ref: https://jzimnowo.medium.com/harbor-keycloak-and-istio-a-good-dance-troupe-6c3520fb87de

本篇是個經驗分享文，作者想要打造一個基於 Kubernetes namespace 的多租戶 Kubernetes 平台。
該平台主要針對的是團隊內不同的 DevOps team，並且每個 Team 都會有自己的下列資源
1. Harbor: Private Container Registry
2. Keycloak: SSO
3. Istio: Service Mesh.

# Harbor
Harbor 是 CNCF 的畢業專案，專注於提供 private container registry，本身除了有友善的操作介面外，也整合了多項常見功能，譬如
1. 基於 OIDC 的授權認證機制
2. 容器安全性掃描
3. Chartmuseum (未來會被移除)
4. 專案管理

透過 OIDC 與專案的機制，能夠很輕鬆的針對不同專案設定不同權限，譬如屬於群組 A 的只能使用 Project A。
此外每個專案本身也有提供 robot account，該 robot account 的目的則是讓整個工作流程更佳簡潔。

如果要於 Kubernetes 中去抓取這些 Private Container Registry，則必須要透過 ImagePullSecret 的物件來描述登入資訊。
為了避免使用個人帳戶來存取，作者推薦每個專案都要準備兩個 Robot Account，這兩個 Robot Account 都只能針對該專案底下的 container 去存取
所以也不用擔心會去存取到其他 Team 的專案。
第一個 robot account 專注於 Pull Image，主要是讓 Kubernetes 內部可以下載 Image 使用。
第二個 robot account 則是給 CI/CD pipeline 使用，讓 pipeline 有能力將新的 image 給推向 Harbor。

前述所說 Harbor 可以基於 OIDC 來滿足認證的機制，作者於團隊中就使用 Keycloak 這個開源來作為一個 OIDC 提供者(另外一個常見的是 Dex)。
文章中有稍微介紹如何於 Keycloak 中創立一個 Client 的物件，並且於 Harbor 如何設定。
如果團隊有這個需求的可以看一下要如何操作。

文章最後探討使用這三個專案的一些經驗與痛點，有興趣的可以閱讀全文參考

ref: https://www.cyberark.com/resources/threat-research-blog/securing-kubernetes-clusters-by-eliminating-risky-permissions

本篇文章是一個基礎分享文，整個主軸圍繞於 Authentication 與 Authorization 兩大塊，同時透過這兩大概念的介紹來分享一些會可能會有資安問題的設定

開頭作者探討了 Kubernetes 的架構，並且將 API Server 這個重點核心拿來出探討，提到為了存取 Kubernetes API，使用者必須要經過三個階段的處理，分別是
Authentication, Authorization 以及 Admission Control

接者用一個簡單的流程來說明上述三者的差異，假設今天有一個 Client 想要請求 API Server 幫忙創建一個 Pod 的物件。
首先 API Server 會針對該請求進行 Authentication 的檢查，通常情況下會使用 Certificate, Tokens, Basic Authentication(username/password) 來判別。
如果通過後，則會進入到 Authorization 的階段，該階段要判別發送當前 Request 的 Client 是否擁有創建 Pod 的權限，如果有權限就會把相關操作交給後續的 Admission Control 來處理。
文章中舉了一個名為 AlwaysPullImages 的 Admission Controller，該 Controller 對於一個多用戶的 Kubernetes Cluster 來說特別有用，主要是用來確保使用者 A 想要使用的 Private Image 不能被使用者 B 存取。
試想一個情況，假設今天使用者 A 順利於 NodeA 上抓取了自己的 Private Image，那使用者 B 假如很剛好知道這個 Image 的名稱，是不是有機會就可以不需要相關權限直接使用 NodeA 上的 Image？
所以這個 Admission Controller 就是用來避免這個問題的。

