k8sのエンドポイントへの接続をサービストークン等で保護する

[kory33]

現在、誰でも k8s-api.onp-k8s.admin.seichi.click にTCP接続を(cloudflare経由で)張れるようになっている。(影響範囲が極めて限定的であるとはいえ)k8sのAPIサーバーへのDoS攻撃などを防ぐため、これをサービストークンが無いと接続できないようにしたい。

より具体的には、今の GitHub Actions では

• Cloudflare へのトンネルを張る
• GitHub Actions の secret を TF_VAR_** にセット
• tf apply / tf plan

という流れになっているが、これを

• Cloudflare に(最短でexpireする)サービストークンを発行してもらい、そのサービストークンで k8s-api.onp-k8s.admin.seichi.click に認証できるように設定する
• そのサービストークンを利用してCloudflare へのトンネルを張る
• GitHub Actions の secret を TF_VAR_** にセット
• tf apply / tf plan

という流れにしたい。最初のステップは terraform でやって良いが、最後のステップの tf apply / tf plan とは別のワークスペースに tfstate を置いておく必要がある。多分Terraform Cloudの機能で何とかなる。