio/releases/tag/1.4.0-beta.3
Release notes:
Istio release 1.4.0-beta.3
MF
helm-2.16.0 сломан, be aware
MF
MF
ждём 2.16.1