K8S安全认证

最新推荐文章于 2025-04-26 20:33:51 发布
最新推荐文章于 2025-04-26 20:33:51 发布
阅读量867 收藏 21
点赞数 14
文章标签: kubernetes 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_78530830/article/details/146397587
版权

一。用户认证的基本框架

在K8S集群中,客户端通常有两类:

1.User Account:一般独立于K8S之外的其他服务管理的用过户账号

2.Service Account:K8S管理的账号,用于为Pod中的服务进程在访问K8S提供身份标识

ApiServer是访问及管理资源对象的唯一入口,任何一个请求访问ApiServer,都要经过以下三个过程

1.authentication(认证):身份鉴别,只有正确的账号才能通过认证

2.authorization(授权):判断用户是否有权限对访问的资源执行特定的动作 

3.admission control(准入控制):用于补充授权机制以实现更精细的控制访问控制功能

二。认证管理:

K8S集群安全的关键在于如何识别并认证客户端的身份,他提供了客户端3种认证方式:

1.HTTP bash认证:通过用户名+密码的认证方式

2.HTTP Token认证:通过一个Token来识别合法用户

3.HTTPS证书认证:基于CA根证书签名的双向数字认证的认证方式

注释:K8S配置了多种认证方式,只要其中一种通过即可

三。授权管理:

授权发生在认证成功之后,通过了认证就可以知道请求用户是谁,然后K8S会根据事先定义的授权的授权策略来决定用户是否具有访问权限:

API Server目前常见的授权策略:

1.AlwaysDeny:表示拒绝所有请求,一般用户测试

2.AlwaysAllow:允许接受所有请求,相当于集群不需要授权流程

3.ABAC:基于属性的访问控制,表示使用用户配置的授权配置的授权规则对用户请求匹配和控制

4.Webhook:通过调用外部REST服务进行授权

5.Node:是一种专用的模式,用于对K8S发出的请求进行访问控制

6.RBAC:基于角色的访问控制

其中涉及了以下概念:

对象:User,Group,ServiceAccount

角色:代表着一组定义的资源上的课操作的动作集合

绑定:将定义好的角色和用户绑定到一起

四。操作方式:

使用apiserver证书去签署:

1.cd /etc/kubernetes/pki:进入目录

2.(umask 077;openssl genrsa -out devman.key 2048)

genrsa 是 openssl 的一个子命令,用于生成 RSA 私钥。-out devman.key 指定将生成的私钥保存到 devman.key 文件中,2048 表示私钥的长度为 2048 位

3.openssl req -new -key devman.key -out devman.csr -subj "/CN=devman/O=devgroup"

对于证书devman.csr提供私钥,subj "/CN=devman/O=devgroup"-subj 选项用于指定 CSR 的主题信息。CN 表示通用名称(Common Name),这里设置为 devmanO 表示组织(Organization),这里设置为 devgroup
4.openssl x509 -req -in devman.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out devman.csr -days 365

penssl x509x509 子命令用于处理 X.509 证书,-req:表示输入是一个 CSR,-in devman.csr:指定输入的 CSR 文件为 devman.csrCA ca.crt:指定使用的 CA(证书颁发机构)证书文件为 ca.crt,-CAkey ca.key:指定使用的 CA 私钥文件为 ca.key,-CAcreateserial:如果 CA 证书的序列号文件不存在,会自动创建一个-days 365:指定生成的证书的有效期为 365 天。

5.kubectl config set-cluster kubernetes --embed-certs=true --certificate-authority=/etc/kubernetes/pki/ca.crt --server=https://192.168.142.133:6443

kubectl config set-credentials:用于配置 Kubernetes 用户的认证信息,devman:指定用户的名称为 devman,--embed-certs=true:同样表示将证书信息嵌入到 kubeconfig 文件中,-client-certificate=/etc/kubernetes/pki/devman.csr:这里应该是 --client-certificate=/etc/kubernetes/pki/devman.crt,因为客户端证书应该是经过 CA 签名后的证书文件(.crt 扩展名),而不是 CSR 文件。指定用于客户端认证的证书文件路径,--client-key=/etc/kubernetes/pki/devman.key:指定用于客户端认证的私钥文件路径。

6.kubectl config set-credentials devman --embed-certs=true --client-certificate=/etc/kubernetes/pki/devman.csr --client-key=/etc/kubernetes/pki/devman.key 

kubectl config set-context:用于配置 Kubernetes 的上下文信息,上下文定义了集群、用户和命名空间的组合,devman@kubernetes:指定上下文的名称为 devman@kubernetes,--cluster=kubernetes:指定该上下文使用的集群为之前配置的 kubernetes 集群,--user=devman:指定该上下文使用的用户为之前配置的 devman 用户。

7.kubectl config set-context devman@kubernetes --cluster=kubernetes --user=devman 