接者作者從 Authentication 與 Authorization 中個挑選一個方式來介紹並且講解這兩者如何結合的。

Authentication 使用的是 Service Account Token，管理會事先於 Kubernetes 內創立一個相關的 Service Account，並且把該 SA(Service Account) 的 Token 給交給 Client(Kubeconfig 也可)
Client 發送 HTTPS 請求到 API Server 的時候就可以夾帶這個 Token 的資訊，這樣 API Server 就會去檢查該 Token 是否存在於 Cluster 內。

事實上當每個 Pod 被創立後， Kubernetes 預設情況下就會將該 namespace 下的 service account 資訊給掛載到該 Pod 內的 "/var/run/secrets/kubernetes.io/serviceaccount" 這個路徑
這樣該 Pod 就可以使用該 Service Account Token 的資訊與 API Server 溝通。

Authorization 則是使用 RBAC 的方式來處理， RBAC 由三個部分組成，分別是 Role(代表可以針對 Cluster 進行什麼樣類型的操作，譬如 create pod, delete pod), Subject(你是誰，譬如 Service Account), RoleBinding(用來將 Role 與 Subject 給綁定)

管理員要創建並且管理這些叢集的話，就要好好的去設計這三個物件的關係，來確保最後的 Client 可以擁有剛剛好符合其需求的權限，千萬不要為了懶散而給予過多權限。

接者作者列舉了五種 Risky permissions 的可能情境
1. Listing secrets
大部分的應用程式開發者都會使用 secret 的物件來管理一些機密資訊，如帳號密碼，憑證等，所以一個擁有 list secrets 的 service account 其實是相對危險的。
非必要的話，不要讓管理員以外的任何使用者有這個權限，特別是使用 ClusterRole/ClusterRoleBinding 時要特別注意

2. Creating a pod with a privileged service account
假設今天有一個攻擊者已經獲得一個可以創建 pod 的 service account，那該攻擊者已經可以很順利的於叢集內創建 Pod 去進行基本操作(譬如挖礦)
如果攻擊者很巧地又知道目標 namespace 內存在一個很強的 service account，它就有辦法讓他創立的 Pod 去使用這個很強的 Service Account 並且進行更多後續操作

3. Impersonating privileged accounts
作者提到 Impersonating 這個 Role 裡面的動作要特別小心使用，擁有這個權限的使用者可以輕鬆化身為其他的使用者/群組
舉例來說，一個擁有 Impersonating -> users/group 的 serviceaccount 是沒有辦法看到任何 secrets 的物件。
但是攻擊者只要使用的時候加上 --as=null --as-group=system:master 則就會變成如 master 般的上帝擁有這些權限
因此這種權限設定上要特別小心

4. Reading a secret – brute-forcing token IDs
5. Creating privileged RoleBindings

後續兩個有興趣的可以參考全文，都是滿有趣的一些想法，值得閱讀擴展自己的認知

【Classic TDD by Example】C# 版無限期、不限次 影音培訓內容正式推出，開放報名。
完成介紹，請參考：https://tdd.best/courses/classic-tdd-by-example-video-training/

【#你可以學會什麼】
➀ 怎麼做需求分析、測試案例分析、backlog items 分析、TDD 的測試案例設計、單元測試、TDD 的小步快跑、持續重構、假實作加上三角定位法。

➁ code smell 的辨識，例如 duplication, temp variable, primitive obsession, feature envy 等等。

➂ 會用到的重構功能與技能，大概整個 IDE 的重構功能都涵蓋到了，包含：
- rename, introduce variable/parameter/field
- extract method/class/interface/super class
- inline variable/field/parameter/method
- move/make method non-static (move class, folder, namespace)
- push member down
- replace switch/nested if logic
- split/merge/join variable
- change signature
- 如何移掉 out 參數的設計

➃ 設計原則：SOLID, 關注點分離, Simple Design

➄ 實戰 Refactoring to Patterns: strategy, chain of responsibility, template method…

