Komponen ack-ram-authenticator memungkinkan autentikasi permintaan berbasis webhook untuk ACK managed cluster Anda menggunakan Alibaba Cloud RAM. Topik ini menjelaskan fitur, penggunaan, dan riwayat perubahan komponen ack-ram-authenticator.
Pengenalan komponen
Komponen ack-ram-authenticator adalah plugin autentikasi untuk ACK managed clusters. Komponen ini memanfaatkan metode autentikasi asli Kubernetes, yaitu Webhook Token Authentication, untuk mengautentikasi permintaan ke API Server kluster menggunakan RAM. Selain itu, komponen ini menyediakan pemetaan antara identitas RAM dan izin RBAC melalui Custom Resource Definitions (CRDs), sehingga memungkinkan konfigurasi otorisasi RBAC yang lebih fleksibel.
Ketika role Alibaba Cloud CloudSSO digunakan untuk mengakses ACK managed cluster, komponen ack-ram-authenticator dapat meneruskan nama sesi identitas pemohon ke API Server. Hal ini memungkinkan auditing akses yang lebih aman terhadap permintaan ke API Server kluster dari pengguna berbeda yang mengasumsikan role yang sama.
Alur autentikasi webhook untuk kluster adalah sebagai berikut:
Saat Anda menggunakan alat seperti kubectl untuk mengirim permintaan autentikasi ke API Server, plugin perintah
execdalam file KubeConfig menjalankan client ack-ram-tool. Client tersebut menghasilkan URL permintaan Security Token Service (STS) yang ditandatangani.Permintaan autentikasi webhook dikirim ke API Server ACK managed cluster dan diarahkan ke komponen ack-ram-authenticator berdasarkan konfigurasi autentikasi webhook.
Komponen menggunakan URL token yang diterima untuk mengautentikasi permintaan terhadap API Alibaba Cloud RAM GetCallerIdentity. Jika autentikasi berhasil, komponen ack-ram-authenticator mencari pemetaan antara identitas RAM yang dikembalikan oleh API dan identitas yang dikonfigurasi pengguna dalam resource kustom RAMIdentityMapping (CR).
API Server melakukan otorisasi RBAC asli terhadap identitas user dan group yang dipetakan serta mengembalikan hasil otorisasi.
Petunjuk
Untuk informasi selengkapnya tentang penggunaan ack-ram-authenticator untuk autentikasi webhook di ACK managed cluster, lihat Gunakan ack-ram-authenticator untuk autentikasi webhook API server di ACK managed cluster.
Konfigurasi komponen
Komponen ack-ram-authenticator mendukung parameter berikut.
Parameter | Tipe | Deskripsi |
EnableNonBootstrapMapping | boolean | Hanya didukung pada v0.4.0.0-g33f30dac-aliyun dan versi setelahnya. Menentukan apakah akan mengaktifkan hubungan pemetaan identitas yang dikonfigurasi di Langkah 5: Konfigurasikan pemetaan antara identitas RAM dan izin RBAC.
|
Riwayat perubahan
November 2025
Nomor versi | Deskripsi perubahan | Tanggal perubahan | Dampak |
0.5.1 | Memutakhirkan versi Golang yang digunakan komponen menjadi 1.24.10 untuk meningkatkan stabilitas komponen. | 26 November 2025 | Menginstal atau menguninstal komponen ini akan me-restart API Server lapisan kontrol kluster, yang berdampak pada koneksi persisten ke API Server. Lakukan instalasi atau uninstalasi komponen ini pada jam sepi. |
September 2025
Nomor versi | Deskripsi perubahan | Tanggal perubahan | Dampak |
0.5.0 |
| 09 September 2025 | Menginstal atau menguninstal komponen ini akan me-restart API Server lapisan kontrol kluster, yang berdampak pada koneksi persisten ke API Server. Lakukan instalasi atau uninstalasi komponen ini pada jam sepi. |
April 2025
Nomor versi | Deskripsi perubahan | Tanggal perubahan | Dampak |
v0.4.1.0-g8023a0b5-aliyun |
| 29 April 2025 | Menginstal atau menguninstal komponen ini akan me-restart API Server lapisan kontrol kluster, yang berdampak pada koneksi persisten ke API Server. Lakukan instalasi atau uninstalasi komponen ini pada jam sepi. |
Maret 2025
Nomor versi | Deskripsi perubahan | Tanggal perubahan | Dampak |
v0.4.0.0-g33f30dac-aliyun | Menambahkan parameter komponen | 31 Maret 2025 | Menginstal atau menguninstal komponen ini akan me-restart API Server lapisan kontrol kluster, yang berdampak pada koneksi persisten ke API Server. Lakukan instalasi atau uninstalasi komponen ini pada jam sepi. |
September 2024
Nomor versi | Deskripsi perubahan | Tanggal perubahan | Dampak |
v0.3.0.0-gea598ff0-aliyun | Memutakhirkan versi Golang yang digunakan oleh komponen menjadi 1.22.7 untuk meningkatkan stabilitas komponen. | 09 September 2024 | Menginstal atau menguninstal komponen ini akan me-restart API Server lapisan kontrol kluster, yang berdampak pada koneksi persisten ke API Server. Lakukan instalasi atau uninstalasi komponen ini pada jam sepi. |
April 2024
Nomor versi | Deskripsi perubahan | Tanggal Perubahan | Dampak |
v0.2.1.3-g694325a9-aliyun | Meneruskan informasi versi komponen saat memanggil API GetCallerIdentity untuk mempermudah troubleshooting. | 12 April 2024 | Menginstal atau menguninstal komponen ini akan me-restart API Server lapisan kontrol kluster, yang berdampak pada koneksi persisten ke API Server. Lakukan instalasi atau uninstalasi komponen ini pada jam sepi. |
v0.2.0.3-gcea89d25-aliyun | Versi ini dirilis secara bertahap. Menambahkan dukungan untuk arsitektur ARM. | 10 April 2024 |
November 2023
Nomor versi | Deskripsi perubahan | Tanggal perubahan | Dampak |
v0.2.0.0-g9cf9d682-aliyun |
| 15 November 2023 | Menginstal atau menguninstal komponen ini akan me-restart API Server lapisan kontrol kluster, yang berdampak pada koneksi persisten ke API Server. Lakukan instalasi atau uninstalasi komponen ini pada jam sepi. |
Mei 2023
Nomor versi | Deskripsi perubahan | Ubah tanggal | Dampak |
v0.1.0.5-g6e50a122-aliyun | Menambahkan komponen ack-ram-authenticator. Ini merupakan rilis awal. | 18 Mei 2023 | Menginstal atau menguninstal komponen ini akan me-restart API Server lapisan kontrol kluster, yang berdampak pada koneksi persisten ke API Server. Lakukan instalasi atau uninstalasi komponen ini pada jam sepi. |