L’article présente talosctl-oidc, un outil conçu pour simplifier l’authentification sur Talos Linux, un système d’exploitation minimaliste pour Kubernetes. L’auteur souligne les limites du système actuel basé sur des certificats mTLS (mutual TLS), qui impose une gestion manuelle fastidieuse des accès, notamment dans un contexte d’équipe. Plutôt que de régénérer manuellement des certificats pour chaque utilisateur, l’outil propose une solution intégrant l’OIDC (OpenID Connect) via un serveur d’échange de certificats, permettant une authentification centralisée via un fournisseur d’identité comme Authentik ou Keycloak.
Le fonctionnement repose sur un serveur intermédiaire qui génère des certificats Talos temporaires à partir des identités validées par l’OIDC. L’article détaille les étapes techniques, de l’installation à la configuration, en passant par la création d’un client OIDC dans l’IdP et la gestion des rôles via RBAC. L’outil automatise également le renouvellement des certificats et simplifie la révocation des accès, évitant ainsi la régénération complète de la CA en cas de départ d’un collaborateur. Cette approche s’inscrit dans une logique de cloud-native, alignée sur les bonnes pratiques modernes d’infrastructure.
Enfin, l’auteur évoque l’absence de solution native pour intégrer l’OIDC directement dans Talos, justifiant ainsi le développement de cet outil open source. Bien que conçu pour des environnements minimalistes ou air-gapped, talosctl-oidc offre une alternative pragmatique aux solutions centralisées comme Omni, tout en restant compatible avec les clusters existants. Le projet illustre une réflexion sur l’automatisation et la sécurité des accès dans les infrastructures Kubernetes.
L'auteur explique comment accéder à distance à un cluster Kubernetes Talos en utilisant un tunnel SSH via la fonctionnalité LocalForward. Après avoir migré d'un cluster K3S vers Talos, il ne pouvait plus se connecter directement au control-plane en SSH, nécessitant une solution alternative.
La solution repose sur l'utilisation d'un conteneur LXC comme machine de rebond, configurée pour rediriger le port 6443 (utilisé par l'API Kubernetes) vers la machine cible. Contrairement à la méthode précédente avec K3S, la redirection ne se fait pas vers localhost mais vers une adresse IP spécifique du réseau local.
Cette astuce permet d'exécuter des commandes comme kubectl ou k9s en local tout en passant par le tunnel SSH, simplifiant ainsi l'accès aux ressources du cluster sans connexion directe au nœud principal.
Découverte de Talos Linux, une distribution innovante dédiée à Kubernetes, axée sur l'immuabilité et la sécurité. Sans SSH ni CLI traditionnelle, elle est entièrement gérée via une API similaire à celle de Kubernetes, utilisant des certificats pour l'authentification. Le blog détaille le déploiement d'un cluster Kubernetes avec 3 nœuds masters et un nœud worker, en utilisant Talosctl. La documentation officielle est saluée pour sa clarté, et les prérequis infrastructurels sont classiques. Un tutoriel pratique avec commandes et captures d'écran est fourni.
Ce billet de blog décrit la mise en place d'un cluster Kubernetes full IPv6 avec Talos OS, un système d'exploitation minimaliste et sécurisé. L'auteur, ayant un /60 IPv6 fourni par son FAI, explique comment configurer Talos pour utiliser uniquement des adresses IPv6, en planifiant des plages IPv6 pour les nodes, les pods et les services. Il détaille les étapes de configuration initiale avec talhelper, un outil facilitant la création de fichiers de configuration Talos, et aborde les problèmes potentiels de DHCPv6 et de résolution de noms. L'article se conclut par des pistes pour améliorer la configuration et des liens vers des ressources supplémentaires.
Dans cet article, Rémi Verchère partage son expérience de création et de gestion de plusieurs clusters Kubernetes Talos sur Docker pour une démo ArgoCD multi-clusters. Il détaille les étapes de configuration réseau, la création des clusters avec des CIDR dédiés, et les défis rencontrés pour assurer la communication inter-clusters. Des scripts d'automatisation et des commandes talosctl sont fournis pour faciliter le processus. Un guide pratique pour ceux qui souhaitent expérimenter des architectures multi-clusters en local.
L'article explique comment étendre les fonctionnalités de Talos, un système d'exploitation minimaliste dédié au déploiement de nœuds Kubernetes. Bien que Talos soit léger, il est conçu pour être extensible via des extensions, permettant d'ajouter des outils ou des fonctionnalités non disponibles par défaut. L'auteur détaille les méthodes pour installer des extensions, soit via une image personnalisée de Talos, soit en spécifiant une image OCI contenant l'extension. Il illustre le processus avec un exemple concret d'installation de l'agent qemu-guest-agent sur des nœuds Talos, en utilisant Proxmox pour l'hébergement. L'article aborde également la création et la gestion des extensions, ainsi que l'injection de configurations spécifiques pour des besoins particuliers
.
L'article explique comment déployer un cluster Kubernetes en utilisant Proxmox, OpenTofu, et Talos Linux. Il décrit les étapes pour configurer l'environnement, créer des machines virtuelles, et appliquer les configurations nécessaires pour initialiser le cluster Kubernetes. L'article met en avant les avantages de Talos Linux, un système d'exploitation sécurisé et immuable conçu pour Kubernetes, et montre comment utiliser OpenTofu pour automatiser le processus de déploiement. Il inclut également des exemples de code et des conseils pratiques pour gérer le cluster une fois déployé.
Omni est une application qui permet de gérer des machines Talos sur diverses plateformes, facilitant la création et la gestion de clusters Kubernetes. Elle utilise un réseau VPN Wireguard pour authentifier et piloter les machines Talos, simplifiant ainsi l'infrastructure Kubernetes. Omni permet également de créer des templates de clusters pour automatiser le déploiement de machines virtuelles, notamment avec Kubevirt. Cependant, Omni présente des limitations, notamment l'absence de gestion automatisée des infrastructures cloud. L'intégration de Kubevirt permet de créer des VMs sur un cluster Kubernetes, mais nécessite une configuration spécifique, incluant l'installation de Kubevirt, CDI, et LocalPathProvisioner.
Tout est dans le titre
L'auteur a gagné un an d’abonnement au SaaS de Sidero Labs (les créateurs de Talos Linux), Omni. Omni est une solution de déploiement de clusters Kubernetes qui permet d’orchestrer des serveurs sous Talos, un Linux dédié à Kubernetes.
Comme Oracle Cloud propose un free tier et comme Talors / Omni supportent Oracle Cloud, l'auteur montre comment déployer Talos Linux sur Oracle Cloud.
Résumé de 4 conférences :
- Faut-il avoir peur de l’IA ?
- Talos chez Ubisoft : serveurs de jeux & plateforme Serverless
- Si j’étais un hacker, comment est-ce que je prendrais le contrôle de votre cluster Kubernetes ?
- Découvrir Pulumi par la pratique
Tout est dans le titre