@Sudharma에서 더 나은 지원을 위해 참조중인 문서를 공유해 주시겠습니까?

이거예요?

https://docs.microsoft.com/en-us/azure/aks/aad-integration

@ MicahMcKittrick-MSFT 나는 이것을 통해 잘 작동합니다. 나는 이것을 언급하고있다
https://docs.microsoft.com/en-us/azure/aks/kubernetes-dashboard#for -rbac-enabled-clusters
대시 보드 용 RBAC와 정확하게 일치합니다.

You can also integrate Azure Active Directory authentication to provide a more granular level of access. 이 작업을 수행하는 방법에 더 많은 관심이 있습니다.!

@Sudharma 감사합니다!

@iainfoulds @seanmck 이 질문에 대해 더 언급 할 수 있습니까?

@Sudharma 이 지연에 대해 죄송합니다. 나는 이것을 재현하려고 노력했지만 내부 구독을 사용하여 RBAC 클러스터 설정을 얻는 데 문제가 있습니다. 우리는 모두 살펴보고 있으며 가능한 한 빨리 업데이트 할 것입니다.

@iainfoulds 사과하지만 정확한 테스트를 위해 환경 설정을 할 수 없었습니다. 어떤 이유로 내 RBAC 사용 클러스터가 개인 구독에서도 올바르게 프로비저닝되지 않습니다. 나는 운없이 며칠 동안 이것을 시도해 왔습니다. 이것도 재현 해 주시겠습니까? 나는 단지 운이 없다.

CC @ Karishma-Tiwari-MSFT @ jakaruna-MSFT도 재현을 시도 할 수 있다면

@Sudharma 이 지연에 대해 죄송합니다. 나는 이것을 재현하려고 노력했지만 내부 구독을 사용하여 RBAC 클러스터 설정을 얻는 데 문제가 있습니다. 우리는 모두 살펴보고 있으며 가능한 한 빨리 업데이트 할 것입니다.

문제 없어요. 그러나이 솔루션에 열망하므로 계속 업데이트하십시오.

나에게도 같은 문제입니다. 대시 보드 로그인 프롬프트도 로그인 화면을 통해 발급 된 토큰을 전달하지 않는 것을 확인했습니다. 여전히 서비스 계정을 통해 대시 보드 연결 요청을 처리합니다.

또한 권한 상승으로 인해 서비스 계정에 대한 대시 보드 액세스 권한을 부여하지 않았습니다.

간단히 말해 프록시를 통한 대시 보드 액세스는 서비스 계정에서 잘 작동하지만 OpenID 연결 계정 토큰에서는 작동하지 않습니다.

이 문제는 우리에게도 여전히 문제입니다. 그래서 여기 내 +1

여기에서도 +1,

안녕하세요 팀,

작동 방식과 기본 Kubernetes 엔진과 다른 점에 대한 자세한 정보를 제공 할 수 있습니까? 나는 우리가 동일한 지원을 제공 할 수 있는지 궁금합니다. 또한 프록시 서비스를 통해 Azure AD를 사용하도록 대시 보드를 구성 할 수 있는지 궁금하십니까?

누구든지 이것에 대한 업데이트가 있습니까? "kubectl proxy"를 실행 한 후 토큰을 가져 오거나 kube 구성 파일을 사용하면 액세스 할 수 있지만 az aks browse를 실행하면 장치 코드로 웹을 통해 로그인하라는 메시지가 표시됩니다 (이미 az 로그인을 수행 했음에도 불구하고). , 코드를 입력하면 cmd 줄 "Oauth token : Unknown Error"에 오류가 표시됩니다. Rbac로 클러스터를 설정했습니다 (클라이언트 및 서버 앱 등록 및 (https://docs.microsoft.com/en-us/azure/aks/aad-integration)에 따라 권한을 설정했습니다.).

확실하지 않은 유일한 점은 클라이언트, 서버 및 서비스 주체에 대한 앱 등록을 사용했기 때문에 총 3 개의 앱 등록이 있다는 것입니다. terraform을 통해 프로비저닝되었습니다. 가이드 문서에는 클라이언트 및 서버 앱 등록에 대한 권한 만 언급되어 있습니다.

누군가가 도울 수 있기를 바랍니다.

여전히 같은 문제에 직면 해 있습니다. AD 계정을 사용하여 대시 보드, API 또는 kubectl에 액세스 할 수 없습니다.

