שילוב של Cloud Run ואיחוד שירותי אימות הזהות של עומסי העבודה

הגדרת Jenkins

צריך לבצע את המשימות האלו בסביבה שאינה שלCloud de Confiance , למשל בסביבה מקומית או בענן אחר.

אם כבר יש ספק זהויות שתומך ב-OpenID Connect ובעומס עבודה חיצוני, אפשר לדלג על השלב הזה ולעבור אל התקנת ספריות לקוח של Cloud.

כדי לדמות עומס עבודה חיצוני, אפשר להשתמש ב-VM שמותקן עליה Jenkins. אפשר להריץ את Jenkins כקובץ אימג' של Docker או להתקין אותו ישירות בשרת. השלבים הבאים מסבירים איך להתקין אותו ישירות בשרת.

1. פותחים את שורת הפקודה ב-VM כלשהי.

2. מתקינים Java:

   $ sudo apt update
   $ sudo apt install openjdk-11-jre
   $ java -version
   

3. מתקינים את Jenkins:

   curl -fsSL https://pkg.jenkins.io/debian-stable/jenkins.io-2023.key | sudo tee \
   /usr/share/keyrings/jenkins-keyring.asc > /dev/null
   echo deb [signed-by=/usr/share/keyrings/jenkins-keyring.asc] \
   https://pkg.jenkins.io/debian-stable binary/ | sudo tee \
   /etc/apt/sources.list.d/jenkins.list > /dev/null
   sudo apt-get update
   sudo apt-get install jenkins
   

4. מוודאים שיש גישה לשרת Jenkins ביציאה 8080. אם משתמשים ב-VM שנמצאת מאחורי חומת אש, מוודאים שהיציאות המתאימות פתוחות.

5. משיגים את סיסמת האדמין ומגדירים את Jenkins. הוראות מופיעות באשף ההגדרה לאחר ההתקנה.

6. כדי להגדיר SSL, מבצעים את הפעולות הבאות:

   1. אם יש ספק דומיין, אפשר להשתמש ברשות האישורים (CA) שלו כדי לבקש אישור חתום. לחלופין, אפשר לקבל אישור חתום בחינם למשך 90 יום מהכתובת zerossl.com.

   2. מורידים את קובץ ה-zip של האישור ומעבירים אותו לשרת שבו מריצים Jenkins:

      scp -i CERTFILE.pem -r CERTFILE.zip VM_FQDN:/home/USERNAME
      

      מחליפים את מה שכתוב בשדות הבאים:

      • ‫CERTFILE מחליפים בשם של קובץ האישור שכולל את המפתח הציבורי.
      • ‫VM_FQDN מחליפים ב-FQDN של השרת מחוץ ל- Cloud de Confiance.
      • ‫USERNAME מחליפים בשם המשתמש שלכם.

   3. משנים את השמות של הקבצים ויוצרים קובץ ‎.pkcs12 לשימוש של Jenkins:

      openssl rsa -in KEYFILE.com.key -out KEYFILE.com.key

      מחליפים את KEYFILE בשם של קובץ האישור.

7. מעדכנים את הקובץ /etc/sysconfig/jenkins:

   1. פותחים את הקובץ בכלי לעריכת טקסט:

      vi /etc/sysconfig/jenkins
      

   2. מגדירים את JENKINS_PORT להיות -1.

   3. מגדירים את JENKINS_HTTPS_PORT להיות 8443.

   4. בתחתית הקובץ, מוסיפים את הארגומנטים הבאים:

      JENKINS_ARGS="--httpsCertificate=/var/lib/jenkins/.ssl/CERTFILE.crt --httpsPrivateKeys=/var/lib/jenkins/.ssl/KEYFILE.pkcs1.key"

      מחליפים את מה שכתוב בשדות הבאים:

      • ‫CERTFILE מחליפים בשם של קובץ האישור בפורמט ‎.crt
      • ‫KEYFILE מחליפים בשם הקובץ של מפתח ה-PKCS.