8.kubectl config use-context devman@kubernetes:切到devman的身份

注释:kubectl config use-context kubernetes-admin@kubernetes:切换回管理员

9.vi devman.yml

10.kubectl apply -f devman.yml

测试:切换回devman身份进行获取pod值

Justice link
关注
K8S 安全认证
elihe2011的专栏
12-27 4063
1. 安全机制 1.1 认证 (Authentication) 1.1.1 认证方式 HTTP Token:Authorization: Bearer $TOKEN HTTP Basic: Authorization: Basic $(base64encode USERNAME:PASSWORD), HTTPS: 基于CA根证书签名的客户端身份认证方式(推荐) 证书颁发: 手动签发:通过k8s集群的根 ca 进行签发 HTTPS 证书 自动签发:kubelet 首次访问 API Serv
k8s安全认证
杨海吉
01-31 546
Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。所谓的安全性其实就是保证对Kubernetes的各种客户端进行认证和鉴权操作。客户端:一般是独立于kubernetes之外的其他服务管理的用户账号。:kubernetes管理的账号,用于为Pod中的服务进程在访问Kubernetes时提供身份标识。认证、授权与准入控制ApiServer是访问及管理资源对象的唯一入口。Authentication(认证):身份鉴别,只有正确的账号才能够通过认证。
k8s--安全认证
m0_74091945的博客
09-13 1192
Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。所谓的安全性其实就是保证对Kubernetes的各种客户端进行认证和鉴权操作。客户端:一般是独立于kubernetes之外的其他服务管理的用户账号。:kubernetes管理的账号,用于为Pod中的服务进程在访问Kubernetes时提供身份标识。认证、授权与准入控制ApiServer是访问及管理资源对象的唯一入口。Authentication(认证):身份鉴别,只有正确的账号才能够通过认证。
k8s安全认证
m0_53157173的博客
09-05 869
kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。所谓的安全性其实就是保证对kubernetes的各种客户端进行认证和授权操作。kubernetes允许同时配置多种认证方式,只要其中任意一种方式认证通过即可。● 授权发生在认证成功之后,通过认证就可以知道请求用户是谁,然后kubernetes会根据事先定义的授权策略来决定用户是否有权限访问,这个过程就称为授权。
Kubernetes那点事儿——k8s安全认证
liangpangpangyo的博客
03-04 1408
要允许这些插件组件以超级用户权限运行,需要将集群的 cluster-admin 权限授予 kube-system 名字空间中的 “ServiceAccount” 服务账户。Adminssion Control实际上是一个准入控制器插件列表,发送到API server的请求都需要经过这个列表中的每个准入控制器插件的检查,检查不通过,则拒绝请求。RBAC(Role-Based Access Control,基于角色的访问控制),允许通过Kubernetes API动态配置策略。
K8S——安全机制
rmh0713的博客
06-05 877
默认情况下,每个 namespace 都会有一个 Service Account,如果 Pod 在创建时没有指定 Service Account,就会使用 Pod 所属的 namespace 的 Service Account。比如 kubectl 如果想向 API Server 请求资源,需要过三关,第一关是认证(Authentication),第二关是鉴权(Authorization), 第三关是准入控制(Admission Control),只有通过这三关才可能会被 K8S 创建资源。
k8s - 安全认证(RBAC)
栋院
03-18 3101
api server 是集群访问控制的统一入口 k8s认证过程: 认证 -> 授权 - > 准入控制 (adminationcontroller) 1 认证()是对客户端的认证,简单说就是账户密码 2 授权()是资源的授权,容器、网络、存储资源的权限 3 准入机制 准入控制器位于api server ,在对象被持久化之前,准入控制器拦截对api server 的请求,一般用来做认证和授权。其中包括连个控制器: MutatingAdmissionWebhook 和 Validating
九、k8s 安全认证
青梅煮酒
01-06 526
Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。所谓的安全性其实就是保证对Kubernetes的各种客户端进行认证和鉴权操作。客户端User Account:一般是独立于kubernetes之外的其他服务管理的用户账号。Service Account:kubernetes管理的账号,用于为Pod中的服务进程在访问Kubernetes时提供身份标识。认证、授权与准入控制ApiServer是访问及管理资源对象的唯一入口。
K8S安全认证
Learning_xzj的博客
08-28 983
Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。所谓的安全性其实就是保证对Kubernetes的各种客户端进行认证和鉴权操作。客户端:一般是独立于kubernetes之外的其他服务管理的用户账号。:kubernetes管理的账号,用于为Pod中的服务进程在访问Kubernetes时提供身份标识。认证、授权与准入控制ApiServer是访问及管理资源对象的唯一入口。Authentication(认证):身份鉴别,只有正确的账号才能够通过认证。...
