Vai al contenuto

Accesso amministrativo

Accesso alle API Kubernetes

L'accesso alle API kubernetes viene condiviso con tutti gli stakeholder che necessitano di visibilità sull'ambiente kubernetes.

I membri del gruppo sb-k8s-cli@simplebooking.local possono raggiungere, su ogni sito, kubernetes.cmp.k8s-api via HTTPS/6443.

L'autenticazione degli utenti verso le API Kubernetes di ogni cluster avviene per mezzo di OpenID Connect Tokens.

Gli utenti ottengono tali tokens utilizzando le proprie credenziali @simplebooking.local su un interfaccia web erogata da un istanza di dex distributita all'interno del sito e integrata con Active Directory.

Gli utenti devono quindi poter raggiungere l'interfaccia web di autenticazione esposta kubernetes.cmp.auth via HTTPS/443.

Il processo di autenticazione viene attivato direttamente dall'uso di kubectl per mezzo del pluging kubelogin.

I permessi di ogni utente in relazione alle risorse e attività disponibili all'interno di un cluster Kubernetes sono definite all'interno del cluster stesso, per mezzo di manifests mantenuti in qntweb/sb.k8s.infrastructure.manifests.

Accesso SSH ai nodi

Normalmente non dovrebbe essere necessario accedere in via amministrativa ai nodi dei clusters, dal momento che la loro configurazione avviene esclusivamente al primo boot tramite cloud-init. Possono tuttavia presentarsi scenari (investigazione incidenti, debuging, etc..) in cui tale accesso potrebbe rivelarsi necessario.

Le VM dei nodi Kubernetes di un sito hanno sssd integrato con l'Active Directory dello stesso in modo che l'accesso SSH di un amministratore avvenga tramite le credenziali di dominio.

L'unico oggetto della region ad essere raggiungibile via SSH/22 dal network più ampio è kubernetes.cmp.k8s-jump.

In kubernetes.bgp/24 il transito verso SSH/22 è consentito solo a kubernetes.cmp.k8s-jump.

Gli amministratori di sistema accedono via SSH a kubernetes.cmp.k8s-jump e da lì si muovono verso i computers della region.

La raggiungibilità di k8s-jump da parte di un ammnistratore deve essere autorizzata on-demand e per un periodo di tempo limitato alle necessità operative richieste dall'intervento che deve essere effettuato. In condizioni di normale operatività k8s-jump è irraggiungibile.

Gli indirizzi delle kubernetes.cmp.k8s-jump sono:

  • Ufficio: 10.217.3.2
  • Playnet: 10.57.3.2
  • Siziano: 10.7.3.2

Accesso SSH