Actualizada demo de Azure AD con AKS

Author: 0GiS0

04-cloud/00-aks/04-azure-active-directory/azure-ad-aks.sh

@@ -48,16 +48,37 @@ az role assignment create \
 
 #Si lo ves desde el portal tendríamos que tener estos dos grupos asignados a este rol en el cluster.
 
-# Namespace para los Stark #
-
 #Ahora vamos a crear dos namespaces como admin
 az aks get-credentials --resource-group $RESOURCE_GROUP --name $AKS_NAME --admin
 
-#Creamos el role
-kubectl apply -f 04-cloud/00-aks/04-azure-active-directory/manifests/role-the-north-remembers-ns.yaml
-#Hacemos la asociación del role a un grupo, en este caso los Stark
-kubectl apply -f 04-cloud/00-aks/04-azure-active-directory/manifests/ns-the-north-remembers-and-role-binding.yml
+#Creamos el namespace, el role y el role binding (asociación) con el grupo Stack
+kubectl apply -f 04-cloud/00-aks/04-azure-active-directory/manifests/the-north-remembers.yaml
+
+#Creamos el namespace, el role y el role binding (asociación) con el grupo Stack
+kubectl apply -f 04-cloud/00-aks/04-azure-active-directory/manifests/kings-landing.yaml
+
+#Ahora vamos a probar que los accesos funcionan correctamente. Lo primero que tenemos que hacer ese resetear el archivo
+#kubeconfig, ya que ahora lo tenemos con credenciales de admin, y este pasa por alto la autenticación con Azure AD. Sin el 
+#parámetro --admin el contexto de usuario normal es el que aplica y requerirá que todas las peticiones pasen por Azure AD.
+az aks get-credentials --resource-group $RESOURCE_GROUP --name $AKS_NAME --overwrite-existing
 
-# Namespace para los Lanister #
+#Vamos a probar the north remembers creando un pod dentro de este namespace
+#Lanzar este comando te pedirá autenticación
+kubectl run --generator=run-pod/v1 nginx-north --image=nginx --namespace the-north-remembers
+kubectl get po -n the-north-remembers
+
+#Si intentamos acceder al namespace de los Lanister o el default nos dará error
+kubectl get po -n kings-landing
+kubectl get po
+
+#Ahora vamos a probar lo mismo con los Lanister. 
+#Reseteamos las credenciales de nuevo
+az aks get-credentials --resource-group $RESOURCE_GROUP --name $AKS_NAME --overwrite-existing
 
+#Intentamos la misma operación pero en el namespace de los Lanister
+kubectl run --generator=run-pod/v1 nginx-kings-landing --image=nginx --namespace kings-landing
+#Si intentamos entrar en The North Remembers da un error
+kubectl get po -n the-north-remembers
 
+#Si eliminamos el grupo de recursos eliminaremos el clúster
+az group delete -n ${RESOURCE_GROUP} --yes --no-wait

…ory/manifests/role-kings-landing-ns.yaml …e-directory/manifests/kings-landing.yaml04-cloud/00-aks/04-azure-active-directory/manifests/role-kings-landing-ns.yaml renamed to 04-cloud/00-aks/04-azure-active-directory/manifests/kings-landing.yaml 04-cloud/00-aks/04-azure-active-directory/manifests/role-kings-landing-ns.yaml renamed to 04-cloud/00-aks/04-azure-active-directory/manifests/kings-landing.yaml

@@ -19,4 +19,19 @@ rules:
   - jobs
   - cronjobs
   verbs: ["*"]
-  
+
+---
+
+apiVersion: rbac.authorization.k8s.io/v1beta1
+kind: RoleBinding
+metadata:
+  name: lanister-access
+  namespace: kings-landing
+roleRef:
+  apiGroup: rbac.authorization.k8s.io
+  kind: Role
+  name: kings-landing-full-access
+subjects:
+- kind: Group
+  namespace: kings-landing
+  name: fe055b1b-2df8-44bc-8a3b-292608ca4702 #Lanister's Object Id

04-cloud/00-aks/04-azure-active-directory/manifests/ns-the-north-remembers-and-role-binding.yml

@@ -19,3 +19,19 @@ rules:
     - jobs
     - cronjobs
   verbs: ["*"]
+
+---
+
+apiVersion: rbac.authorization.k8s.io/v1beta1
+kind: RoleBinding
+metadata:
+  name: stark-access
+  namespace: the-north-remembers
+roleRef:
+  apiGroup: rbac.authorization.k8s.io
+  kind: Role
+  name: the-north-remembers-full-access
+subjects:
+- kind: Group
+  namespace: the-north-remembers
+  name: fd11b685-082e-408f-9f71-447caaaf85d4 #Stark's ObjectId