【kubernetes】安全机制

最新推荐文章于 2024-06-05 17:23:25 发布
最新推荐文章于 2024-06-05 17:23:25 发布
阅读量237 收藏
点赞数
文章标签: kubernetes 安全 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_76824193/article/details/132394663
版权

目录

安全机制

认证(Authentication)

鉴权(Authorization)

准入控制(Admission Control)

实践

安全机制

机制说明
Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介, 也是外部控制的入口。所以 Kubernetes 的安全机制基本就是围绕保护 API Server 来设计的。
比如 kubectl 如果想向 API Server 请求资源,需要过三关,第一关是认证(Authentication),第二关是鉴权(Authorization), 第三关是准入控制(Admission Control),只有通过这三关才可能会被 K8S 创建资源。


认证(Authentication)

●HTTP Token 认证:通过一个 Token 来识别合法用户
HTTP Token 的认证是用一个很长的特殊编码方式的并且难以被模仿的 Token 字符串来表达客户的一种方式。Token 是一个很长的很复杂的字符串,每一个 Token 对应一个用户名存储在 API Server 能访问的文件中。当客户端发起 API 调用请求时,需要在 HTTP Header 里放入 Token。

●HTTP Base 认证:通过用户名+密码的方式认证
用户名:密码 用 BASE64 算法进行编码后的字符串放在 HTTP Request 中的 Heather Authorization 域里发送给服务端, 服务端收到后进行解码,获取用户名及密码。

●HTTPS 证书认证(最严格):基于 CA 根证书签名的客户端身份认证方式。

#注:Token 认证和 Base 认证方式只能进行服务端对客户端的单向认证,而客户端不知道服务端是否合法;而 HTTPS 证书认证方式 则可以实现双向认证。


(1)需要被认证的访问类型:
●Kubernetes 组件对 API Server 的访问:kubectl、kubelet、kube-proxy
●Kubernetes 管理的 Pod 对 API Server 的访问:Pod(coredns,dashborad 也是以 Pod 形式运行)

(2)安全性说明:
●Controller Manager、Scheduler 与 API Server 在同一台机器,所以直接使用 API Server 的非安全端口访问(比如 8080 端口)
●kubectl、kubelet、kube-proxy 访问 API Server 就都需要证书进行 HTTPS 双向认证,端口号使用 6443

(3)证书颁发:
●手动签发:使用二进制部署时,需要先手动跟 CA 进行签发 HTTPS 证书
●自动签发:kubelet 首次访问 API Server 时,使用 token 做认证,通过后,Controller Manager 会为 kubelet 生成一个证书, 以后的访问都是用证书做认证了

(4)kubeconfig
kubeconfig 文件包含集群参数(CA 证书、API Server 地址),客户端参数(上面生成的证书和私钥),集群 context 上下文参数 (集群名称、用户名)。Kubenetes 组件(如 kubelet、kube-proxy)通过启动时指定不同的 kubeconfig 文件可以切换到不同的集群 ,连接到 apiserver。
也就是说 kubeconfig 文件既是一个集群的描述,也是集群认证信息的填充。包含了集群的访问方式和认证信息。kubectl 文件默认位于 ~/.kube/config

(5)Service Account
Service Account是为了方便 Pod 中的容器访问API Server。因为 Pod 的创建、销毁是动态的,所以要为每一个 Pod 手动生成证书就不可行了。 Kubenetes 使用了 Service Account 来循环认证,从而解决了 Pod 访问API Server的认证问题。

(6)Secret 与 SA 的关系
//Kubernetes 设计了一种资源对象叫做 Secret,分为两类:
●用于保存 ServiceAccount 的 service-account-token
●用于保存用户自定义保密信息的 Opaque

