а то

кубер - это вечная бета

еще лет 5

потому что оператор очень сырой. Сомневаюсь что он продакшн реди

Господа, а подскажите, пожалуйста. Хочется странного - на своей инфраструктуре чего-то вроде sts, для того, чтобы аутентифицировать сервисы с сервисами. Накидайте, пожалуйста, кейвордов, с чего начать?

Т.е. идеально, если у меня будет крутиться какой-то сервис (не в терминах куба сервис, да), который будет смотреть в апи куба и выдавать токены в зависимости от того, кто к нему обратился. Без какой-то дополнительной аутентификации, чтобы не создавать проблему курицы и яйца (нам нужен токен, чтобы получить токен, чтобы...)

Накидайте ключевых слов, пожалуйста, наверняка не я первый сталкиваюсь с такой задачей :)

Весьма желательно, чтобы это масштабировалось и за пределы куба втч, ну и интегрировалось с тем же кейклоаком например.

vault, approle

это первое что мне пришло в голову

+

вообще вторая история - это сервис-меш

который умеет масштабироваться за пределы куба и предлагает взаимную аутентификацию-авторизацию агентов внутри себя на автомате

vault же хранилище секретов, ну и скорее он прикручивается к oidc, а не наоборот

Т.е. не oidc должен быть получается источником правды о доступах, а vault?

эм

approle посмотрю

oidc тут при чем вообще

Ну я пока разбираю проблематику и пытаюсь построить что-то из этих кирпичиков, может путаю чего, сильно не пинайте :)

тебе киклоака в случае сервис меш не нужна вроде как

посмотри доки на consul service mesh, istio, что там еще модно

Ну и пользователей мне тоже хотелось бы аутентифицировать. Есть ли смысл так сильно разносить эти два механизма?

вообще есть разница

пользователи на edge аутентифицируются