Añadida demo de Azure AD con AKS

giselatb · giselatb · commit e874a83f6563 · 2020-12-21T07:45:57.000+01:00
diff --git a/04-cloud/00-aks/04-azure-active-directory/azure-ad-aks.sh b/04-cloud/00-aks/04-azure-active-directory/azure-ad-aks.sh
@@ -0,0 +1,63 @@
+#Variables
+RESOURCE_GROUP="AKS-Loves-AzureAD"
+AKS_NAME="lemoncode-azuread"
+LOCATION="northeurope"
+
+# Crear un grupo de recursos
+az group create --name $RESOURCE_GROUP --location $LOCATION
+
+#Crear un cluster integrado con Azure AD
+az aks create -g $RESOURCE_GROUP -n $AKS_NAME --enable-aad 
+
+#Recuperar las credenciales de administrador para acceder al cluster
+az aks get-credentials --resource-group $RESOURCE_GROUP --name $AKS_NAME --admin
+
+#Comprueba que puedes acceder a los recursos del cluster
+kubectl get nodes
+
+### Escenario 1: Soy Gisela y quiero tener permisos de administrador dentro del cluster
+kubectl apply -f 04-cloud/00-aks/04-azure-active-directory/manifests/cluster-role-binding.yaml
+az aks get-credentials --resource-group $RESOURCE_GROUP --name $AKS_NAME --overwrite-existing
+
+#Ahora pruebo con un usario que no tiene credenciales de admin total
+kubectl get pods #ESTO NO VA
+
+#Para que un usuario pueda interactuar con el clúster debemos asignar el Id del grupo de Azure AD al que pertenece al role
+#Estos son los ids de todos los grupos de mi directorio activo:
+az ad group list -o table
+#Almaceno el id del grupo llamado Stark
+GROUP_ID=$(az ad group show --group Stark --query objectId -o tsv)
+
+#Recupero también el ID del clúster de AKS
+AKS_ID=$(az aks show -g ${RESOURCE_GROUP} -n ${AKS_NAME} --query id -o tsv)
+
+#Asigno el grupo al rol "Azure Kubernetes Service Cluster User Role" en este cluster, porque no todos los grupos de Azure AD tienen por qué tener acceso a mi clúster
+az role assignment create \
+    --assignee $GROUP_ID \
+    --role "Azure Kubernetes Service Cluster User Role" \
+    --scope $AKS_ID
+
+#Hago lo mismo con los Lanisters
+GROUP_TWO_ID=$(az ad group show --group Lannister --query objectId -o tsv)
+
+#De nuevo, asigno el grupo al rol "Azure Kubernetes Service Cluster User Role" en este cluster, porque no todos los grupos de Azure AD tienen por qué tener acceso a mi clúster
+az role assignment create \
+    --assignee $GROUP_TWO_ID \
+    --role "Azure Kubernetes Service Cluster User Role" \
+    --scope $AKS_ID
+
+#Si lo ves desde el portal tendríamos que tener estos dos grupos asignados a este rol en el cluster.
+
+# Namespace para los Stark #
+
+#Ahora vamos a crear dos namespaces como admin
+az aks get-credentials --resource-group $RESOURCE_GROUP --name $AKS_NAME --admin
+
+#Creamos el role
+kubectl apply -f 04-cloud/00-aks/04-azure-active-directory/manifests/role-the-north-remembers-ns.yaml
+#Hacemos la asociación del role a un grupo, en este caso los Stark
+kubectl apply -f 04-cloud/00-aks/04-azure-active-directory/manifests/ns-the-north-remembers-and-role-binding.yml
+
+# Namespace para los Lanister #
+
+
diff --git a/04-cloud/00-aks/04-azure-active-directory/manifests/cluster-role-binding.yaml b/04-cloud/00-aks/04-azure-active-directory/manifests/cluster-role-binding.yaml
@@ -0,0 +1,12 @@
+apiVersion: rbac.authorization.k8s.io/v1
+kind: ClusterRoleBinding
+metadata:
+  name: returngis-cluster-admins
+roleRef:
+  apiGroup: rbac.authorization.k8s.io
+  kind: ClusterRole
+  name: cluster-admin
+subjects:
+- apiGroup: rbac.authorization.k8s.io
+  kind: User
+  name: 4acb2121-3409-4679-aaf5-395ab0c2f406 # gisela.torres.buitrago@gmail.com
diff --git a/04-cloud/00-aks/04-azure-active-directory/manifests/ns-the-north-remembers-and-role-binding.yml b/04-cloud/00-aks/04-azure-active-directory/manifests/ns-the-north-remembers-and-role-binding.yml
@@ -0,0 +1,13 @@
+apiVersion: rbac.authorization.k8s.io/v1beta1
+kind: RoleBinding
+metadata:
+  name: stark-access
+  namespace: the-north-remembers
+roleRef:
+  apiGroup: rbac.authorization.k8s.io
+  kind: Role
+  name: the-north-remembers-full-access
+subjects:
+- kind: Group
+  namespace: the-north-remembers
+  name: fd11b685-082e-408f-9f71-447caaaf85d4 #Stark's ObjectId
diff --git a/04-cloud/00-aks/04-azure-active-directory/manifests/role-kings-landing-ns.yaml b/04-cloud/00-aks/04-azure-active-directory/manifests/role-kings-landing-ns.yaml
@@ -0,0 +1,22 @@
+apiVersion: v1
+kind: Namespace
+metadata:
+  name: kings-landing
+  
+---
+
+apiVersion: rbac.authorization.k8s.io/v1beta1
+kind: Role
+metadata:
+  name: kings-landing-full-access
+  namespace: kings-landing
+rules:
+- apiGroups: ["","extensions","apps"]
+  resources: ["*"]
+  verbs: ["*"]
+- apiGroups: ["batch"]
+  resources:
+  - jobs
+  - cronjobs
+  verbs: ["*"]
+  
diff --git a/04-cloud/00-aks/04-azure-active-directory/manifests/role-the-north-remembers-ns.yaml b/04-cloud/00-aks/04-azure-active-directory/manifests/role-the-north-remembers-ns.yaml
@@ -0,0 +1,21 @@
+apiVersion: v1
+kind: Namespace
+metadata:
+  name: the-north-remembers
+
+---
+
+apiVersion: rbac.authorization.k8s.io/v1beta1
+kind: Role
+metadata:
+  name: the-north-remembers-full-access
+  namespace: the-north-remembers
+rules:
+- apiGroups: ["","extensions","apps"]
+  resources: ["*"]
+  verbs: ["*"]
+- apiGroups: ["batch"]
+  resources:
+    - jobs
+    - cronjobs
+  verbs: ["*"]
diff --git a/04-cloud/00-aks/04-azure-active-directory/manifests/rolebinding-kings-landing.yaml b/04-cloud/00-aks/04-azure-active-directory/manifests/rolebinding-kings-landing.yaml
@@ -0,0 +1,13 @@
+apiVersion: rbac.authorization.k8s.io/v1beta1
+kind: RoleBinding
+metadata:
+  name: lanister-access
+  namespace: kings-landing
+roleRef:
+  apiGroup: rbac.authorization.k8s.io
+  kind: Role
+  name: kings-landing-full-access
+subjects:
+- kind: Group
+  namespace: kings-landing
+  name: fe055b1b-2df8-44bc-8a3b-292608ca4702 #Lanister's Object Id