//Service Account 中包含三个部分:
●Token:是使用 API Server 私钥签名的 Token 字符串序列号,用于访问 API Server 时,Server 端认证
●ca.crt:ca 根证书,用于 Client 端验证 API Server 发送来的证书
●namespace:标识这个 service-account-token 的作用域名空间
//默认情况下,每个 namespace 都会有一个 Service Account,如果 Pod 在创建时没有指定 Service Account,就会使用 Pod 所属的 namespace 的 Service Account。每个 Pod 在创建后都会自动设置 spec.serviceAccount 为 default(除非指定了其他 Service Accout)。

kubectl get sa
NAME      SECRETS   AGE
default   1         2d3h

每个 Pod 启动后都会挂载该 ServiceAccount 的 Token、ca.crt、namespace 到 /var/run/secrets/kubernetes.io/serviceaccount/

kubectl get pod -n kube-system
NAME                             READY   STATUS    RESTARTS   AGE
coredns-5c98db65d4-gmmrn         1/1     Running   0          25d
coredns-5c98db65d4-w24d7         1/1     Running   0          25d
etcd-master                      1/1     Running   0          25d
kube-apiserver-master            1/1     Running   0          25d
kube-controller-manager-master   1/1     Running   0          25d
k

最低0.47元/天 解锁文章
一条会呼吸的鱼
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Kubernetes 集群安全 - 机制说明.pdf
10-17
本系列文档介绍使用二进制部署 kubernetes 集群的所有步骤,而不是使用 kubeadm 等自动化方式来部署集群,同时开启了集群的TLS安全认证,该安装步骤适用于所有bare metal环境、on-premise环境和公有云环境。
k8s ssl/tls安全问题修复
Ethin_l的博客
07-06 683
关于k8s ssl/tls安全问题修复
使用SSL加密Kubernetes apiServer的通信
mark's technic world
02-05 814
生成CA私钥证书 创建集群的root CA创建apiServer的私钥服务端证书创建访问apiServer的各个组件使用的客户端证书 在k8s集群部署CA证书 配置apiServer配置kubectl准备context配置文件配置controllerManagerschedulerproxy访问apiServer的地址配置controllerManager配置scheduler配置k
Kubernetes 安全机制
最新发布
Kiryu7的博客
06-05 1008
默认情况下,每个 namespace 都会有一个 Service Account,如果 Pod 在创建时没有指定 Service Account,就会使用 Pod 所属的 namespace 的 Service Account。每个 Pod 在创建后都会自动设置 spec.serviceAccount 为 default(除非指定了其他 Service Accout)。
Kubernetes的网络架构及其安全风险
武天旭的博客
03-03 780
1、集群由多个节点组成。 2、每个节点上运行若干个Pod。 3、每个节点上会创建一个CNI网桥(默认设备名称为cni0)。 4、每个Pod存在于自己的网络命名空间,通过虚拟网卡对Veth Pair设备与外界通信。
Kubernetes(k8s)安全机制
weixin_56270746的博客
08-11 1733
Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部各个组件通信的介, 也是外部控制的入口。
kubernetes安全机制
Drw_Dcm的博客
11-14 2385
kubernetes安全机制
2、Kubernetes 集群安全 - 认证1
08-04
Kubernetes集群安全是至关重要的,特别是对于认证机制,它是确保只有授权的实体能够访问和操作资源的关键。本文将详细阐述Kubernetes集群安全的认证机制,主要关注HTTP Base认证、HTTP Token认证以及HTTPS...
3、Kubernetes 集群安全 - 鉴权1
