【问题标题】:Spring cloud dataflow local mode limitations and LDAP securitySpring Cloud 数据流本地模式限制和 LDAP 安全性
【发布时间】:2019-04-05 16:27:19
【问题描述】:

我正在尝试将 Spring Cloud Data Flow (SCDF) 设置为在本地模式下运行,以及有多少问题可以帮助我确定它是否适合我的要求。

  1. 尽管建议使用 Cloud Foundry、Kubernetes 等作为任务执行环境,但我更喜欢在生产环境中运行东西是本地模式,主要是因为我没有太多工作量并且无法处理所有额外的复杂。现在在本地模式下,我可以不受限制地运行所有类型的 SCDF 应用程序,即 Streams、Jobs 和任务吗?文档的某些部分提到只有 Jobs 可以在本地模式下运行。

  2. 安全性 - 我希望围绕应用程序的部署和对工具(仪表板)的操作访问进行控制,并且确实看到了对带有角色的 LDAP 的支持作为一个选项,但是使用 Cloudfoundry UAA 的整个概念,另一种驱动用户管理的产品似乎有点矫枉过正。有没有办法用现有的 LDAP 服务器配置该工具?在 Github 的一个 LDAP 问题中发现以下内容,但不清楚它是否在其 docker 映像中使用 UAA。最坏的情况我不介意仪表板是否可以在查看/只读模式下运行。

https://github.com/spring-cloud/spring-cloud-dataflow/issues/2871

【问题讨论】:

    标签: spring-cloud-dataflow


    【解决方案1】:

    如果 Spring Cloud Data Flow 是一个纯粹的单体应用程序,那么将安全性的所有方面直接集成到应用程序中肯定更容易让人想到。这就是 Spring Cloud Data Flow 最初从安全角度出发的方式,因此,Spring Cloud Dataflow <2.0.0 的版本支持我们标记为传统安全性的内容。

    然而,即使在2.0.xSpring Cloud 数据流之前:

    • 必须与Cloud Foundry等外部平台集成
    • 变得越来越面向微服务(例如通过使用Skipper

    因此出现了两种并行的安全架构,一种使用传统安全,另一种由OAuth2/OpenID Connect驱动。

    这开始变得越来越难以维护,对于2.0.x,我们决定专注于 OAuth2/OpenID Connect。但是,我们仍然必须支持一组丰富的企业功能,例如角色、LDAP 集成等。因此,我们发现开源、生产就绪的CloudFoundry User Account and Authentication (UAA) Server 是一个很好的选择。它的 LDAP 支持和功能实际上超过了 Spring Cloud Dataflow <2.0.0 提供的功能。

    所以是的,为了在本地设置 Spring Cloud Data Flow 的安全性,您需要运行 UAA。 UAA 还将提供 LDAP 支持。从技术上讲,Spring Cloud Data Flow 根本不知道 LDAP 设置。

    我希望这能提供一些关于 Spring Cloud Data Flow 安全架构是如何出现的背景知识。请查看参考文档和前面提到的SCDF Security with UAA + LDAP example。如有其他问题,请随时与我们联系!

    免责声明:我是该项目的提交者。

    【讨论】:

    • 感谢@gunnar-hillert 的澄清。我浏览了 UAA/LDAP 配置,但看到它需要它自己的 LDAP 服务器。我们公司已经有一个企业 LDAP 用户,所以只为 SCDF 管理另一个用户会有点麻烦。本机 LDAP 支持本来是一个不错的选择,但可能要求太多。我可能不得不将 OAuth2 作为替代方案。
    • 希望我理解正确:您可以将 UAA 配置为使用现有的 LDAP 服务器。它确实需要单独的 LDAP 服务器实例。
    • 出于某种原因我误解了这一点。这现在很有意义,应该对我有用。将通过 UAA LDAP 设置配置。感谢您的帮助。
    【解决方案2】:

    从 v2.0 开始,我们委托UAA 进行身份验证和授权。关于这个问题有各种各样的文章;更全面的一个是关于如何将所有这些在本地组合在一起的端到端示例。您不需要 CF 或 K8s,所有这些也可以在本地运行。我们依靠 UAA 作为网关,在所有客户端工具(包括 shell、仪表板、RESTful API、CTR 等)中标准化端到端 SSO,

    示例:SCDF Security with UAA + LDAP。如需进一步阅读,请参阅参考文献中的security section。指导。

    最后,我们不建议将本地安装用于生产安装,但我知道某些工作负载不要求应用在故障条件下的弹性和/或可重新启动性。

    【讨论】:

      猜你喜欢
      • 2011-09-22
      • 1970-01-01
      • 2017-07-02
      • 2020-04-14
      • 2018-02-15
      • 1970-01-01
      • 2019-04-03
      • 2012-04-11
      • 2016-04-15
      相关资源
      最近更新 更多