【#你會得到的服務與內容】
➀ 你會拿到兩個影片，包含需求面的說明、解析、測試案例分析設計、待辦清單的設計。長度加起來為12小時40分鐘。

➁ 有一份線上講義，匯出成 PDF 共計 159 頁。（作業為2頁）

➂ 有一份 mind map, 跟著培訓做，會有 338 個 elements/nodes。

➃ GitHub上一份 181個 commits 的參考。

➄ 會有一個 slack workspace 供大家在上面發問、討論交流，以及方便我補充相關內容。

➅ 額外提供1hr online 1-1 coaching，企業報價為10630（不信的，有好幾張不同時間的發票金額與天數備註為證明，歡迎來跟我打賭）

➆ 如果因為這門培訓的練習，讓你打算訂閱 JetBrains IDE, 可獲得個人首年訂閱8折的 coupon, 舉例來說，如果是只有 Rider, 就可省27.8美元，如果是全家餐（全系列 10個 IDE 產品），則是節省 99.8 美元。

【#適合哪些朋友】
➀ 因為時空因素（例如人在國外或外地、因為疫情、因為週末時間得陪伴家人，只有深夜才能擁有自己時間的朋友），無法參加我的培訓，但又很想突破自己能力瓶頸的朋友，至少我很肯定你可以從中先獲得工作上有幫助的內容。

➁ 不想等那麼久才能上到實體課，怎麼報名都只能排在等待清單，要等到啥時才可以變強啊啊啊啊啊… 的朋友。畢竟我 2021 年的所有課，在一月份就已經全數額滿了。

➂ 喜歡反覆觀看影片學習、動手練習，能從反覆複習的過程中，獲得最大學習效果，獲得不同想法刺激的學習模式的朋友，這一次的影片絕對可以滿足你的學習方式。

➃ 上我的實體課覺得時間太短、觀念太多、實作跟不上，身心靈在實務課程節奏有點緊湊感覺吃力的朋友，但又覺得內容充實，可以學到很多東西的朋友，這是最適合你做一次打好基底的內容與形式。

➄ 對於內容提及的部份，覺得觀念不夠清楚，不知道怎麼實際進行重構、設計與實作出那些技巧和模式，最終達成 #簡單設計 成果的朋友。

甚至我覺得，即使不是這種學習模式的朋友，大概也避不掉得反覆看、反覆練習好幾遍，因為要行雲流水，得各環節都打通才行。

【#不適合哪些朋友】
➀ 如果因為影片課程的屬性，而只期待著課程費用要比較低的朋友，建議不要買。

➁ 只想看影片，不想打開 IDE 跟著練習 coding 的，建議不要買。不要浪費時間浪費錢，你只看食譜也無法學會煮菜，只看游泳的影片也無法學會游泳的。

➂ 看不懂也不想發問的人，不要買。因為這樣誰都幫不了你。

➃ 不想要自己相關資料被壓浮水印在自己購買的影片上的人，不要買。有壓你個資的影片，只有你跟我擁有。而你的個資只會在影片上使用，不會挪作他用。（確定的是，上面不會有身份證字號或護照號碼）

【#票價資訊】
♥ 一般票：NT$ 36,000
♥ 過來人推薦票（請附上已經購買此影音課程的推薦人，報名附上他的出貨序號，以及 email）：NT$ 35,000
♥ 老鳥票（指 2018 年後參加過 91 的公開培訓課）: NT$ 34,500

定價標準緣由，請見課程介紹。

【#報名方式】
想要報名的同學，請將下列的報名資訊 joeychen@odd-e.com。確認報名成功之後，我會回信給您告知出貨序號，以及對應的匯款資訊。

> 信件標題：Classic TDD by Example: {name} 報名 {程式語言版本}

- 真實姓名
- 聯絡電話
- email (相關權限與未來老鳥票依據)
- 遮罩過的身份證照片（身份證字號、生日、換發日請都遮罩）
- 與真實姓名能對得起來的名片、帳單或信件照片（用來雙重驗證真實姓名的一致性，以免有人用他人身份證或網路上的身份證照片）
- 程式語言
- 推薦人的出貨序號與 email （如果票種選擇 【過來人推薦票】，請附上此資訊）