8. מפעילים מחדש את שרת Jenkins.

9. מוודאים שהיציאה 8443 פתוחה בחומת האש, וניגשים ל-Jenkins ביציאה 8443.

10. מתקינים פלאגין של Jenkins כדי לשלב את Keycloak עם Jenkins. אפשר לבחור באחת מהאפשרויות הבאות:

    • אימות OpenID Connect
    • אימות Keycloack

    כדי להתקין את הפלאגין:

    1. בלוח הבקרה של Jenkins, עוברים אל Manage Jenkins > Manage Plugins.

    2. בוחרים Available ומחפשים את הפלאגין הרצוי. בצילום המסך הבא אפשר לראות את מנהל יישומי הפלאגין עם בחירה בכרטיסייה Availability.

       

    3. מתקינים את הפלאגין.

הגדרת Keycloak

במדריך הזה, Keycloak מנהל את המשתמשים, הקבוצות והתפקידים. ‫Keycloak משתמש בתחום (Realm) לניהול משתמשים.

1. ב-VM שפועל מחוץ ל- Cloud de Confiance, מתקינים את שרת Keycloak. בשביל מדריך זה מומלץ להתקין את Keycloak מקונטיינר של Docker.

2. פותחים את מסוף Admin של Keycloak.

3. עוברים אל Realm settings.

4. בכרטיסייה General מוודאים שהשדות מוגדרים כך:

   • Enabled: ON
   • User-Managed Access: OFF
   • Endpoints: OpenID Endpoint Configuration וגם SAML 2.0 Identity Provider Metadata

   בצילום המסך הבא מוצגים השדות שצריך להגדיר.

   

5. יוצרים לקוח, שהוא הישות שיכולה לבקש מ-Keycloak לבצע אימות משתמש. לעיתים קרובות לקוחות הם אפליקציות ושירותים שמשתמשים ב-Keycloak כספק של פתרון כניסה יחידה (SSO).

   1. במסוף Admin של Keycloak, לוחצים על Clients > Create.

   2. מזינים את הפרטים הבאים:

      • ‏Client ID: jenkins
      • ‏Client Protocol: openid-connect
      • ‫Root URL:‏ http://JENKINS_IP_ADDRESS:8080, כאשר JENKINS_IP_ADDRESS היא כתובת ה-IP של שרת ה-Jenkins.

      בצילום המסך הבא מוצגים השדות שצריך להגדיר.

      

   3. לוחצים על Save.

6. בכרטיסייה Installation, מוודאים שפורמט האסימון הוא Keycloak OIDC JSON. צרו עותק של האסימון הזה, כי תצטרכו אותו להשלמת ההגדרה של Jenkins.

7. כדי ליצור קבוצת בדיקה:

   1. במסוף Admin של Keycloak, לוחצים על Groups > New.
   2. מזינים שם לקבוצה ולוחצים על Save.
   3. יוצרים קבוצת בדיקה נוספת. אפשר להקצות תפקידים לקבוצות, אבל זו לא חובה לעשות זאת עבור המדריך הזה.

8. כדי להוסיף לקבוצה חשבון למטרות בדיקה:

   1. במסוף Admin של Keycloak, לוחצים על Manage user > Add users.

   2. ממלאים את פרטי המשתמש ולוחצים על Save.

      בצילום המסך הבא מוצג מידע לדוגמה של חשבון משתמש.

      

   3. לוחצים על הכרטיסייה Credentials ומוודאים שהשדה Temporary מוגדר למצב Off.

   4. מאפסים את הסיסמה.

      בהמשך, החשבון הזה ישמש לביצוע אימות ב-JWT.

      בצילום המסך הבא מוצגת הכרטיסייה Credentials עם השדות שצריך להגדיר.

      

   5. לוחצים על הכרטיסייה Groups ובוחרים אחת מהקבוצות שנוצרו קודם.

   6. לוחצים על Join.

   7. חוזרים על הפעולה הזו כדי ליצור עוד חשבונות למטרות בדיקה.