아래 명령이 작동하면 /home/user/.kube/config에 k8s 관리자 자격 증명이 생성됩니다.
az aks get-credentials --resource-group xxx-dev-test01 --name xxxk8sdev --admin

AD 사용자 또는 그룹과 클러스터 역할 바인딩을 추가 한 후 일반적으로 사용자는 다음과 같이 로그인 할 수 있습니다.
az aks get-credentials --resource-group xxx-dev-test01 --name xxxk8sdev

그러면 장치 토큰을 입력하라는 메시지가 표시되고 사용자가 로그인 할 수 있습니다. 그러나 이제 이것은 지속적으로 실패합니다.
Kubectl 또는 대시 보드는 클러스터 관리자를 통해서만 액세스 할 수 있습니다. 분명히 모든 사용자에게 클러스터 관리자 자격 증명을 제공 할 수는 없습니다.

사람들이 여기서 문제를 겪고있어 죄송합니다.

엔지니어링 팀에서 문제를 식별했으며이를 해결하기 위해 노력하고 있습니다. AKS의 특정 동작이 아니라 기본 Kubernetes 대시 보드 변경 인 것 같습니다. @ palma21 은 해결을 위해 타임 라인에 추가 컨텍스트를 제공 할 수 있습니다.

@spbreed 문제는 kubectl을 통해 액세스 할 수 없다고 언급했기 때문에 다르게 보입니다 (비밀이 만료되지 않았는지 확인하고 지원 티켓을 열어 클러스터를 확인하고 도움을 줄 수 있음).

대시 보드에만 문제가있는 나머지 대시 보드의 경우 최신 버전의 대시 보드에는 https 또는 안전하지 않은 로그인 플래그가 필요하거나 서비스 계정 로그인에 해당됩니다.

이를 강제하려면 대시 보드 배포를 편집 할 수 있습니다.
예.
kubectl edit deploy -n kube-system kubernetes-dashboard

그리고 컨테이너 사양에 추가하십시오.

containers:
- args:
  - --authentication-mode=token
  - --enable-insecure-login

앞으로 우리는 토큰 인증을 시행하고 포트 9090을 8443으로, 체계를 HTTPS로 변경하고 자체 서명 된 인증서를 사용할 것입니다. 곧 출시 될 예정이며 출시 노트에 발표 될 예정입니다.
https://github.com/Azure/aks/releases

같은 문제에 직면하고 있습니다. AD 계정을 사용하여 대시 보드, API 또는 kubectl에 액세스 할 수 없습니다.

내 실수 : AD 계정을 사용하여 K8S 대시 보드에 액세스 할 수 없습니다.

대시 보드에 액세스하기 위해 어떤 프로세스를 따르고 있습니까? 위의 내 의견을 시도해 보셨습니까?

https://github.com/MicrosoftDocs/azure-docs/issues/23789#issuecomment -485010803

@ palma21 방금 귀하의 제안을 시도했지만 대시 보드에 로그인 할 때 오류 목록과 동일한 문제가 계속 발생합니다.

• kubectl 프록시
• http : // localhost : 8001 / api / v1 / namespaces / kube-system / services / kubernetes-dashboard / proxy / #! / login

configmaps가 금지됨 : 사용자 "clusterAdmin"은 네임 스페이스 "default"에 configmap을 나열 할 수 없습니다.

서비스 계정 'kubernetes-dashboard'에 대한 역할 바인딩이 없습니다. 클러스터 관리자 계정 토큰으로 시도했습니다. 클러스터 관리자이고 적절한 RBAC가 있지만 내 AAD 계정으로 로그인 할 수없는 것 같습니다. 아래 명령으로 생성 된 토큰이 전달자 토큰 로그인에 유효합니까?

• az 계정 get-access-token --query accessToken -o tsv

포드 세부 정보 스 니펫 :

컨테이너 :
본관:
컨테이너 ID : docker : // 610c6b258cde01196c03c918c3acca6c3c6ba531153ad1b7e0f034e032065319
이미지 : k8s.gcr.io/kubernetes-dashboard-amd64:v1.10.1
이미지 ID : docker- pullable : //k8s.gcr.io/kubernetes-dashboard-amd64@sha256 : 0ae6b69432e78069c5ce2bcde0fe409c5c4d6f0f4d9cd50a17974fea38898747
포트 : 9090 / TCP
호스트 포트 : 0 / TCP
인수 :
--authentication-mode = token
-비보안 로그인 활성화
상태 : 실행 중
시작 : 2019 년 4 월 25 일 목요일 12:04:43 +0100

이 메시지는 clusterAdmin 역할에 해당 네임 스페이스의 구성 맵을 나열 할 권한이 없음을 나타냅니다. 이를 사용자 역할에 추가하여 해결되는지 확인해 주시겠습니까?
그렇지 않으면 ClusterAdmin 역할 yaml 및 대시 보드 배포 yaml을 보내 주시면 살펴볼 수 있습니다.

