一款kubernetes muti dashboard ldap登录工具

工具由来

为什么要写这样的一个工具呢？这是因为我司有多个 kubernetes 集群(8+)，且都是云托管服务无法接触到Apiserver配置，这就给我们带来一个痛点， 开发、sre需要登录k8s dashbaord且不同部门和角色间需要不同的授权 ，原先都是通过 sa token 进行登录dashboard，但随着k8s集群的增长，每增加一个集群，就需要告知使用方对应dashboard访问地址以及对应的token，这不管是提供方还是使用方都让人感觉非常的痛苦。那是否有一款工具能 提供统一地址统一登录多集群dashboard的方案 呢？经过一番搜索后，发现并没有，市面上大多数是单集群集成 LDAP 的方案，主要是以 DEX 为主，但光单集群的统一登录授权方案就让人感觉非常的困难。难道就没有简单方便的工具供我们使用吗？好吧，那我就来打造这样一款工具吧。

Dashboard LDAP集成方案：

– https://k2r2bai.com/2019/09/29/ironman2020/day14/

– https://blog.inkubate.io/acces … tials

以上两篇文档是成LDAP的方案，个人感觉还不错，供有需要的人参考！

如何打造

好吧既然没有，那就自动动手打造一个！

目标： 简单使用 ！！！通过访问同一地址，使用LDAP登录且可切换不同集群的dashboard，同时对应不同的集群权限可单独配置！

有了上面的目标，那如何来实现呢？

实现方式其实很简单，首先写一个登录界面与公司的AD进行打通获取用户与组，然后将用户或者组与k8s集群中的 service account 进行关联就实现了对应的rbac与登录token，最后在登录后实现一个反向代理服务即可完成。

是不是非常的简单！！！

实现技术栈：golang(gin、client-go、viper、ldap) + Kubernetes Dashboard

如何部署

前提条件

在使用此工具前，需要有以下一些条件约束：

1. 已在各k8s集群部署 dashboard 且能被此工具访问到

2. 已有 ldap 且有管理权限能进行访问操作

3. 各集群中有对应的 service account 可进行映射，如需对不同用户和组需要有不同的操作权限，则对sa进行rbac授权即可，下面会详细说明。

4. 此工具需要操作各集群的api，故需要获取每个集群的 apiserver地址 、 ca.crt 以及 token 进行配置，至于每个集群的 ca.crt 和 token 如果获取，后面会进行说明

ldap说明

我司 ldap 目录规则如下：

|--域

|--|---公司

|--|----|----分公司

|--|----|-----|----部门

|--|----|-----|-----|-----用户

对应的 Distinguished Name 显示如下：

CN=Peng Xu,OU=部门,OU=分公司,OU=公司,DC=corp,DC=xxx,DC=com

这里我会获取第一个 OU 作为 group ，如果你的需求和我不一样，可以给我提 issue 进行适配

ldap 详细说明请参考： https://blog.poychang.net/ldap-introduction

configmap.yaml 配置说明

yaml

ldap:

  addr: ldap://192.168.3.81:389

  adminUser: xxxxx

  adminPwd: xxxxxx

  baseDN: dc=corp,dc=patsnap,dc=com

  filter: (&(objectClass=person)(sAMAccountName=%s))

  attributes: user_dn

  orgUnitName: OU=

全局用户/用户组与SA的映射

rbac:

DevOps team:

sa: ops-admin

ns: kube-system

xupeng:

sa: inno-admin

ns: default

clusters:

#集群别名，在登录下拉框中显示的key，这个别名需要和secret.sh中的ca.crt和token的键名一一对应

local:

#apiserver地址，能够被当前工具访问到

apiServer: apiserver-dev.jiunile.com

port: 6443

#kubernetes dashboard地址，能够被当前工具访问到

dashboard: dashboard-dev.jiunile.com

#集群说明，在登录下拉框中显示的名称

desc: Dev Cluster

#针对单独集群细分

#rbac:

# DevOps team:

# sa: admin

# ns: kube-system

# xupeng:

# sa: ops-admin

# ns: default

cnrelease:

apiServer: apiserver-cn-release.jiunile.com

port: 443

dashboard: dashboard-cn-release.jiunile.com

desc: CN Release Cluster

usrelease:

apiServer: apiserver-us-release.jiunile.com

port: 443

dashboard: dashboard-us-release.jiunile.com

desc: US Release Cluster

euprod:

apiServer: apiserver-eu-prod.jiunile.com

port: 443

dashboard: dashboard-eu-prod.jiunile.com

desc: EU Prod Cluster

部署

1. 修改并部署
deploy/configmap.yaml

2. 将各集群获取的 ca.crt 和 token 写入到对应的deploy/token下

3. 执行 deploy 下的 secret.sh 脚本
sh deploy/secret.sh

访问

http://{nodeip}:31000

[

]( http://www.youtube.com/watch?v=ILiviSLbSq8 “kubernetes muti dashboard ldap login”)

视频下载地址:gitlab地址：