kubernetes访问控制——Authentication认证、Authorization授权、服务账户的自动化

最新推荐文章于 2024-08-19 11:05:43 发布
最新推荐文章于 2024-08-19 11:05:43 发布
阅读量2.2k 收藏 2
点赞数 1
文章标签: kubernetes 访问控制 authentication authorization API 自动化测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Aimee_c/article/details/107120195
版权
本文深入探讨了Kubernetes中的访问控制,包括Authentication、Authorization和Service Account的自动化。重点介绍了Authentication的多种方式,如X509 Client Certs和Service Account Tokens,以及Authorization中的RBAC授权机制,如何通过Role、RoleBinding和ClusterRoleBinding进行权限管理。同时,讨论了Service Account的创建、使用和自动化过程,以及它们在Pod中的应用。
摘要由CSDN通过智能技术生成

文章目录

1.kubernetes API 访问控制

在这里插入图片描述
kubernetes API 访问控制
在这里插入图片描述
1.Authentication(认证):认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再 进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式。
Kubernetes集群有两类用户:由Kubernetes管理的Service Accounts (服务账户)和 (Users Accounts) 普通账户。 k8s中账号的概念不是我们理解的账号,它并不真的存在, 它只是形式上存在。

2.Authorization(授权):必须经过认证阶段,才到授权请求,根据所有授权策略匹配请求资源属性,决定允许或拒 绝请求。授权方式现共有6种,AlwaysDeny、AlwaysAllow、ABAC、RBAC、Webhook、 Node。默认集群强制开启RBAC。

3.Admission Control(准入控制): 用于拦截请求的一种方式,运行在认证、授权之后,是权限认证链上的最后一环,对请求 API资源对象进行修改和校验。

访问k8s的API Server的客户端主要分为两类:
kubectl : 用户家目录中的 .kube/config 里面保存了客户端访问API Server的密钥相关信息, 这样当用kubectl访问k8s时,它就会自动读取该配置文件,向API Server发起认证,然后完成操作请求。
pod: Pod中的进程需要访问API Server,如果是人去访问或编写的脚本去访问,这类访问 使用的账号为:UserAccount;而Pod自身去连接API Server时,使用的账号是: ServiceAccount,生产中后者使用居多。

• kubectl向apiserver发起的命令,采用的是http方式,其实就是对URL发起增删改查的操作。
kubectl proxy --port=8888 &
curl http://localhost:8888/api/v1/namespaces/default
curl http://localhost:8888/apis/apps/v1/namespaces/default/deployments
在这里插入图片描述
在这里插入图片描述
以上两种api的区别是:
• api它是一个特殊链接,只有在核心v1群组中的对象才能使用。
• apis 它是一般API访问的入口固定格式名。

2. Authentication(认证)

UserAccount与serviceaccount:
• 用户账户是针对人而言的。 服务账户是针对运行在 pod 中的进程而言的。
• 用户账户是全局性的。 其名称在集群各 namespace 中都是全局唯一的,未来的用户资源不会做 namespace 隔离, 服务账户是 namespace 隔离的。
• 通常情况下,集群的用户账户可能会从企业数据库进行同步,其创建需要特殊权限,并且涉及到复杂的业务流程。 服务账户创建的目的是为了更轻量,允许集群用户为了具体的任务创建服务账户 ( 即权限最小化原则 )。

1.创建serviceaccount

kubectl create serviceaccount admin serviceaccount/admin created创建serviceaccount
kubectl describe sa admin 此时k8s为用户自动生成认证信息,但没有授权

[kubeadm@server1 cm]$ kubectl get sa
NAME                     SECRETS   AGE
default                  1         15d
nfs-client-provisioner   1         2d2h
[kubeadm@server1 cm]$ kubectl create serviceaccount admin
serviceaccount/admin created
[kubeadm@server1 cm]$ kubectl get sa
NAME                     SECRETS   AGE
admin                    1         1s
default                  1         15d
nfs-client-provisioner   1         2d2h
[kubeadm@server1 cm]$ kubectl describe sa admin 
Name:                admin
Namespace:           default
Labels:              <none>
Annotations:         <none>
Image pull secrets:  <none>
Mountable secrets:   admin-token-vlffb
Tokens:              admin-token-vlffb
Events:              <none>

在这里插入图片描述

2.添加secrets到serviceaccount

kubectl patch serviceaccount admin -p '{"imagePullSecrets": [{"name": "myregistrykey"}]}'添加secrets到serviceaccount中

[kubeadm@server1 cm]$ kubectl patch serviceaccount admin -p '{"imagePullSecrets": [{"name": "myregistrykey"}]}'
serviceaccount/admin patched
[kubeadm@server1 cm]$ kubectl describe sa admin 
Name:                admin
Namespace:           default
Labels:              <none>
Annotations:         <none>
Image pull secrets:  myregistrykey
Mountable secrets:   admin-token-vlffb
Tokens:              admin-token-vlffb
Events:              <none>