서비스 계정 (기본 대시 보드 아님)으로 다시 시도했는데 잘 작동하는 것 같습니다. 그러나 클러스터 관리자 역할 바인딩이있는 AAD 사용자의 토큰을 사용하면 로그인에 실패합니다. 올바른 RBAC를 사용하는 AAD가 토큰으로 대시 보드에 로그인하고 RBAC 바인딩에 정의 된대로 대시 보드에서 권한 수준을받을 수 있어야합니까?

네, 그래야합니다. k8s 대시 보드에 토큰을 가져 오는 사용자와 함께 기본 NS의 구성 맵을 나열 할 수 있습니까? 사용자와 함께 해당 작업을 수행 할 수 있다면 예상 한 것입니다. 그렇지 않으면 대시 보드에 전달하는 토큰을 확인합니다.

해결 된 것으로 보이는이 스레드의 스팸을 방지하려면 jpalma [at] microsoft.com으로 메일을 보내주세요.

이를 강제하려면 대시 보드 배포를 편집 할 수 있습니다.
예.
kubectl edit deploy -n kube-system kubernetes-dashboard

그리고 컨테이너 사양에 추가하십시오.

containers:
- args:
  - --authentication-mode=token
  - --enable-insecure-login

앞으로 우리는 토큰 인증을 시행하고 포트 9090을 8443으로, 체계를 HTTPS로 변경하고 자체 서명 된 인증서를 사용할 것입니다. 곧 출시 될 예정이며 출시 노트에 발표 될 예정입니다.
https://github.com/Azure/aks/releases

여러분은 타임 라인을 약속하셨습니다. 현재는 해결책이 없으며이 안전하지 않은 해결책을 다시 사용합니다. 이 문제는 오랫동안 열려 있지만 동시에 다른 것들이 참석하고 있습니다. 실시간 일정을 알려 주실 수 있습니까 ??

@iainfoulds 실제로 timelienes를 제공 할 수 있습니까 ??
인용 :

@ palma21 은 해결을 위해 타임 라인에 추가 컨텍스트를 제공 할 수 있습니다.

@ palma21 현재 솔루션은 이상적이지 않습니다. 어떤 이유로 코드 줄이 작동하지 않습니다.
오류 : "kubernetes-dashboard"배포가 잘못되었습니다.

앞으로 우리는 토큰 인증을 시행하고 포트 9090을 8443으로 변경하고 체계를 HTTPS로 변경할 것입니다.
언제???

배포 매니페스트가 유효하지 않은 경우 구문 또는 들여 쓰기 문제 일 수 있습니다. 나는 그것을 다시했고 작동합니다.
인라인으로 시도
args: ["--authentication-mode=token", "--enable-insecure-login"]

6 월 말에이 변경 사항이 적용됩니다.

이것은 @ palma21 노트를 기반으로 한 것입니다.
aks-dashboard.sh

# As a workaround accessing the dashboard using a token without enforcing https secure communication (tunnel is exposed ver http), you can edit the dashboard deployment with adding the following argument
# It is an issue currently being discussed here https://github.com/MicrosoftDocs/azure-docs/issues/23789
# args: ["--authentication-mode=token", "--enable-insecure-login"] under spec: containers
# spec:
#   containers:
#   - name: *****
#     image: *****
#     args: ["--authentication-mode=token", "--enable-insecure-login"]
kubectl edit deploy -n kube-system kubernetes-dashboard

# Get AAD token for the signed in user (given that user has the approperiate access). Use (az login) if you are not signed in
SIGNED_USER_TOKEN=$(az account get-access-token --query accessToken -o tsv)
echo $SIGNED_USER_TOKEN

# establish a tunnel and login via token above
# If AAD enabled, you should see the AAD sign in experience with a link and a code to https://microsoft.com/devicelogin
az aks browse --resource-group $RG --name $CLUSTER_NAME

# You can also use kubectl proxy to establish the tunnel as well
# kubectl proxy
# Then you can navigate to sign in is located http://localhost:8001/api/v1/namespaces/kube-system/services/kubernetes-dashboard/proxy/#!/login

# Note: you can also use the same process but with generated kubeconfig file for a Service Account that is bound to a specific namespace to login to the dashboad.