הגדרת Jenkins לשימוש ב-OpenID Connect

הקטע הזה מתאר איך להגדיר שימוש בפלאגין של OpenID Connect ב-Jenkins.

1. בשרת Jenkins, עוברים אל Manage Jenkins > Configuration Global Security.

2. בקטע Security Realm, בוחרים את Keycloak Authentication Plugin. לוחצים על Save.

3. לוחצים על Configure system.

4. בהגדרות של Global Keycloak, מעתיקים את ה-JSON של התקנת Keycloak שיצרתם ב-Configure Keycloak. כדי לקבל שוב את נתוני ה-JSON, משלימים את השלבים הבאים:

   1. במסוף Admin של Keycloak, עוברים אל Clients.

   2. לוחצים על שם הלקוח.

   3. בכרטיסייה Installation, לוחצים על Format Option ובוחרים את Keycloak OIDC JSON.

   הנה דוגמה ל-JSON של Keycloak:

   {
       "realm":"master"
       "auth-server-url":"AUTHSERVERURL"
       "ssl-required":"none"
       "resource":"jenkins"
       "public-client":true
       "confidential-port":0
   }
   

   ‫AUTHSERVERURL היא כתובת ה-URL של שרת האימות.

5. כדי לשמור את תצורת OIDC, לוחצים על Save.

עכשיו Jenkins יכול להפנות באופן אוטומטי ל-Keycloak כדי לקבל פרטי משתמשים.

התקנת ספריות לקוח של Cloud

כדי לשלוח JWT מ-Keycloak אל Cloud de Confiance, צריך להתקין את ספריות הלקוח של Cloud בשרת ה-Jenkins. במדריך הזה משתמשים ב-Python כדי ליצור אינטראקציה עםCloud de Confiance באמצעות ה-SDK.

1. בשרת ה-Jenkins, מתקינים Python. כדי להתקין את python3:

   sudo apt update
   sudo apt install software-properties-common
   sudo add-apt-repository ppa:deadsnakes/ppa
   sudo apt update
   sudo apt install python3.8
   

2. מתקינים את pip3 כדי להוריד ולייבא ספריות לקוח של Cloud:

   pip3 –version
   sudo apt update
   sudo apt install python3-pip
   pip3 –version
   

3. באמצעות pip3 מתקינים את ספריות הלקוח של Cloud לשימוש ב-Python.

   pip3 install –upgrade google-api-python-client google-auth-httplib2 google-auth-oauthlib
   

   לדוגמה:

   pip3 install --upgrade google-api-python-client google-auth-httplib2 google-auth-oauthlib
   Collecting google-api-python-client
       Downloading google_api_python_client-2.42.0-py2.py3-none-any.whl (8.3 MB)
           USERNAME | 8.3 MB 19.9 MB/s
   Collecting google-auth-httplib2
       Downloading google_auth_httplib2-0.1.0-py2.py3-none-any.whl (9.3 MB)
   Collecting google-auth-oauthlib
   Downloading google_auth_oauthlib-0.5.1-py2.py3-non-any.whl (19 KB)
   

   מחליפים את USERNAME בשם המשתמש.

4. מתקינים את Google Cloud CLI בשרת ה-Jenkins. להוראות, ראו מדריך למתחילים: התקנת CLI של gcloud.

הגדרת הסביבה של Cloud de Confiance

בקטע הזה מתוארים השלבים שצריך לבצע כדי לוודא שסביבתCloud de Confiance שמארחת את הקונטיינר ללא שרת תוכל להתחבר ל-Jenkins ול-Keycloak.

