文章目录
1.kubernetes API 访问控制
kubernetes API 访问控制
1.Authentication(认证):认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再 进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式。
Kubernetes集群有两类用户:由Kubernetes管理的Service Accounts (服务账户)和 (Users Accounts) 普通账户。 k8s中账号的概念不是我们理解的账号,它并不真的存在, 它只是形式上存在。
2.Authorization(授权):必须经过认证阶段,才到授权请求,根据所有授权策略匹配请求资源属性,决定允许或拒 绝请求。授权方式现共有6种,AlwaysDeny、AlwaysAllow、ABAC、RBAC、Webhook、 Node。默认集群强制开启RBAC。
3.Admission Control(准入控制): 用于拦截请求的一种方式,运行在认证、授权之后,是权限认证链上的最后一环,对请求 API资源对象进行修改和校验。
访问k8s的API Server的客户端主要分为两类:
• kubectl : 用户家目录中的 .kube/config 里面保存了客户端访问API Server的密钥相关信息, 这样当用kubectl访问k8s时,它就会自动读取该配置文件,向API Server发起认证,然后完成操作请求。
• pod: Pod中的进程需要访问API Server,如果是人去访问或编写的脚本去访问,这类访问 使用的账号为:UserAccount;而Pod自身去连接API Server时,使用的账号是: ServiceAccount,生产中后者使用居多。
• kubectl向apiserver发起的命令,采用的是http方式,其实就是对URL发起增删改查的操作。
kubectl proxy --port=8888 &
curl http://localhost:8888/api/v1/namespaces/default
curl http://localhost:8888/apis/apps/v1/namespaces/default/deployments
以上两种api的区别是:
• api它是一个特殊链接,只有在核心v1群组中的对象才能使用。
• apis 它是一般API访问的入口固定格式名。
2. Authentication(认证)
UserAccount与serviceaccount:
• 用户账户是针对人而言的。 服务账户是针对运行在 pod 中的进程而言的。
• 用户账户是全局性的。 其名称在集群各 namespace 中都是全局唯一的,未来的用户资源不会做 namespace 隔离, 服务账户是 namespace 隔离的。
• 通常情况下,集群的用户账户可能会从企业数据库进行同步,其创建需要特殊权限,并且涉及到复杂的业务流程。 服务账户创建的目的是为了更轻量,允许集群用户为了具体的任务创建服务账户 ( 即权限最小化原则 )。
1.创建serviceaccount
kubectl create serviceaccount admin serviceaccount/admin created
创建serviceaccount
kubectl describe sa admin
此时k8s为用户自动生成认证信息,但没有授权
[kubeadm@server1 cm]$ kubectl get sa
NAME SECRETS AGE
default 1 15d
nfs-client-provisioner 1 2d2h
[kubeadm@server1 cm]$ kubectl create serviceaccount admin
serviceaccount/admin created
[kubeadm@server1 cm]$ kubectl get sa
NAME SECRETS AGE
admin 1 1s
default 1 15d
nfs-client-provisioner 1 2d2h
[kubeadm@server1 cm]$ kubectl describe sa admin
Name: admin
Namespace: default
Labels: <none>
Annotations: <none>
Image pull secrets: <none>
Mountable secrets: admin-token-vlffb
Tokens: admin-token-vlffb
Events: <none>
2.添加secrets到serviceaccount
kubectl patch serviceaccount admin -p '{"imagePullSecrets": [{"name": "myregistrykey"}]}'
添加secrets到serviceaccount中
[kubeadm@server1 cm]$ kubectl patch serviceaccount admin -p '{"imagePullSecrets": [{"name": "myregistrykey"}]}'
serviceaccount/admin patched
[kubeadm@server1 cm]$ kubectl describe sa admin
Name: admin
Namespace: default
Labels: <none>
Annotations: <none>
Image pull secrets: myregistrykey
Mountable secrets: admin-token-vlffb
Tokens: admin-token-vlffb
Events: <none>
3.把serviceaccount和pod绑定起来:
[kubeadm@server1 cm]$ vim pod.yml
[kubeadm@server1 cm]$ cat pod.yml
apiVersion: v1
kind: Pod
metadata:
name: mypod
spec:
containers:
- name: game2048
image: reg.red.org/private/game2048
serviceAccountName: admin
[kubeadm@server1 cm]$ kubectl apply -f pod.yml
pod/mypod created
[kubeadm@server1 cm]$ kubectl get pod
NAME READY STATUS RESTARTS AGE
mypod 1/1 Running 0 4s
将认证信息添加到serviceAccount中,要比直接在Pod指定imagePullSecrets要安全很多。
在默认sa default中,可以这样设置
[kubeadm@server1 cm]$ vim pod.yml
[kubeadm@server1 cm]$ cat pod.yml
apiVersion: v1
kind: Pod
metadata:
name: mypod
spec:
containers:
- name: game2048
image: reg.red.org/private/game2048
[kubeadm@server1 cm]$ kubectl patch serviceaccount default -p '{"imagePullSecrets": [{"name": "myregistrykey"}]}'
serviceaccount/default patched
[kubeadm@server1 cm]$ kubectl describe sa default
Name: default
Namespace: default
Labels: <none>
Annotations: <none>
Image pull secrets: myregistrykey
Mountable secrets: default-token-5qqxc
Tokens: default-token-5qqxc
Events: <none>
[kubeadm@server1 cm]$ kubectl apply -f pod.yml
pod/mypod created
[kubeadm@server1 cm]$ kubectl get pod
NAME READY STATUS RESTARTS AGE
mypod 1/1 Running 0 4s
4. 创建UserAccount
[root@server1 ~]# cd /etc/kubernetes/pki/
[root@server1 pki]# ls
apiserver.crt apiserver.key ca.crt front-proxy-ca.crt front-proxy-client.key
apiserver-etcd-client.crt apiserver-kubelet-client.crt ca.key front-proxy-ca.key sa.key
apiserver-