Kubernetes/K8S CKS安全专家认证实践(2023年新课,基于k8s 1.26版本)
05-29
分享一套cks课程——Kubernetes/K8S CKS安全专家认证实践(2023年新课,基于k8s 1.26版本)
KubernetesK8s CKA 认证实战班(K8s运维工程师,第9期,v1.23版本,2022年7月完结新课)
12-27
Kubernetes & K8s CKA 认证实战班】是专为Kubernetes运维工程师设计的一门实战课程,旨在帮助学员深入理解Kubernetes (K8s) 的核心概念、架构和管理技巧,并通过CKA(Certified Kubernetes Administrator)认证...
【3】CICD持续集成-k8s集群中安装Jenkins-agent(主从架构)
weixin_43063624的博客
04-23 1202
LABEL maintainer rider # 指定域名解析服务 RUN echo "nameserver 8.8.8.8" >> /etc/resolv.conf # 修改centos镜像仓库地址(先备份再拷贝) RUN mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.bak。
当JIT遇见K8s
最新发布
2401_86478612的博客
04-26 686
在云原生技术栈中,KubernetesK8s)已成为容器编排的事实标准,而即时编译(Just-In-Time Compilation, JIT)作为动态优化的核心技术,正与容器化基础设施碰撞出新的效能火花。两者的结合不仅重构了应用性能优化的路径,更催生了自适应资源编排与运行时智能调优的融合范式。K8s通过弹性伸缩(HPA/VPA)、服务质量(QoS)分级以及精细化资源配额管理,实现了对容器化应用的动态资源分配。例如,阿里云ACK(容器服务Kubernetes版)基于ECS和ESS构建的弹性架构,能够根据负
k8s】sidecar边车容器
2303_78135757的博客
04-25 766
Kubernetes 提供了丰富的工具和机制来支持 Sidecar 模式的实现,例如 ConfigMap、Secret 等资源可以用于配置 Sidecar 的行为,而 Service 和 Ingress 等资源可以用于实现 Sidecar 之间的通信。Sidecar 的名称来源于摩托车的边车,它与摩托车紧密相连,为主车提供额外的功能和辅助支持。通过将关键功能(如日志收集、监控等)分离到 Sidecar 中,即使主应用程序出现故障,这些功能仍然可以正常运行,从而提高了系统的整体可靠性。
kubernetes》》k8s》》证书有效期
u013400314的博客
04-23 317
通常,Kubernetes的证书是由kubeadm生成的,所以可能需要修改kubeadm的源码或者配置。
Ubuntu K8s集群安全加固方案
lswzw的博客
04-24 577
在Ubuntu系统上部署Kubernetes集群时,若服务器拥有外网IP,需采取多层次安全防护措施以确保集群安全。本方案通过系统防火墙配置、TLS通信启用、网络策略实施和RBAC权限控制四个核心层面,构建安全Kubernetes环境。安全防护不应仅停留在单点措施,而应形成纵深防御体系,从物理主机到集群控制面再到应用层进行全面保护。在生产环境中,需确保所有安全配置均符合最小权限原则,并定期进行审计与监控。Ubuntu服务器作为Kubernetes集群节点,其基础系统安全至关重要。首先,需确保系统时间同步,这
k8s系列7】完结篇-kubeadm搭建Kubernetes高可用集群-三主两从
晨埃
04-23 214
结合前面的章节,这里需要5台机器,可以先创建一台虚拟机作为基础虚拟机。优先把5台机器的公共部分优先在一台机器上配置好。,之后又要输入密码,这个密码就是那台机器的登录密码。3、防火墙设置、SELINUX设置、时间同步配置。1、在master01和master02上安装。6、安装ipset及ipvsadm。2、HAProxy配置及启动。5、配置内核转发及网桥过滤。2、主机名宇IP地址解析。1、修改每台机的静态IP。2、设置每台机器的主机名。1、配置好静态IP地址。4、升级系统操作内核。8、Docker准备。
k8s中资源的介绍及标准资源namespaces实践
chenliang
04-26 460
kubernetes中的资源(resources)介绍、标准资源namespaces实践、基于namespaes资源对象实践理解labels
k8s部署安全认证kafka
07-30
Kubernetes (k8s) 部署安全认证 Kafka 主要有以下几个步骤,通常会涉及到使用 TLS/TCP 安全连接和基于角色的访问控制(RBAC): 1. **启用TLS**:为了保护 Kafka 的通信,你需要配置每个 Kafka 节点和客户端之间的 SSL/TLS 连接。这包括生成SSL证书、配置server.properties文件中的SSL Keystore和Truststore。 - 生成证书:使用`openssl`命令行工具创建Keystore和Truststore。 - 配置Kafka broker:设置`listeners`参数为内网和外网的TLS端口,例如`ssl://0.0.0.0:9094`。 2. **RBAC配置**:在 Kubernetes 中,使用Role-Based Access Control (RBAC) 确保只有授权的Pod能够访问Kafka。创建ServiceAccount、Role和RoleBinding,允许Kafka消费者和生产者服务的Pod访问Kafka服务。 3. **Kafka Connect**:如果你使用了Kafka Connect,也需要同样的安全配置。Connect运行时需要访问Kafka集群,所以也需要相应的认证信息。 4. **环境变量传递**:将SSL证书路径作为环境变量传递给运行Kafka的应用,如Kafka消费者和生产者的Pod。 5. **验证客户端连接**:客户端需要提供正确的证书和私钥才能连接到Kafka服务器,这样才能通过SSL握手完成连接。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值