1. ב- Cloud de Confiance, יוצרים חשבון שירות כדי שהמיקרו-שירות (microservice) ב-Cloud Run יוכל לגשת להרשאות שמצורפות אליו. לדוגמה, כדי ליצור חשבון שירות באמצעות ה-CLI של gcloud:

   gcloud iam service-accounts create cloudrun-oidc \
     –-description="cloud run oidc sa"  \
     –-display-name="cloudrun-oidc"
   

   כברירת מחדל, Cloud Run יוצר חשבון שירות שמוגדר כברירת מחדל. עם זאת, לא מומלץ להשתמש בחשבון השירות שמוגדר כברירת מחדל, כי הוא כולל טווח הרשאות רחב. לכן מומלץ ליצור חשבון שירות נפרד בשביל המיקרו-שירות (microservice). להוראות ליצירת חשבון שירות בשביל Cloud Run, ראו יצירה וניהול של חשבונות שירות.

2. יוצרים מאגר זהויות של עומסי עבודה. כדי ליצור מאגר באמצעות CLI של gcloud:

   gcloud iam workload-identity-pools create cloudrun-oidc-pool \
     --location="global" \
     —-description="cloudrun-oidc" \
     —-display-name="cloudrun-oidc"
   

3. יוצרים ספק מאגר זהויות של עומסי עבודה בשביל OpenID Connect:

   gcloud iam workload-identity-pools providers create-oidc cloud-run-provider \
     --workload-identity-pool="cloudrun-oidc-pool" \
     --issuer-uri="VAR_LINK_TO_ENDPOINT" \
     --location="global" \
     --attribute-mapping ="google.subject=assertion.sub,attribute.isadmin-assertion.isadmin,attribute.aud=assertion.aud" \
     --attribute-condition="attribute.isadmin=='true'"
   

   מחליפים את הערך VAR_LINK_TO_ENDPOINT במשתנה שמכיל את הקישור לנקודת הקצה (endpoint) של OIDC של Keycloak. כדי למצוא את הקישור הזה, בחלון Realm במסוף האדמין של KeyCloud, לוחצים על הכרטיסייה General. נקודת הקצה חייבת להיות מסוג HTTPS, כלומר צריך להגדיר את שרת Keycloak עם HTTPS.

קבלת JWT מ-Keycloak בשביל משתמש מאומת

1. ב-VM שמריצה Keycloak, מורידים את האסימון לקובץ טקסט. לדוגמה, ב-Linux, מריצים:

   curl -L -X POST 'https://IP_FOR_KEYCLOAK:8080/auth/realms/master/protocol/openid-connect/token' -H 'Content-Type: application/x-www-form-urlencoded' \
     --data-urlencode 'client_id=jenks' \
     --data-urlencode 'grant_type=password' \
     --data-urlencode 'client_secret=CLIENT_SECRET \
     --data-urlencode 'scope=openid' \
     --data-urlencode 'username=USERNAME' \
     --data-urlencode 'password=PASSWORD' | grep access_token | cut -c18-1490 > token.txt
   

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫IP_FOR_KEYCLOAK מחליפים בכתובת ה-IP של שרת Keycloak.
   • ‫CLIENT_SECRET מחליפים בסוד הלקוח של Keycloak.
   • ‫USERNAME מחליפים במשתמש Keycloak
   • ‫PASSWORD מחליפים בסיסמה של המשתמש Keycloak.

   הפקודה הזו כוללת את מזהה הלקוח, סוד הלקוח, שם המשתמש והסיסמה. השיטה המומלצת לאבטחה היא להשתמש במשתני סביבה כדי לבצע אנונימיזציה של הערכים האלו, במקום להשתמש בשורת הפקודה. הפקודה לדוגמה מבצעת הפניה של פרטי הכניסה לקובץ בשם token.txt.

   אפשר גם ליצור סקריפט bash כדי להפוך את השלב הזה לאוטומטי.

2. אפשר לאמת את האסימון בכתובת jwt.io.

3. ב-VM, יוצרים את קובץ פרטי הכניסה:

   gcloud iam workload-identity-pools create-cred-config \
   projects/$PROJECT_NUMBER/locations/global/workloadIdentityPools/cloudrun-oidc-pool/providers/cloud-run/provider \
     --output-file=sts-creds.json \
     --credential-source-file=token.txt
   

   למידע נוסף, ראו gcloud iamworkload-identity-pools create-cred-config.