【#授權條款】
購買人付費之後，等同於已同意下列條款：

- 授權僅限本人觀看，不限制裝置，無限期，無限次觀看影片。不依賴於平台，將直接提供影片下載連結，所以請不用擔心在平台上下架的問題。

- 購買將採實名驗證，影片將壓上購買人相關個人資訊浮水印。影片、程式碼內容等，未經本人授權，不得於公開場所、平台觀看，不得擅自販售、分享、散佈、擷取圖片或影片片段侵害作者權益等行為。請購買人妥善保管影片，以保護雙方權益。

- 不論「有償或無償」，均不得已在未經同意的情況下將影片做公開分享、重製、散佈、改做

- 本於誠實信用原則，影片僅供個人學習使用，不得共用

- 若違反前述約定，則著作財產權人可以請求所受損害與所失利益

【#出貨清單與出貨狀態】
因每個人的影片都會有客製化的調整與浮水印資訊，故每天產能有限，目前一天可處理 4~8 張訂單。

所以列出對應的出貨清單與狀態，各位可以看到自己的出貨序號，以及目前處理到哪一張訂單了。

出貨清單：https://hackmd.io/@SYvyb1O4SLq8W6nvAQW5mw/ByVVUt86O

2017年05月12日
影片為大家分享寶可夢GO某國外網站團隊在挖掘0.63.1版本時額外發現有關遊戲運作系統更改/隱藏圖示隱藏程式碼內容與詳情。

之前與大家分享了0.63.1版本中各大玩法的隱藏程式碼，該次將與大家分享有關遊戲運作系統即將更改以及各種隱藏圖示方面的隱藏程式碼內容與詳情~

影片內容僅供參考，並不能作為標準，遊戲開心就好。

更多資訊與第一手消息請前往（J Channel竹子臉書專頁）
https://www.facebook.com/J-Channel-162244390482389/

影片中原文鏈接
0.63.1運作系統更改隱藏程式碼-https://pokemongohub.net/post/article/0-63-1-technical-breakdown-better-memory-management-namespace-changes-push-notifications/
隱藏圖示大全-https://pokemongohub.net/post/breaking-news/pokemon-go-0-63-1-image-text-assets/

欲觀看更多：
【Pokémon GO】系列
https://www..com/playlist?list=PLLeg1dJahHsFTpY2BlBe8waCc1_QKdIKi

【遊戲王Duel Links】系列
https://www..com/playlist?list=PLLeg1dJahHsGnmI1T3qCKXrVK0l3aNfnP

【部落衝突:皇室戰爭】系列
https://www..com/playlist?list=PLLeg1dJahHsGJEWWb7rw9itwtQR6hGiMP

【寶可夢都市傳說】系列
https://www..com/playlist?list=PLLeg1dJahHsHw5Qy5IIv5yt7zjVGm-3ck

【Klee月光飄落的城鎮】系列
https://www..com/playlist?list=PLLeg1dJahHsFKCQi5gPzZli5ENLbfJxOF

【仙境迷城】系列
https://www..com/playlist?list=PLLeg1dJahHsG-QHpG0bitM5WXkE6zWfwZ

【口袋訓練師/妖精樂園】系列
https://www..com/playlist?list=PLLeg1dJahHsGp_fniEzdK0wBPd9bV7tRg

【仙境傳說国际版IRO】系列
https://www..com/playlist?list=PLLeg1dJahHsGPSVYvIks_3DQsQC1rXGwG

【時空之門】系列
https://www..com/playlist?list=PLLeg1dJahHsFLh_JWgy3O0Qb0j-gp3XdH

【怪物彈珠】系列
https://www..com/playlist?list=PLLeg1dJahHsFqXq7KcY6z9NGPe9IozW9i

【Crash Fever】系列
https://www..com/playlist?list=PLLeg1dJahHsEJNqTRGnoL0YI_hXQ4aECY

【手游試玩】系列
https://www..com/playlist?list=PLLeg1dJahHsGL-_sTWLL1d_klS_eQ3QIf

更多關於-竹子
►Twitter: https://twitter.com/JunoChannel
►Blogger: https://junochannel.blogspot.my/