08-04
Kubernetes 集群安全 - 鉴权1 Kubernetes 集群安全是确保集群安全的重要方面之一,而...RBAC 是 Kubernetes 集群安全的一个重要组件,它提供了一种灵活的权限控制和访问控制机制,可以满足不同场景下的安全需求。
4、Kubernetes 集群安全 - 准入控制1
08-04
准入控制是一组插件机制,它在API Server处理任何资源操作之前进行干预,从而增强了Kubernetes安全性和一致性。这些插件允许管理员定义额外的验证和修改规则,以确保只有符合特定条件的资源请求才能被接受。 首先...
Kubernetes 集群安全-教程与笔记习题
05-22
本教程将深入探讨Kubernetes集群的安全性,特别是关注授权机制,这是确保只有授权的实体才能执行特定操作的关键部分。 Kubernetes API Server是集群的核心组件,负责处理所有请求。在认证阶段,系统验证请求者的...
安全实践:保障 Kubernetes 生产环境的安全
weixin_38320674的博客
12-23 1157
▲点击上方"DevOps和k8s全栈技术"关注公众号Kubernetes(简称 K8s)是一个强大的容器编排平台,广泛应用于生产环境。然而,与其功能强大相对应的是对安全性的高要求。在生产环境,我们必须采取一系列措施来保护 Kubernetes 集群免受潜在的威胁和攻击。本文将介绍一些关键的 Kubernetes 安全实践,以及如何有效地防止潜在的攻击。1. 控制访问权限Kubernetes ...
kube-apiserver限流机制原理
zhangjianfzf的博客
04-08 1034
APF通过FlowSchema 和 PriorityLevelConfiguration两个资源配置限流策略。FlowSchema:解决老版本分类颗粒度粗的问题。
Kubernetes_认证授权_静态Pod网关apiserver底层都是restful接口(UserAccount三种访问方式和打开外网)
毛毛的专栏
10-15 1092
静态Pod网关apiserver底层都是restful接口
Kubernetes安全
魏州青年的博客
01-20 422
安全必须是任何DevOps流程的一等公民。Kubernetes越来越受欢迎,他的安全性也越来越被组织重视。 Kubernetes安全性是一种实践,而不仅仅是一项功能。安全是一个多维问题,必须从不同的角度来解决。 Kubernetes安全性可以定义为以下四个方面: Infrastructure(基础设施) Kubernetes自身 Containers(容器) Applications(应用) Kubernetes安全的4个方面 基础设施的安全性 基础设施的安全性通常是最基本的任务.
系列:7、 Kubernetes 安全
面向未来的历史
03-12 1162
Kubernetes 安全性 我们将讨论 Kubernetes 安全性。 当我们在使用 Kubernetes 时,出于安全原因,我们有时会希望限制网络的访问或限制某些用户查看或运行某些命令等。 为此,我们必须使用不同的 Kubernetes 概念。 1、Network Policy(网络策略) 如果我们想限制来自或去往 Pod 的网络流量,我们需要定义一个 NetworkPolicy。 例如,如果我们想限制特定端口(比如 80 )到我们的 nginx Pod 的流量 以及 如果我们想限制来自 nginx 端
【云原生之k8s】k8s安全机制
qq_45088125的博客
08-06 3607
Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部各个组件通信的介, 也是外部控制的入口。所以 Kubernetes安全机制基本就是围绕保护 API Server 来设计的。 ...
Kubernetes部署的最佳安全实践
dirk2014的博客
12-18 882
Kubernetes提供了许多能有效提升你的应用安全性的规则。配置这些规则需要你精通Kubernetes,并且明确部署的安全需求。此处我们强调的最佳实践指的是容器的生命周期管理:构建,打包和运行,并且特指Kubernetes的部署。我们在我们自己的SaaS部署(http://t.cn/RIcMXd7)采用了这些最佳实践,它是运行在谷歌云平台上的Kubernetes。以下就是我们关于部署一个安全的K
Kubernetes集群安全配置
热门推荐
WaltonWang's Blog
06-07 1万+
更多关于kubernetes的深入文章,请看我csdn或者oschina的博客主页。这两天在梳理Kubernetes集群的安全配置,涉及到各个组件的配置,最终决定画一个图来展现,应该会更清晰。
阿里云专有云企业版V3.12.0容器服务Kubernetes安全指南
4. 身份与访问管理(IAM):阿里云提供了精细的IAM机制,允许管理员控制对Kubernetes资源的访问,确保只有经过身份验证和授权的用户才能执行操作。 5. 监控与日志:白皮书提到了监控和日志收集的重要性,这对于检测...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值