В фокусе — Keycloak-образ в нашем облаке, его конфигурация, скрипты автоматизации, настройки ОС. Все остальное, включая DDoS, фишинг и внешние атаки, вне скоупа. Места ограничены: 30 участников и 3 победителя. Регистрация уже открыта, стартуем в октябре — присоединяйтесь и покажите, на что вы способны!
Награды Bug Bounty распределяются так:
1 место: 30 000 бонусных рублей2 место: 20 000 бонусных рублей3 место: 10 000 бонусных рублей
А пока погрузимся в историю
Команда Managed Services в Selectel администрирует инфраструктуру, перенесенную от других провайдеров. Переход на Keycloak начался из-за ограничений support-панели: она не покрывала наши требования по разграничению доступа. Инженеры «висели» в аккаунтах клиентов, что было неудобно.
Команда начала с тестовой инсталляции — подняли ее на Kubernetes c Helm и сразу внесли в Git. Потом занесли все в laC, начали управлять доступами через Terraform.
Так появилась автоматизация: GitLab запускает пайплайн → подключает аккаунт клиента → создает клиента в Keycloak → отдает ссылку на вход.
После первой волны автоматизации возник вопросом: что делать, если инсталляция сломается? Рассмотрели варианты бэкапов: снапшоты дисков, дампы БД, экспорт и импорт realm’ов в JSON. Дальше — репликация. Разнесли Keycloak по зонам в кластере, добавили две реплики и подумали о том, как грамотно настроить политики, группы, 2FA. Документацию пишем сами.
Чтобы упростить доступ, команда собрала внутренний лендинг. Он автоматически подгружает сгенерированные ссылки на вход в Keycloak для разных клиентов.
Как устроено под капотом
Мы сделали образ Keycloak в облаке Selectel. Он содержит docker-compose c Keycloak, Postgres, Nginx и скриптами бэкапов. Настраивается через cloud-init: все подставляется из user-data. Поддержка cron-задач, логика запуска, безопасность по умолчанию. Образ рассчитан на стабильную работу из коробки.
Внутри образа Nginx работает как обратный прокси, Certbot выпускает сертификаты. Есть cron-задачи для обновлений и создания дампов. Закрытые URL’ы, доступ по white-list — ради безопасности админского контура. Настройка происходит автоматически при запуске образа.
Источник: habr.com