istio 的细粒度授权解决方案
fine grained authorisation solution for istio
背景
因此,在从整体混乱到微服务的旅程中,我们决定沿着 google 云(同样)的 k8s 路线(已经成功)走下去,并且我们'正在寻找身份验证和授权解决方案。
所以我们正在考虑使用 Istio,再次强调,RBAC 元素看起来像一个 WIN,并且允许我们在应用程序之外保持授权,以及其他细节。
还有,云IAP。亲爱的,我们不需要关心身份验证,只需通过云 iam 授予用户(所有用户都已经拥有 g-suite 帐户)访问权限。
问题
我们如何管理和注入用户的授权数据? IAP 允许我们授予对项目的访问权限,并通过 JWT 呈现数据(到目前为止完美),但我们无法添加自定义应用程序权限。
我们希望能够对端点使用细粒度权限,并且 groups/roles 授予这些权限。
经过多次搜索,我找不到任何解决方案,这似乎是一个非常普遍的需求。我错过了什么吗(我看错了吗?)。
我能想到几个解决方案:
Istio(如您所述)。其中支持:
Consul with Kubernetes and use ACLs with ACL tokens. The tokens could also be managed by Vault. As of this writing, it doesn't integrate with OpenID or Oauth2 providers. Consul will help you provide that fine-grained authorization with ACLs
背景
因此,在从整体混乱到微服务的旅程中,我们决定沿着 google 云(同样)的 k8s 路线(已经成功)走下去,并且我们'正在寻找身份验证和授权解决方案。
所以我们正在考虑使用 Istio,再次强调,RBAC 元素看起来像一个 WIN,并且允许我们在应用程序之外保持授权,以及其他细节。
还有,云IAP。亲爱的,我们不需要关心身份验证,只需通过云 iam 授予用户(所有用户都已经拥有 g-suite 帐户)访问权限。
问题
我们如何管理和注入用户的授权数据? IAP 允许我们授予对项目的访问权限,并通过 JWT 呈现数据(到目前为止完美),但我们无法添加自定义应用程序权限。
我们希望能够对端点使用细粒度权限,并且 groups/roles 授予这些权限。
经过多次搜索,我找不到任何解决方案,这似乎是一个非常普遍的需求。我错过了什么吗(我看错了吗?)。
我能想到几个解决方案:
Istio(如您所述)。其中支持:
Consul with Kubernetes and use ACLs with ACL tokens. The tokens could also be managed by Vault. As of this writing, it doesn't integrate with OpenID or Oauth2 providers. Consul will help you provide that fine-grained authorization with ACLs