ack-ram-authenticator コンポーネントは、Alibaba Cloud Resource Access Management (RAM) を使用して、ご利用の ACK マネージドクラスター に対する Webhook ベースのリクエスト認証を有効にします。このトピックでは、ack-ram-authenticator コンポーネントの特徴、使用方法、変更履歴について説明します。
コンポーネントの紹介
ack-ram-authenticator コンポーネントは、ACK マネージドクラスター 用の認証プラグインです。Kubernetes ネイティブの Webhook トークン認証 メソッドを使用して、RAM を介してクラスターの API サーバー へのリクエストを認証します。また、このコンポーネントは、RAM ID と RBAC 権限間のマッピングをカスタムリソース定義 (CRD) として提供します。これにより、RBAC 権限付与をより柔軟に設定できます。
Alibaba Cloud CloudSSO ロールを使用して ACK マネージドクラスター にアクセスする場合、ack-ram-authenticator コンポーネントはリクエスターの ID のセッション名を API サーバー に渡すことができます。これにより、同じロールを偽装する異なるユーザーからのクラスターの API サーバー へのアクセスリクエストを、より安全に監査できます。
クラスターの Webhook 認証フローは次のとおりです:
kubectl などのツールを使用して認証リクエストを API サーバー に送信すると、KubeConfig ファイル内の
execコマンドプラグインが ack-ram-tool クライアントを実行します。クライアントは署名付きのセキュリティトークンサービス (STS) リクエスト URL を生成します。Webhook 認証リクエストが ACK マネージドクラスター の API サーバー に送信されます。リクエストは Webhook 認証設定に基づいて ack-ram-authenticator コンポーネントにルーティングされます。
コンポーネントは、受信したトークン URL を使用して、Alibaba Cloud RAM の GetCallerIdentity API に対してリクエストを認証します。認証が成功すると、ack-ram-authenticator コンポーネントは、API から返された RAM ID と、指定された RAMIdentityMapping カスタムリソース (CR) 内でユーザーが設定した ID とのマッピングを検索します。
API サーバー は、マッピングされたユーザー ID とグループ ID に対してネイティブの RBAC 権限付与を実行し、権限付与の結果を返します。
手順
ACK マネージドクラスター で ack-ram-authenticator を使用した Webhook 認証の詳細については、「ACK マネージドクラスターで ack-ram-authenticator を使用した API サーバーの Webhook 認証」をご参照ください。
コンポーネント構成
ack-ram-authenticator コンポーネントは、次のパラメーターをサポートしています。
パラメーター | タイプ | 説明 |
EnableNonBootstrapMapping | boolean | v0.4.0.0-g33f30dac-aliyun 以降のバージョンでのみサポートされています。 「手順 5:RAM ID と RBAC 権限のマッピングを設定する」で設定された ID マッピング関係を有効にするかどうかを指定します。
|
変更履歴
2025 年 11 月
バージョン番号 | 変更内容 | 変更日 | 影響 |
0.5.1 | コンポーネントが使用する Golang のバージョンを 1.24.10 にアップグレードし、コンポーネントの安定性を向上させました。 | 2025 年 11 月 26 日 | このコンポーネントをインストールまたはアンインストールすると、クラスターのコントロールプレーンの API サーバー が再起動され、API サーバー への持続的接続に影響します。オフピーク時間帯にコンポーネントをインストールまたはアンインストールしてください。 |
2025 年 9 月
バージョン番号 | 変更内容 | 変更日 | 影響 |
0.5.0 |
| 2025 年 9 月 9 日 | このコンポーネントをインストールまたはアンインストールすると、クラスターのコントロールプレーンの API サーバー が再起動され、API サーバー への持続的接続に影響します。オフピーク時間帯にコンポーネントをインストールまたはアンインストールしてください。 |
2025 年 4 月
バージョン番号 | 変更内容 | 変更日 | 影響 |
v0.4.1.0-g8023a0b5-aliyun |
| 2025 年 4 月 29 日 | このコンポーネントをインストールまたはアンインストールすると、クラスターのコントロールプレーンの API サーバー が再起動され、API サーバー への持続的接続に影響します。オフピーク時間帯にコンポーネントをインストールまたはアンインストールしてください。 |
2025 年 3 月
バージョン番号 | 変更内容 | 変更日 | 影響 |
v0.4.0.0-g33f30dac-aliyun |
| 2025 年 3 月 31 日 | このコンポーネントをインストールまたはアンインストールすると、クラスターのコントロールプレーンの API サーバー が再起動され、API サーバー への持続的接続に影響します。オフピーク時間帯にコンポーネントをインストールまたはアンインストールしてください。 |
2024 年 9 月
バージョン番号 | 変更内容 | 変更日 | 影響 |
v0.3.0.0-gea598ff0-aliyun | コンポーネントで使用される Golang のバージョンを 1.22.7 にアップグレードして、コンポーネントの安定性を向上させました。 | 2024 年 9 月 9 日 | このコンポーネントをインストールまたはアンインストールすると、クラスターのコントロールプレーンの API サーバー が再起動され、API サーバー への持続的接続に影響します。オフピーク時間帯にコンポーネントをインストールまたはアンインストールしてください。 |
2024 年 4 月
バージョン番号 | 変更内容 | 変更日 | 影響 |
v0.2.1.3-g694325a9-aliyun | GetCallerIdentity API を呼び出す際にコンポーネントのバージョン情報を送信し、トラブルシューティングを容易にしました。 | 2024 年 4 月 12 日 | このコンポーネントをインストールまたはアンインストールすると、クラスターのコントロールプレーンの API サーバー が再起動され、API サーバー への持続的接続に影響します。オフピーク時間帯にコンポーネントをインストールまたはアンインストールしてください。 |
v0.2.0.3-gcea89d25-aliyun | このバージョンは段階的リリースです。 ARM アーキテクチャのサポートを追加しました。 | 2024 年 4 月 10 日 |
2023 年 11 月
バージョン番号 | 変更内容 | 変更日 | 影響 |
v0.2.0.0-g9cf9d682-aliyun |
| 2023 年 11 月 15 日 | このコンポーネントをインストールまたはアンインストールすると、クラスターのコントロールプレーンの API サーバー が再起動され、API サーバー への持続的接続に影響します。オフピーク時間帯にコンポーネントをインストールまたはアンインストールしてください。 |
2023 年 5 月
バージョン番号 | 変更内容 | 変更日 | 影響 |
v0.1.0.5-g6e50a122-aliyun | ack-ram-authenticator コンポーネントを追加しました。これは初回リリースです。 | 2023 年 5 月 18 日 | このコンポーネントをインストールまたはアンインストールすると、クラスターのコントロールプレーンの API サーバー が再起動され、API サーバー への持続的接続に影響します。オフピーク時間帯にコンポーネントをインストールまたはアンインストールしてください。 |