나는 이것을 시도했다 :
kubectl edit deploy -n kube-system kubernetes-dashboard
2019 년 9 월 12 일에 배포 된 최신 AKS로.
yaml 파일로 채워진 메모장이 열렸지만 저장하고 닫았을 때 오류가 발생했습니다.

error: deployments.extensions "kubernetes-dashboard" is invalid
error: Edit cancelled, no valid changes were saved.

어떤 아이디어?

이것은 매우 중요한 버그 인 것 같습니다. 내가 이해하는대로 AAD 로그인을 사용하여 Kubernetes 대시 보드에 액세스 할 수 없습니다.

더 나쁜 것은 문서 가 잘못되었다는 것입니다.

Kubernetes 대시 보드에 대한 인증을 설정할 때 기본 대시 보드 서비스 계정에 토큰을 사용하는 것이 좋습니다. 토큰을 사용하면 각 사용자가 자신의 권한을 사용할 수 있습니다. 기본 대시 보드 서비스 계정을 사용하면 사용자가 자신의 권한을 우회하고 대신 서비스 계정을 사용할 수 있습니다.

이 스레드를 읽음으로써 이것은 깨졌습니다. 이 버그를 수정하거나 최소한 문서를 업데이트하여 현재 불가능하다는 것을 명확히 할 수 있습니까?

이 티켓은 1 월 30 일에 처음 제기되었으며,이 버그가 공개되기까지는 오랜 시간이 걸립니다.

6 월 말에이 변경 사항이 적용됩니다.

@ palma21 June이

위에서 살펴본 새 문서를 포함하여 롤아웃했지만 새 브라우저 동작과 버그로 인해 롤백해야했습니다.

이번 달 말까지 문제를 해결하기 위해 현재 작업 중입니다.

그 동안이 기능을 활성화하는 해결 방법이 있습니다.
배포 편집
인수 : [ "--authentication-mode = token", "--enable-insecure-login"]

위의 오류는 구문 또는 편집기 문제인 것 같습니다. 방금 다시 테스트했는데 여전히 작동합니다.

이 버그와 관련된 업데이트가 있습니까?

같은 문제에 직면 해 있는데, 이에 대한 업데이트가 있습니까? 그리고 수정 될 예정인 ETA가 있습니까?

이런 버그가 있는지 확인하기 위해 AKS를 사용하여 풀 스택 솔루션을 배포하는 데 몇 달을 소비하는 Microsoft 제품에 대해 베팅하는 것은 정말 실망 스럽습니다 ....

이 문제도 스팸으로 처리합니다. 이것이 바로 @ Microsoft ^1을 통해 내 고용주의 지원 담당자가 저에게하라고 한 것입니다.

겠습니까 매우 SSL 오프 전환 포함 들여지지 않는 솔루션있다.

1 : 고객 서비스 및 지원 / Microsoft Azure 기술 지원 / Azure 컨테이너 팀-EMEA-에서 _ 지원 에스컬레이션 엔지니어 _로부터 개인적으로 직접 지침을 받았습니다.

저는 여기의 투명성과 MS의 훌륭한 커뮤니케이션을 좋아합니다. 🤦‍♂

@ palma21 이 문제에 대한 업데이트가 있으면 공유해 주시겠습니까? 감사 :)

이것에 대한 업데이트를 얻는 것이 좋을 것입니다

이 문제에 대한 수정 사항이 있습니까? 아니면 RBAC 지원 AKS 클러스터 테넌트가 해킹 만 거치면됩니까?

이 문제를 해결하기 위해 추적 할 수있는 백 로그 항목 이름은 무엇입니까?

업무를 통해 일부 Microsoft 전문가와 이야기를 나눌 수있는 개인으로서 공유 할 수있는 최신 뉴스는 Dashboard Plugin 이 본질적으로 안전하지 않다는 것입니다 (이름이없는 Microsoft Architect K8s Advisor Expert-제목이 아니라 해당 제목에 대한 설명 임). 사용해서는 안됩니다.

나는 그 성명에 동의하며,이 같은 질문을 묻는 미래의 모든 사람들에게 K8s의 보안 위험 / 문제를 이해하기 위해 K8s를 읽고 능력을 구축하도록 요청합니다.

