В Kubernetes токены используются для аутентификации и авторизации. Иногда может возникнуть необходимость в создании токенов с ограниченным сроком действия для повышения безопасности и контроля доступа. В этой статье блога мы рассмотрим несколько методов создания ограниченных по времени токенов в Kubernetes, а также приведем примеры кода. К концу вы получите полное представление о том, как эффективно внедрять ограниченные по времени токены и управлять ими.

Метод 1. Использование токенов учетной записи службы Kubernetes
Kubernetes предоставляет встроенный механизм, называемый токенами учетной записи службы, для аутентификации. По умолчанию эти токены не имеют ограничений по времени, но вы можете наложить ограничения по времени, создав собственный контроллер токенов. Вот пример того, как этого можно добиться с помощью Python:

import datetime
from kubernetes import client, config
def create_time_limited_token():
    config.load_kube_config()
    v1 = client.CoreV1Api()
    token = v1.create_service_account_token(
        name="my-service-account",
        namespace="my-namespace",
        expiration_timestamp=datetime.datetime.now() + datetime.timedelta(hours=1)
    )
    return token
token = create_time_limited_token()
print(token)

Метод 2: использование внешних поставщиков токенов.
Другой подход заключается в использовании внешних поставщиков токенов, таких как серверы Keycloak или OAuth2, которые предлагают более продвинутые функции управления токенами. Эти провайдеры позволяют создавать ограниченные по времени токены с настраиваемым сроком действия. Вот пример использования API токена Keycloak:

curl -X POST \
  https://keycloak.example.com/auth/realms/my-realm/protocol/openid-connect/token \
  -H 'Content-Type: application/x-www-form-urlencoded' \
  -d 'grant_type=client_credentials&client_id=my-client&client_secret=my-secret&expires_in=3600'

Метод 3: реализация пользовательских контроллеров токенов
Для более детального управления вы можете реализовать собственные контроллеры токенов в своем кластере Kubernetes. Эти контроллеры могут перехватывать запросы на создание токенов и программно устанавливать ограничения по времени. Вот пример высокого уровня с использованием определений пользовательских ресурсов (CRD) и контроллеров Kubernetes:

// Custom Token CRD Definition
type Token struct {
    metav1.TypeMeta   `json:",inline"`
    metav1.ObjectMeta `json:"metadata,omitempty"`
    Spec   TokenSpec   `json:"spec,omitempty"`
    Status TokenStatus `json:"status,omitempty"`
}
type TokenSpec struct {
    ExpirationTime metav1.Time `json:"expirationTime,omitempty"`
    // other fields...
}
type TokenStatus struct {
    // status fields...
}
// Token Controller
type TokenController struct {
    clientset kubernetes.Interface
    // other dependencies...
}
func (c *TokenController) CreateTimeLimitedToken(token *Token) error {
    // Check and enforce time limit
    if token.Spec.ExpirationTime.Time.Before(time.Now()) {
        return errors.New("token expiration time cannot be in the past")
    }
// Generate and store the token
    // ...
    return nil
}
// Usage example
func main() {
    // Initialize Kubernetes clientset and other dependencies
    // ...
    controller := TokenController{
        clientset: clientset,
        // other dependencies...
    }
// Create a time-limited token
    token := &Token{
        Spec: TokenSpec{
            ExpirationTime: metav1.NewTime(time.Now().Add(time.Hour)),
            // other fields...
        },
    }
    err := controller.CreateTimeLimitedToken(token)
    if err != nil {
        log.Fatal(err)
    }
// Token creation successful
    // ...
}

В этой статье мы рассмотрели три метода создания токенов с ограниченным сроком действия в Kubernetes. Мы рассмотрели использование токенов сервисных учетных записей Kubernetes, внешних поставщиков токенов, таких как Keycloak, и реализацию пользовательских контроллеров токенов. Каждый метод предлагает разные уровни гибкости и контроля над сроком действия токена. Используя эти методы, вы можете повысить безопасность и контроль доступа в своих развертываниях Kubernetes.

Не забудьте выбрать метод, который лучше всего соответствует вашим конкретным требованиям и политике безопасности. С помощью токенов с ограниченным сроком действия вы можете эффективно управлять доступом и снижать потенциальные риски безопасности в ваших кластерах Kubernetes.