在这里插入图片描述

3.把serviceaccount和pod绑定起来:

[kubeadm@server1 cm]$ vim pod.yml 
[kubeadm@server1 cm]$ cat pod.yml 
apiVersion: v1 
kind: Pod 
metadata:  
  name: mypod 
spec:  
  containers:    
    - name: game2048      
      image: reg.red.org/private/game2048  
  serviceAccountName: admin
[kubeadm@server1 cm]$ kubectl apply -f pod.yml 
pod/mypod created
[kubeadm@server1 cm]$ kubectl get pod
NAME                                     READY   STATUS    RESTARTS   AGE
mypod                                    1/1     Running   0          4s

在这里插入图片描述
在这里插入图片描述
将认证信息添加到serviceAccount中,要比直接在Pod指定imagePullSecrets要安全很多。

在默认sa default中,可以这样设置

[kubeadm@server1 cm]$ vim pod.yml 
[kubeadm@server1 cm]$ cat pod.yml 
apiVersion: v1 
kind: Pod 
metadata:  
  name: mypod 
spec:  
  containers:    
    - name: game2048      
      image: reg.red.org/private/game2048  
[kubeadm@server1 cm]$ kubectl patch serviceaccount default -p '{"imagePullSecrets": [{"name": "myregistrykey"}]}'
serviceaccount/default patched
[kubeadm@server1 cm]$ kubectl describe sa default 
Name:                default
Namespace:           default
Labels:              <none>
Annotations:         <none>
Image pull secrets:  myregistrykey
Mountable secrets:   default-token-5qqxc
Tokens:              default-token-5qqxc
Events:              <none>
[kubeadm@server1 cm]$ kubectl apply -f pod.yml 
pod/mypod created
[kubeadm@server1 cm]$ kubectl get pod
NAME                                     READY   STATUS    RESTARTS   AGE
mypod                                    1/1     Running   0          4s

