Cluster Kubernetes ICSC: RKE2 HA, Ceph e OIDC (38 chars)

Generated from prompt:

Presentazione tecnica sul cluster Kubernetes (RKE2) per il progetto ICSC **Slide 1 – Titolo** **Configurazione del cluster Kubernetes ICSC** Implementazione RKE2 con HA, storage Ceph e autenticazione OIDC **Slide 2 – Architettura del Cluster** - 3 nodi controller (VM su Proxmox VE) - 4 nodi worker bare metal - Installazione RKE2 tramite modulo Puppet del backbone INFN (Diego Michelotto) - Gestione centralizzata via Puppet **Slide 3 – Storage** - Storage Ceph in produzione (Tier-2 Roma) - StorageClass: `ceph-rbd-csi` - Integrazione nativa con Kubernetes per provisioning dinamico **Slide 4 – Capsule: Multi-Tenancy e Autorizzazione** - Capsule installato via Helm - Gestisce multi-tenancy e isolamento tra tenant - Autenticazione via INFN IAM (OIDC) - Autorizzazione basata su gruppi IAM e Capsule Tenants **Slide 5 – OIDC Authentication Flow** - Configurazione OIDC su API Server (issuer: `iam.cloud.infn.it`) - `oidc-agent` per generazione token - Accesso tramite `kubectl --token=$token` - Tenant “users” per test autorizzazione **Slide 6 – Kube-VIP e Alta Affidabilità** - Kube-VIP installato come DaemonSet su nodi controller - Fornisce Virtual IP condiviso per HA API Server - Integrato con RKE2 tramite manifest automatico **Slide 7 – Risultati e Test** - Cluster completamente operativo con HA e multi-tenancy - Autenticazione e autorizzazione tenant-based funzionanti - Storage Ceph integrato e validato **Slide 8 – Schema Complessivo (diagramma)** [Diagramma architettura: Controller HA + Worker + Ceph + Capsule + IAM] **Stile:** tecnico-professionale, sfondo scuro, elementi visivi schematici, in italiano.

Configurazione cluster RKE2 per ICSC con 3 controller HA (Proxmox), 4 worker bare metal, storage Ceph (Tier-2 Roma), multi-tenancy Capsule, auth OIDC INFN IAM e Kube-VIP. Cluster operativo e testato.

December 15, 20258 slides
Slide 1 of 8

Slide 1 - Slide 1 – Titolo

This title slide introduces the configuration of the ICSC Kubernetes cluster. It features the implementation of RKE2 with high availability (HA), Ceph storage, and OIDC authentication.

Configurazione del cluster Kubernetes ICSC

Implementazione RKE2 con HA, storage Ceph e autenticazione OIDC

Source: Progetto ICSC

Speaker Notes
Presentazione tecnica sul cluster Kubernetes (RKE2) per il progetto ICSC
Slide 1 - Slide 1 – Titolo
Slide 2 of 8

Slide 2 - Architettura del Cluster

The cluster architecture consists of 3 controller nodes as VMs on Proxmox VE and 4 bare metal worker nodes. RKE2 is installed via the INFN Puppet module (by Diego Michelotto), with centralized management through Puppet.

Architettura del Cluster

  • 3 nodi controller (VM su Proxmox VE)
  • 4 nodi worker bare metal
  • Installazione RKE2 tramite modulo Puppet INFN (Diego Michelotto)
  • Gestione centralizzata via Puppet

Source: Presentazione tecnica sul cluster Kubernetes (RKE2) per il progetto ICSC

Slide 2 - Architettura del Cluster
Slide 3 of 8

Slide 3 - Storage

The slide covers Ceph storage in production at Tier-2 Roma, utilizing the StorageClass ceph-rbd-csi. It emphasizes native Kubernetes integration for dynamic provisioning.

Storage

  • Storage Ceph in produzione (Tier-2 Roma)
  • StorageClass: ceph-rbd-csi
  • Integrazione nativa con Kubernetes per provisioning dinamico

Source: Presentazione tecnica sul cluster Kubernetes (RKE2) per il progetto ICSC

Slide 3 - Storage
Slide 4 of 8

Slide 4 - Capsule: Multi-Tenancy e Autorizzazione

Capsule is installed via Helm and manages multi-tenancy with isolation between tenants. It handles authentication through INFN IAM (OIDC) and authorization based on IAM groups and Capsule Tenants.