(노브 및 다이얼과 웹 UI를 가진 대신에 단지 완벽하게 실행할 수있는 CLI 도구 사용의 단순한 이익을 위해 - 그 중 같은 표준으로 점점 더 많은 K8S에 추가가 kustomize을 ).

https://github.com/pusher/oauth2_proxy 로 수행 할 수

안녕하세요.

https://github.com/pusher/oauth2_proxy 로 수행 할 수

안녕하세요
대시 보드 수 신용 yaml, oauth2_proxy 용 values.yaml 및 Azure AD 애플리케이션에 대한 적용 가능한 설정을 포함하는 실행 가능한 예제를 연결하거나 공유해 주시겠습니까?
몇 일 동안 Azure AD에서 작동하도록 oauth2_proxy를 얻으려고 노력했지만이를 구성하는 방법에 대해 충분히 자세히 설명하고 다양한 플래그 및 설정을 실험하는 데 필요한 전체 실행 가능한 예제를 찾을 수 없습니다. 충분히 멀지 않습니다.
정말 감사하겠습니다!

@edemen 내 팁 :

• 기본 AKS 대시 보드를 사용하지 말고 helm으로 별도로 설치 (v1.10.1)
  투구 값
  nginx.ingress.kubernetes.io/auth-url: "https://yourvalue/oauth2/auth" nginx.ingress.kubernetes.io/auth-signin: "https://yourvalue/oauth2/start?rd=$escaped_request_uri" nginx.ingress.kubernetes.io/configuration-snippet: | auth_request_set $token $upstream_http_authorization; proxy_set_header Authorization $token;
• Helm https://github.com/helm/charts/blob/master/stable/oauth2-proxy로 oauth2_proxy 설치
• 투구 값
  extraArgs: provider: "azure" azure-tenant: "yourvalues" whitelist-domain: "yourvalues" cookie-domain: "yourvalues" set-authorization-header: "true"
  과
  ingress: enabled: true path: /oauth2

이것으로 충분합니다.

안녕하세요.
답장 해주셔서 감사합니다.
오늘 Azure AD 및 oauth2 프록시가 작동하도록 관리했지만 login.live.com에서 반환 한 400 오류 (자세한 내용은 https://github.com/oauth2-)로 인해 많은 설정이 오류 500으로 끝납니다. proxy / oauth2-proxy / issues / 458)
기본적으로 set-authorization-header: "true" 하면 oauth2 프록시를 사용한 인증이 Azure에서 전혀 작동하지 않습니다. 이유를 알아 내려고했지만 지금까지는 아무것도 없습니다.
만일을 대비하여 helm install oauth2-proxy stable/oauth2-proxy -n oauth2-proxy --values oauth2-proxy-values.yaml oauth2 프록시를 설치하고 있습니다.

신경 쓰지 마. 분명히 Dashboard v1.10.1은 우리가 가지고있는 Kubernetes 1.16에서도 작동하지 않습니다.
감사합니다

AKS와 함께 작동하는 기본 Kubernetes 대시 보드를 사용하는 것은 운이 좋지 않았지만 작업에 많은 시간을 소비하지 않았다는 것을 인정해야합니다. 작동하는 것처럼 보이는 솔루션 (시간에 모든 문제가 표시됨)은 kubectl proxy 와 함께 표준 대시 보드를 사용하고 로컬 사용자 kubeconfig를 업로드하는 것입니다.

단순한 URL만큼 쉽고 좋지는 않지만 AD 사용자 컨텍스트에서 실행되는 대시 보드를 사용하는 가장 좋은 방법 인 것처럼 보이는 다단계 프로세스입니다. 대시 보드 자체를 많이 사용자 지정하지 않아도되지만 Azure AD를 사용하는 깔끔한 접근 방식을 계속 주시하고 있습니다.

@edemen 물론 이것은 K8s <1.15에서만 작동합니다. K8s 1.16의 경우 새로운 v2.0 대시 보드가 공식 출시 될 때까지 기다려야합니다.

Dashboard v2가 https://github.com/kubernetes/dashboard/releases/tag/v2.0.0 을 시작했습니다. 그러나 k8s 1.16을 부분적으로 지원하는 것 같습니다.

@SayakMukhopadhyay 버전

의견을 보내 주셔서 감사합니다!

이 기사는 최근 Kubernetes 대시 보드 로그인에 대한 세부 사항으로 업데이트되었습니다.

닫아주세요