   קובץ הפלט צריך להיראות ככה:

   {
       "type": "external_account",
       "audience": "//iam.google.apis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/cloudrun-oidc-pool/subject/USER_EMAIL",
       "subject_token_type": "urn:ietf:params:oauth:token-type:jwt",
       "token_url": "https://sts.googleapis.com/v1/token",
       "credential_source": {
           "file" "token.txt" }
   }
   

   ‫PROJECT_NUMBER הוא מספר הפרויקט.

4. ב-VM, מגדירים את הקובץ sts.creds.json כמשתנה בשביל ADC:

   export GOOGLE_APPLICATION_CREDENTIALS=/Users/USERNAME/sts-creds.json
   

   מחליפים את USERNAME בשם המשתמש ב-UNIX.

   לפני ההשקה של איחוד שירותי אימות הזהויות של עומסי עבודה, הערך הזה היה המפתח של חשבון השירות. עם איחוד שירותי אימות הזהות של עומסי עבודה, הערך הזה הוא קובץ פרטי הכניסה החדש שנוצר.

5. יצירת קישור תפקיד בשביל שהמשתמש יתחזה לחשבון השירות:

   gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT \
       --role roles/iam.workloadIdentityUser \
       --member "principal://iam.googleapis.com/projects/$PROJECT_NUMBER/locations/global/workloadIdentityPools/cloudrun-oidc-pool/subject/USER_EMAIL
   

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫SERVICE_ACCOUNT מחליפים בכתובת האימייל של חשבון השירות שנוצר בהגדרת הסביבה של Google Cloud למידע נוסף, ראו gcloud iam service-accounts add-iam-policy-binding.

   • ‫USER_EMAIL מחליפים בכתובת האימייל שלכם.

6. מתן אפשרות לחשבון השירות לגשת לשירות Cloud Run:

   gcloud run services add-iam-policy-binding SERVICE_NAME
     --member-"serviceAccount:SERVICE_ACCOUNT" \
     --role="roles/run.invoker"
   

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫SERVICE_NAME מחליפים בשם של מיקרו-שירות (microservice) שרץ ב-Cloud Run.

   • ‫SERVICE_ACCOUNT מחליפים בכתובת האימייל של חשבון השירות בשביל Cloud Run.

   למידע נוסף, ראו gcloud running services add-iam-policy-binding.

7. יצירת אסימון מזהה:

   #!/usr/bin/python
   from google.auth import credentials
   from google.cloud import iam_credentials_v1
   
   import google.auth
   import google.oauth2.credentials
   
   from google.auth.transport.requests import AuthorizedSession, Request
   
   url = "https://WORKLOAD_FQDN"
   aud = "https://WORKLOAD_FQDN"
   service_account = 'SERVICE_ACCOUNT'
   
   client = iam_credentials_v1.IAMCredentialsClient()
   
   name = "projects/-/serviceAccounts/{}".format(service_account)
   id_token = client.generate_id_token(name=name,audience=aud, include_email=True)
   
   print(id_token.token)
   
   creds = google.oauth2.credentials.Credentials(id_token.token)
   authed_session = AuthorizedSession(creds)
   r = authed_session.get(url)
   print(r.status_code)
   print(r.text)
   

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫WORKLOAD_FQDN מחליפים ב-FQDN בשביל עומס העבודה.

   • ‫SERVICE_ACCOUNT מחליפים בכתובת האימייל של חשבון השירות בשביל Cloud Run.

האסימון שמשתמשים בו יכול לקרוא לממשק ה-API של ניהול זהויות והרשאות גישה (IAM), שיספק את ה-JWT החדש שנחוץ כדי להפעיל את שירות Cloud Run.

אפשר להשתמש באסימון עם צינור עיבוד נתונים של Jenkins כדי להפעיל את הקונטיינר ללא שרת שרץ ב-Cloud Run. אך שלבים אלה לא נכללים במדריך הזה.