Capsule: Multi-Tenancy e Autorizzazione

  • Capsule installato via Helm
  • Gestisce multi-tenancy e isolamento tra tenant
  • Autenticazione via INFN IAM (OIDC)
  • Autorizzazione basata su gruppi IAM e Capsule Tenants

Source: Presentazione tecnica sul cluster Kubernetes (RKE2) per il progetto ICSC

Slide 4 - Capsule: Multi-Tenancy e Autorizzazione
Slide 5 of 8

Slide 5 - OIDC Authentication Flow

The slide depicts the OIDC Authentication Flow for an RKE2 Kubernetes cluster in four steps: configuring OIDC on the API Server with issuer iam.cloud.infn.it, generating a token via oidc-agent, accessing the cluster using kubectl with the token, and testing authorizations on the "users" Capsule Tenant.

OIDC Authentication Flow

{ "headers": [ "Passo", "Descrizione", "Strumenti/Comandi" ], "rows": [ [ "1. Configurazione OIDC", "Configurazione OIDC sull'API Server del cluster RKE2", "issuer: iam.cloud.infn.it" ], [ "2. Generazione Token", "Utilizzo oidc-agent per ottenere il token OIDC", "oidc-agent" ], [ "3. Accesso al Cluster", "Connessione al Kubernetes API Server", "kubectl --token=$token" ], [ "4. Test Autorizzazione", "Verifica autorizzazioni sul tenant dedicato", "Capsule Tenant \"users\"" ] ] }

Source: Presentazione tecnica sul cluster Kubernetes (RKE2) per il progetto ICSC

Speaker Notes
- Configurazione OIDC su API Server (issuer: iam.cloud.infn.it) - oidc-agent per generazione token - Accesso tramite kubectl --token=$token - Tenant “users” per test autorizzazione
Slide 5 - OIDC Authentication Flow
Slide 6 of 8

Slide 6 - Kube-VIP e Alta Affidabilità

Kube-VIP is installed as a DaemonSet on controller nodes, providing a shared Virtual IP for the HA API Server. It integrates automatically with RKE2 via manifest, guaranteeing high reliability for the cluster.

Kube-VIP e Alta Affidabilità

  • Kube-VIP installato come DaemonSet su nodi controller
  • Virtual IP condiviso per HA API Server
  • Integrazione automatica con RKE2 via manifest
  • Alta affidabilità garantita per il cluster

Source: Presentazione tecnica sul cluster Kubernetes (RKE2) per il progetto ICSC

Slide 6 - Kube-VIP e Alta Affidabilità
Slide 7 of 8

Slide 7 - Risultati e Test

The "Risultati e Test" slide reports 100% success across three key stats. It highlights a fully functional HA and multi-tenancy cluster, working OIDC-based tenant authentication, and successfully integrated Ceph storage.

Risultati e Test

  • 100%: Cluster Operativo
  • HA e multi-tenancy fully functional

  • 100%: Autenticazione Tenant
  • OIDC-based auth working

  • 100%: Storage Ceph

Integrated and validated successfully Source: Progetto ICSC - Cluster Kubernetes RKE2

Speaker Notes
Cluster completamente operativo con HA e multi-tenancy. Autenticazione e autorizzazione tenant-based funzionanti. Storage Ceph integrato e validato.
Slide 7 - Risultati e Test
Slide 8 of 8

Slide 8 - Schema Complessivo

The slide "Schema Complessivo" diagrams an overall cluster architecture. It includes 3 HA controller nodes on Proxmox VMs, 4 bare metal worker nodes, Ceph storage with dynamic CSI, and Capsule + OIDC IAM for multi-tenancy.

Schema Complessivo

!Image

  • Controller HA: 3 nodi VM Proxmox
  • Worker: 4 nodi bare metal
  • Storage Ceph con CSI dinamico
  • Capsule + IAM OIDC multi-tenancy

Source: Diagramma architettura cluster Kubernetes RKE2 ICSC

Speaker Notes
Diagramma architettura: Controller HA + Worker + Ceph + Capsule + IAM
Slide 8 - Schema Complessivo

Discover More Presentations

Explore thousands of AI-generated presentations for inspiration

Browse Presentations
Powered by AI

Create Your Own Presentation

Generate professional presentations in seconds with Karaf's AI. Customize this presentation or start from scratch.

Create New Presentation

Powered by Karaf.ai — AI-Powered Presentation Generator