This title slide introduces the configuration of the ICSC Kubernetes cluster. It features the implementation of RKE2 with high availability (HA), Ceph storage, and OIDC authentication.

Configurazione del cluster Kubernetes ICSC

Implementazione RKE2 con HA, storage Ceph e autenticazione OIDC

Source: Progetto ICSC

The cluster architecture consists of 3 controller nodes as VMs on Proxmox VE and 4 bare metal worker nodes. RKE2 is installed via the INFN Puppet module (by Diego Michelotto), with centralized management through Puppet.

Architettura del Cluster

• 3 nodi controller (VM su Proxmox VE)
• 4 nodi worker bare metal
• Installazione RKE2 tramite modulo Puppet INFN (Diego Michelotto)
• Gestione centralizzata via Puppet

Source: Presentazione tecnica sul cluster Kubernetes (RKE2) per il progetto ICSC

The slide covers Ceph storage in production at Tier-2 Roma, utilizing the StorageClass ceph-rbd-csi. It emphasizes native Kubernetes integration for dynamic provisioning.

Storage

• Storage Ceph in produzione (Tier-2 Roma)
• StorageClass: ceph-rbd-csi
• Integrazione nativa con Kubernetes per provisioning dinamico

Source: Presentazione tecnica sul cluster Kubernetes (RKE2) per il progetto ICSC

Capsule is installed via Helm and manages multi-tenancy with isolation between tenants. It handles authentication through INFN IAM (OIDC) and authorization based on IAM groups and Capsule Tenants.

Capsule: Multi-Tenancy e Autorizzazione

• Capsule installato via Helm
• Gestisce multi-tenancy e isolamento tra tenant
• Autenticazione via INFN IAM (OIDC)
• Autorizzazione basata su gruppi IAM e Capsule Tenants

Source: Presentazione tecnica sul cluster Kubernetes (RKE2) per il progetto ICSC

The slide depicts the OIDC Authentication Flow for an RKE2 Kubernetes cluster in four steps: configuring OIDC on the API Server with issuer iam.cloud.infn.it, generating a token via oidc-agent, accessing the cluster using kubectl with the token, and testing authorizations on the "users" Capsule Tenant.

OIDC Authentication Flow

{ "headers": [ "Passo", "Descrizione", "Strumenti/Comandi" ], "rows": [ [ "1. Configurazione OIDC", "Configurazione OIDC sull'API Server del cluster RKE2", "issuer: iam.cloud.infn.it" ], [ "2. Generazione Token", "Utilizzo oidc-agent per ottenere il token OIDC", "oidc-agent" ], [ "3. Accesso al Cluster", "Connessione al Kubernetes API Server", "kubectl --token=$token" ], [ "4. Test Autorizzazione", "Verifica autorizzazioni sul tenant dedicato", "Capsule Tenant \"users\"" ] ] }

Source: Presentazione tecnica sul cluster Kubernetes (RKE2) per il progetto ICSC

Kube-VIP is installed as a DaemonSet on controller nodes, providing a shared Virtual IP for the HA API Server. It integrates automatically with RKE2 via manifest, guaranteeing high reliability for the cluster.

Kube-VIP e Alta Affidabilità

• Kube-VIP installato come DaemonSet su nodi controller
• Virtual IP condiviso per HA API Server
• Integrazione automatica con RKE2 via manifest
• Alta affidabilità garantita per il cluster

Source: Presentazione tecnica sul cluster Kubernetes (RKE2) per il progetto ICSC

The "Risultati e Test" slide reports 100% success across three key stats. It highlights a fully functional HA and multi-tenancy cluster, working OIDC-based tenant authentication, and successfully integrated Ceph storage.

Risultati e Test

• 100%: Cluster Operativo

HA e multi-tenancy fully functional

• 100%: Autenticazione Tenant

OIDC-based auth working

• 100%: Storage Ceph

Integrated and validated successfully Source: Progetto ICSC - Cluster Kubernetes RKE2

The slide "Schema Complessivo" diagrams an overall cluster architecture. It includes 3 HA controller nodes on Proxmox VMs, 4 bare metal worker nodes, Ceph storage with dynamic CSI, and Capsule + OIDC IAM for multi-tenancy.

Schema Complessivo

!Image

• Controller HA: 3 nodi VM Proxmox
• Worker: 4 nodi bare metal
• Storage Ceph con CSI dinamico
• Capsule + IAM OIDC multi-tenancy

Source: Diagramma architettura cluster Kubernetes RKE2 ICSC