SUSE Observability 对接 Rancher RBAC

SUSE Rancher Prime Observability Extension 使用 Kubernetes RBAC 来为 Rancher 用户授予在 SUSE Observability 中的访问权限。

环境要求：

• Rancher：v2.12.0 或以上版本
• SUSE O11y：v2.5.0 或以上版本

参考文档：

• https://documentation.suse.com/cloudnative/suse-observability/latest/en/setup/security/rbac/rbac_rancher.html
• https://documentation.suse.com/cloudnative/suse-observability/latest/en/setup/security/authentication/oidc.html#_rancher
• https://documentation.suse.com/cloudnative/rancher-manager/latest/en/rancher-admin/users/authn-and-authz/configure-oidc-provider.html

配置 Rancher OIDC Provider

在 local 集群创建 OIDCClient：

cat <<EOF | kubectl apply -f -
apiVersion: management.cattle.io/v3
kind: OIDCClient
metadata:
  name: oidc-observability
spec:
  tokenExpirationSeconds: 600
  refreshTokenExpirationSeconds: 3600
  redirectURIs:
    - "https://suse-observability.warnerchen.com/loginCallback?client_name=StsOidcClient"
EOF

获取 Client ID 和 Secret：

oidc_client_id=$(kubectl get OIDCClient oidc-observability -o jsonpath="{.status.clientID}")
oidc_client_secret=$(kubectl get secret $oidc_client_id -n cattle-oidc-client-secrets -o jsonpath="{.data.client-secret-1}" | base64 -d)
echo $oidc_client_id
echo $oidc_client_secret

Rancher UI 也可以查看 OIDCClient 信息：

配置 SUSE O11y 对接 Rancher OIDC Provider

创建 SUSE O11y 对接 Rancher RBAC 的 Values 文件：

cat <<EOF > rancher_authentication.yaml
stackstate:
  authentication:
    rancher:
      clientId: "xxx"
      secret: "yyy"
      baseUrl: "https://ranchertest.warnerchen.com"
EOF

如果 Rancher 使用的是自签名证书，那么需要配置 SUSE O11y 跳过证书认证：

stackstate:
  components:
    server:
      extraEnv:
        open:
          CONFIG_FORCE_stackstate_misc_sslCertificateChecking: false

然后通过 helm upgrade 更新 SUSE O11y。

通过 Rancher RBAC 访问 SUSE O11y

更新完毕后，再次访问 SUSE O11y 域名，会跳转到 Rancher 登陆界面：

通过 Rancher local admin 登陆后，即可以 admin 角色访问 SUSE O11y：

Rancher 也内置了一些角色，使用户能够通过不同的角色访问 SUSE O11y：