GeekFactory

int128.hatenablog.com

KeycloakのOpenID ConnectでKubernetesにアクセスする

TL;DR

  • Kubernetesの認証はクライアント証明書やID/パスワードだけでなく、OpenID Connectに対応している。
  • RBACを設定することで、ユーザやグループによるアクセス制御ができる。
  • 以下の設定が必要になる。
    • Keycloak(OpenID Connect IdP)
    • kube-apiserver(Kubernetes APIサーバ)
    • kubectl(Kubernetesクライアント)

Getting Started

Keycloak

OpenID Connectで認証できるようにKeycloakを設定します。ここではKeycloakに以下のレルムとユーザが存在しており、ユーザはグループに入っているものとします。

  • レルム名: hello
  • ユーザ名: foo
  • グループ名: admin

まず、新しいクライアントを作成します。Settingsタブで下表の内容を設定します。

項目 設定値
Client ID kubernetes
Client Prorocol openid-connect
Access Type confidential
Valid Redirect URIs urn:ietf:wg:oauth:2.0:oob

Credentialsタブを開くとSecretが表示されるのでメモしておきます。後述するkubectlの設定で必要になります。

Mappersタブで新しいマッパーを作成します。ここではグループによるアクセス制御を行いたいので groups クレームを返すように下表の内容を設定します。

項目 設定値
Name groups
Mapper Type Group Membership
Token Claim Name groups

kube-apiserver

kube-apiserverに下表の引数を渡すように設定します。

引数名 設定値
--oidc-issuer-url https://keycloak.example.com/auth/realms/hello
--oidc-client-id kubernetes
--oidc-groups-claim groups

kopsの場合は kops edit cluster で以下を設定します。設定したら kops update clusterkops rolling-update cluster でmastersを再作成しておきます。

spec:
  kubeAPIServer:
    oidcClientID: kubernetes
    oidcGroupsClaim: groups
    oidcIssuerURL: https://keycloak.example.com/auth/realms/hello

kubectl

OpenID ConnectのIDトークンを使用してKubernetesにアクセスするようにkubectlを設定します。kubectlはログイン処理は行ってくれないため、あらかじめIDトークンを取得しておく必要があります。ここではcurlコマンドでIDトークンを取得します。 ブラウザで以下のURLにアクセスします。

https://keycloak.example.com/auth/realms/hello/protocol/openid-connect/auth
?client_id=kubernetes
&client_secret=YOUR_CLIENT_SECRET
&response_type=code
&scope=openid
&scope=email
&scope=profile
&redirect_uri=urn:ietf:wg:oauth:2.0:oob

以下のコマンドを実行します。YOUR_CODE はブラウザに表示されたコードに置き換えてください。

curl -d grant_type=authorization_code \
  -d client_id=kubernetes \
  -d client_secret=YOUR_CLIENT_SECRET \
  -d redirect_uri=urn:ietf:wg:oauth:2.0:oob \
  -d code=YOUR_CODE \
  https://keycloak.example.com/auth/realms/hello/protocol/openid-connect/token

以下のようなJSONが返ってきたら成功です。

{"access_token":"...",
 "expires_in":300,
 "refresh_expires_in":1800,
 "refresh_token":"...リフレッシュトークン...",
 "token_type":"bearer",
 "id_token":"...IDトークン...",
 "not-before-policy":0,
 "session_state":"...",
 "scope":"..."}

新しいコンテキストでIDトークン認証を設定します。

kubectl config set-credentials hello.k8s.local-oidc \
  --auth-provider oidc \
  --auth-provider-arg idp-issuer-url=https://keycloak.example.com/auth/realms/hello \
  --auth-provider-arg client-id=kubernetes \
  --auth-provider-arg client-secret=YOUR_CLIENT_SECRET \
  --auth-provider-arg id-token=IDトークン \
  --auth-provider-arg refresh-token=リフレッシュトークン

kubectl config set-context hello.k8s.local-oidc --cluster hello.k8s.local --user hello.k8s.local-oidc

IDトークン認証のコンテキストでkubectlを実行してみましょう。

% kubectl --context hello.k8s.local-oidc get po
Error from server (Forbidden): pods is forbidden: User "https://keycloak.example.com/auth/realms/hello#874c4a74-faf3-45a0-bcfe-9ddf4fb802ea" cannot list pods in the namespace "default"

現在のユーザにはまだ何も権限を付与していないためForbiddenエラーが返ってくるはずです。もしUnauthorizedエラーが返ってきた場合は認証に失敗しているので、設定を再確認してください。トラブルシューティングでは kubectl --v=10デバッグログを出力するようにすると便利です。

現在のユーザに管理者権限を付与します。

# rbac-oidc.yaml
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: keycloak-admin-group
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
subjects:
- kind: User
  name: https://keycloak.example.com/auth/realms/hello#874c4a74-faf3-45a0-bcfe-9ddf4fb802ea
kubectl apply -f rbac-oidc.yaml

以下のようにPodsが表示されたら成功です。

% kubectl get po
NAME                        READY     STATUS    RESTARTS   AGE
echoserver-7f76cc58-w8v4d   1/1       Running   0          2d

グループ単位で管理者権限を付与することも可能です。以下のように subjectsGroup を指定します。

kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: keycloak-admin-group
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
subjects:
- kind: Group
  name: /admin

Keycloakが返すIDトークンの内容は https://jwt.io などでデコードして確認できます。ユーザ名やグループ名を調べる時に便利です。

まとめ

KeycloakがOpenID Connect IdPになり、IDトークンを使用してKubernetesにアクセスする方法を紹介しました。

現状、kubectlはOpenID Connectの認可コードフローに対応していないので、IDトークンの取得は自力で行う必要があります。コマンドラインツールの登場が待ち望まれます。


入門 Kubernetes

入門 Kubernetes

コンテナ・ベース・オーケストレーション Docker/Kubernetesで作るクラウド時代のシステム基盤

コンテナ・ベース・オーケストレーション Docker/Kubernetesで作るクラウド時代のシステム基盤