在这里插入图片描述

4. 创建UserAccount

[root@server1 ~]# cd /etc/kubernetes/pki/
[root@server1 pki]# ls
apiserver.crt              apiserver.key                 ca.crt  front-proxy-ca.crt      front-proxy-client.key
apiserver-etcd-client.crt  apiserver-kubelet-client.crt  ca.key  front-proxy-ca.key      sa.key
apiserver-
最低0.47元/天 解锁文章
Aimee_c
关注
kubernetes集群实战——API访问控制(openssl认证、rbac授权和准入控制)
weixin_45792518的博客
07-08 913
1.API 访问控制 Authentication认证认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式。 Kubernetes集群有两类用户:由Kubernetes管理的Service Accounts (服务账户)和(Users Accounts) 普通账户。k8s中账号的概念不是我们理解的账号,它并不真的存在,它只是形式上存在。 Authorizat
使用kubectl访问Kubernetes集群时的身份验证和授权
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
11-11 9986
kubectl是日常访问和管理Kubernetes集群最为常用的工具。 当我们使用kubeadm成功引导启动(init)一个Kubernetes集群的控制平面后,kubeadm会在init的输出结果中给予我们下面这样的“指示”: `... ... Your Kubernetes master has initialized successfully! To start using your cl...
kubernetes实践之七:安全机制API Server认证之Service Account Token
clmaykr95629的博客
03-21 875
一:前言 Kubernetes有User Account和Service Account两套独立的账号系统。 1.User Account是给人用的,Service Account 是给Pod 里的进程使用的,面向的对象不同...
Kubernetes】k8s集群安全机制
最新发布
weixin_68840588的博客
08-19 970
k8s集群安全机制
kubernetes Authentication
weixin_34289744的博客
06-18 130
kubernetes认证设置 kubernetes中,验证用户是否有权限操作api的方式有三种:证书认证,token认证,基本信息认证。 证书认证 设置apiserver的启动参数:--client_ca_file=SOMEFILE ,这个被引用的文件中包含的验证client的证书,如果被验证通过,那么这个验证记录中的主体对象将会作...
kubelet全部参数整理
kismile
12-13 4831
文章目录相关连接基本参数kubelet 所有参数items 对kubernetes感兴趣的可以加群885763297,一起玩转kubernetes 相关连接 #mem相关参数 https://github.com/kubernetes/community/blob/master/contributors/design-proposals/node/kubelet-eviction.md#enf...
Kubernetes - 实战:访问控制ServiceAccount、UserAccount、RBAC、服务账户自动化
qq_33240556的博客
04-17 989
每个Namespace都有一个默认的ServiceAccount,如果没有明确指定,Pod将会使用默认的ServiceAccount。K8s会自动为每个ServiceAccount创建相应的Secret(通常是ServiceAccount Token),并在Pod启动时挂载到Pod的文件系统中。综上所述,通过合理的ServiceAccount创建、RBAC规则设置自动化流程,可以有效地在Kubernetes集群中实现细粒度的访问控制管理。如上面所示,将角色绑定到ServiceAccount或User。
jenkins docker 错误总结
weixin_34345560的博客
09-21 560
环境描述 docker1.12 Jenkins2.26 docker运行Jenkins镜像 Jenkins使用docker命令 1、docker运行Jenkins docker run -p 8080:8080 -p 50000:50000 -d -v /home/jenkins_home/:/var/jenkins_home --name jenkins jenk...
kubernetes10——访问控制(serviceaccount、useraccount、RBAC)
qwejiaji的博客
08-05 899
目录一、访问控制二、ServiceAccount三、UserAccount四、RBAC基于角色访问控制授权五、服务账户自动化 一、访问控制 流程:认证授权和准入控制 Authentication认证认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式。 Authorization授权) 必须经过认证阶段,才到授权请求,根据所有授权策略匹配请求资源属性
kubernetes存储(四)——访问控制
weixin_56993834的博客
08-03 537
Kubernetes API 访问控制 用户使用 kubectl、客户端库或构造 REST 请求来访问 Kubernetes API。 人类用户和 Kubernetes 服务账户都可以被鉴权访问 API。 当请求到达 API 时,它会经历多个阶段,如下图所示: 二 认证 如上图步骤 1 所示,建立 TLS 后, HTTP 请求将进入认证Authentication)步骤。 集群创建脚本或者集群管理员配置 API 服务器,使之运行一个或多个身份认证组件。 身份认证组件在认证节中有更详细的描述。
Kubernetes集群部署(五)——ingress,ingress控制器
weixin_56993834的博客
07-30 1576
一 ingress 1 ingress Ingress 是对集群中服务的外部访问进行管理的 API 对象,典型的访问方式是 HTTP。 Ingress 可以提供负载均衡、SSL 终结和基于名称的虚拟托管 1.1 说明 节点(Node): Kubernetes 集群中其中一台工作机器,是集群的一部分。 集群(Cluster): 一组运行由 Kubernetes 管理的容器化应用程序的节点。 在此示例和在大多数常见的 Kubernetes 部署环境中,集群中的节点都不在公共网络中。 边缘路由器(Edge
Proxy Authentication Required解决
热门推荐
水上漂的专栏
04-29 10万+
 症状loadTOCNode(1, symptoms);如果 Internet Security and Acceleration (ISA) Server 2000 是链接到上游 Web 代理服务器, Web 浏览器中可能会收到完整 HTML 页和随机身份验证提示。 如果下游 ISAServer 计算机配置需要集成验证并且如果上游 Web 代理服务器也配置需要代理验证可能会发生这
Kubernetes那点事儿——k8s安全认证
liangpangpangyo的博客
03-04 1192
要允许这些插件组件以超级用户权限运行,需要将集群的 cluster-admin 权限授予 kube-system 名字空间中的 “ServiceAccount” 服务账户。Adminssion Control实际上是一个准入控制器插件列表,发送到API server的请求都需要经过这个列表中的每个准入控制器插件的检查,检查不通过,则拒绝请求。RBAC(Role-Based Access Control,基于角色的访问控制),允许通过Kubernetes API动态配置策略。
apache pulsar参数
chuanzhongdu1的专栏
11-26 2728
BookKeeper bookiePort bookeeper server监听端口 allowLoopback 是否接受回127.0.0.1地址 listeningInterface 默认网口,比如:eth0 journalDirectory WAL存入目录 ledgerDirectories 帐目快照保存地址,推荐WAL与该目录不同硬盘 ledgerManagerType boo...
kubectl命令之kubectl apply
liuhehe的博客
10-15 753
https://blog.csdn.net/bbwangj/article/details/82011678
kubectl apply_了解Kubectl Apply命令
weixin_26737625的博客
08-22 1万+
kubectl applyIn this post, we’ll explore how the kubectl apply command works internally. Which will give you a better understanding of how kubernetes works under the hood and make you stand out as a D...
CAS+OAuth2的SSO认证授权单点登录
weixin_44894143的博客
09-08 5085
0.搭建前环境 1.CAS服务器搭建 2.搭建HTTPS的SSO SERVER 3.生成SSL证书。正式对外的网站,需要购买SSL证书,自己用可以本地生成。 4.连接数据库,以数据库账号密码做登录 5.在CAS Server上增加OAuth2.0协议
Kubernetes集群搭建过程中遇到的问题
weixin_33845477的博客
11-26 445
1. 创建Nginx Pod过程中报如下错误:     #kubectlcreate -f nginx-pod.yaml Error from server: error when creating "nginx-pod.yaml": Pod "nginx" is forbidden: no API token found for service account default/defau...
OpenStack认证服务Keystone:身份管理与授权的核心组件
- Authentication认证):验证用户身份的过程,是访问OpenStack服务的第一步,确保用户具有正确的身份和权限。 Keystone在OpenStack生态系统中扮演着至关重要的角色,它确保了系统的安全性和互操作性,通过强大的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值