Как развернуть поставщика услуг shibboleth в среде Kubernetes?

Я пытаюсь настроить поставщика услуг shibboleth в среде kubernetes.

В среде без докера службы apache2 и shibd не запускают один и тот же сервер, а apache2 взаимодействует с shibd с помощью модуля apache mod_shib (поправьте меня, если я ошибаюсь)

Можно ли развернуть поставщика услуг shibboleth в отдельном контейнере и apache в отдельном контейнере? Если да, кто-нибудь уже делал это? Документы есть?

Потому что у меня уже есть модули, работающие в моей среде. Один для apache, а другой для весеннего загрузочного приложения Java. Apache действует как обратный прокси-сервер для моего Java-приложения.

Теперь я просто хочу развернуть еще один контейнер для шибболета, возможно ли это?


kubernetes docker single-sign-on shibboleth shibboleth-sp
person karthikeayan    schedule 24.05.2019    source источник

Ответы (1)


arrow_upward
1
arrow_downward

Shibboleth должен быть установлен внутри самого apache.

Так что нет, вы не можете отделить контейнер shibboleth от контейнера apache.

Ваше предположение верно, у вас apache общается с mod_shib.

У вас есть три варианта,

  1. Используйте готовый образ docker для shibboleth — например, этот.

Проблема в том, что вам нужно самостоятельно настроить все остальное, связанное с apache.

  1. Используйте два отдельных экземпляра Apache, один для передачи прокси, а другой для установки shibboleth.

Поскольку вы хотите установить shibboleth SP, вы можете попытаться передать через прокси защищенное местоположение, например /secure, в обратном прокси-сервере apache, чтобы shibboleth установил apache.

Таким образом, вы можете разделить обратный прокси-сервер и shibboleth SP в отдельный контейнер, но вы можете добавить немного накладных расходов для нескольких прокси-серверов. Тем не менее, я не вижу слишком много накладных расходов.

  1. Стройте самостоятельно. Выполните эти шаги.

Shibboleth в Linux поддерживается только в дистрибутиве на основе RPM. Вам нужно изменить shibboleth2.xml. Добавьте файл метаданных или URL-адрес для IdP. Некоторые сертификаты тоже.

Вы также можете комбинировать этот вариант с первыми двумя.

person Akshay    schedule 25.05.2019
comment
У меня было приложение Angular в другом контейнере. Как я могу указать это приложение на контейнер Shibboleth SP. Я не хочу устанавливать Shibboleth SP в каждый отдельный контейнер, где хранится мое приложение. Спасибо. - person daniel8x; 03.08.2019
comment
Подойдет одиночный другой контейнер для SP. Вам нужно будет сопоставить URL-адрес или, скорее, конкретный путь/местоположение в apache/nginx/etc с контейнером SP и другим трафиком для углового приложения. - person Akshay; 05.08.2019
comment
Это именно то, где я застрял. у меня было: приложение angular + Nginx (1 контейнер — example.com/ang-app). Shibboleth SP + Apache (1 контейнер — example.com). Всякий раз, когда я нажимаю приложение angular, я действительно хочу, чтобы оно сначала попало в контейнер SP. но его не бывает. У меня действительно нет идеала, как это сделать? у вас есть какие-либо предложения. Спасибо. - person daniel8x; 06.08.2019