k8s之rbac安全机制

于 2024-09-13 15:27:00 发布
阅读量978 收藏 28
点赞数 18
文章标签: kubernetes 安全 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Alone8046/article/details/142201081
版权

一、K8S安全机制概述

1、概念

K8S中的安全机制,分布式的集群管理工具,就是容器编排。

安全机制的核心:集群内外部通信都需要靠apiserver进行调度

所有的安全机制都是围绕apiserver来设计的

2、请求apiserver资源的三个步骤:

1、认证Authentication token

2、鉴权Authorzation:在集群当中权限的控制

3、准入控制admission control:能做哪些或者说是在哪里做

二、认证:Anthentcation

1、认证的方式:
1》、HTTP TOKEN:

通过token识别合法用户。token是一个很长,很复杂的一个字符串,字符串是用来表达客户的一种方式

每一个token对应一个用户名,用户名存储在apiserver能够访问的文件中

客户端发起请求时,http haeder中包含token

客户端发起请求—token—apiserver(验证用户名存储文件)—解码—用户名—访问集群

2》、http base:

用户+密码的验证方式。用户名和密码都是通过base64进行加密,加密完成的字符串,http request的haeder Atuthorization发送给服务端。服务端收到加密字符串,解码,获取用户名名和密码,验证通过,登录成功

3》https证书:

面向公众来说,他是最严格的方式,也是最严谨的方式。基于CA根证书签名的客户端身份验证进行验证,https是双向验证的方式

2、认证的访问类型:

K8S组件对apiserve组件的访问。kubelet,kube-proxy

pod对apiserver的访问。pod-corndns,dashborad,也需要访问api

客户端kubectl访问

kubelet、kube-proxy

controller-manager、scheduler与apiserver在一台服务器,可以直接使用apiserver的非安全端口进行访问。

kubectl、kubelet、kube-proxy都是通过apiserver的http证书,进行双向验证,都是用6443端口进行验证

3、签发证书:

1、手动签发,二进制部署就是手动签发证书。CA签发—把证书匹配到每个对应组件。然后访问6443即可

2、自动签发,kubeadm就是自动签发。kubelet第一次访问apiserver使用token认证,token通过之后,controller-manager会为kubelet生成一个证书

以后都是通过证书访问。kubeadm部署时修改了证书的有效期。默认1年,改成10年

3、kubeconfig,这个文件包含集群的参数,CA证书,apiserver地址,客户端的参数(客户端证书和私钥),集群的名称和用户名。

K8S中的组件通过启动时指定访问不同的kubeconfig文件,可以访问不同的集群—apiserver—namespace—资源对象—pod—容器

kubeconfig即使集群的文件,也是一个集群信息的保存文件,包含集群访问方式和认证信息

一般都在家目录下 ~/.kube/config 这个文件保存的是kubectl的访问认证信息

4、serviceAccount:

serviceAccount就是为了方便pod中的容器来访问apiserver。pod动态的的动作(增删改查),每个pod手动生成证书就不现实了。于是K8S就使用了serviceAccount来进行循环验证,service Account里面包含了统一的认证信息,直接进行apiserver访问

5、Secret,保存资源对象

serviceAccount,保存的token,service-account-token

Secret保存到的是自定义的保密信息

6、serviceAccount保存的信息

token:和api认证的私钥

ca.crt:认证apiserver的整数

namespace:service account的命名空间

都会被自动的挂载到pod中去

三、鉴权

1、概念:

之前的认证过程,只是确认了双方都是可信的,可以互相通信的,鉴权是为了确定请求方的访问权限,能做哪些操作

2、API Server 目前支持以下几种授权策略:

1、AlwaysDeny:拒绝所有,一般是测试

2、AlwaysAllow:允许所有,用于测试

3、ABAC attribute-based access control:基于属性的访问控制

4、webhook:外部访问集群内部的鉴权方式

5、RBAC role-base access control:基于角色的访问控制,K8S最常用的规则,也是K8S现在默认的规则机制

角色:role,指定命名空间的资源控制权限

角色绑定:rolebinding,将角色绑定到指定的命名空间

集群角色:clusterrole,可以授权所有命名空间的资源控制权限

集群角色绑定:clusterrolebinding,将集群的角色绑定到命名空间

三、准入控制

准入控制是apiserver的一个准入控制器的插件列表,不同的插件可以实现不同的准入控制机制

一般情况下,建议使用官方默认的准入控制器

limitRanger(命名空间的配额管理)、serviceAccount、resourceQuota(命名空间的配额限制)都属于准入控制器

四、实验:

普通用户使用不了集群 

 如何让普通用户使用集群,那就得认证

 apiserver和用户之间连接的认证证书

客户端签名的证书 

 

 

 

Alone8046
关注
k8s,盘他!k8s安全机制RBAC使用方法
CN_TangZheng的博客
05-21 1268
文章目录前言一:k8s安全机制1.1:kubernetes安全框架1.2:第一关:Authentication认证1.3:第二关:Authorization授权1.3.1:RBAC使用测试1.4:第三关:准入控制Admission Control如有疑问可评论区交流! 前言 一:k8s安全机制 安全框架、 传输安全、认证,授权,准入控制 使用rbac授权 1.1:kubernetes安全框架 安全框架的流程 流程:kubectl先请求api资源,然后是过三关,第一关是认证(Authenticatio
二十、K8S-1-权限管理RBAC详解
爱吃西红柿的博客
02-10 1912
RBAC API中,通过如下步骤进行授权在定义角色时会指定此角色对于资源的访问控制规则Role:角色,包含一组权限的规则,没有拒绝规则,只是附加运行,namespaces隔离,只作用于命名空间。授权特定命名空间的访问权限ClusterRole:和Role的区别,Role只作用于命名空间内,ClusterRole作用于整个集群,也就是所有Namespace。
k8s-security:Kubernetes安全说明和最佳实践
02-03
Kubernetes安全 此仓库是kubernetes安全资料和研究的集合。 该研究是在受训期间进行的。 总览 关于kubernetes功能和配置错误的深入研究。 以下所有文件的来源 “必须做” /最佳做法清单,这些清单使攻击者的生活更加艰难 标志清单,用于快速测试您的集群是否启用了安全功能。 攻击者指南:如果攻击者使用吊舱/集群,该怎么办。 此外,还包括一些攻击 包含安全公告和先前漏洞的来源页面 工具类 用于枚举kubernetes集群中的服务的脚本。 提供了公共服务词典。 滑梯 参考文献
K8S 云原生】K8S安全机制
koeda1的博客
01-25 1342
K8S安全机制,对用户的K8S权限的管理
Kubernetes - 安全
qq_43164571的博客
02-19 879
------------------------------------------------------------1、机制说明2、认证Authentication1)HTTPS 证书认证2)需要认证的节点两种类型安全性说明证书颁发3)kubeconfig4)ServiceAccount5)Secret 与 SA 的关系总结 1、机制说明 Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介,也是外部控制的入口。所以
K8S安全机制
L2111533547的博客
08-07 1548
访问K8S集群的资源需要过三关:认证、鉴权、准入控制普通用户若要安全访问集群API Server,往往需要证书、 Token或者用户名+密码;Pod访问,需要ServiceAccountK8S安全控制框架主要由下面3个阶段进行控制,每一个阶段 都支持插件方式,通过API Server配置来启用插件。1. Authentication:用于识别用户身份, 方式有: SSL证书,token, 用户名+密码等2. Authorization:确认是否对资源具有相关的权限。......
k8s 基于RBAC的认证、授权介绍和实践
「 虚幻私塾」
01-23 895
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 在K8S中,当我们试图通过API与集群资源交互时,必定经过集群资源管理对象入口kube-apiserver。显然不是随随便便来一个请求它都欢迎的,每个请求都需要经过合规检查,包括Authentication(身份验证)、Authorization(授权)和Admission C
k8sRBAC 详解(基于角色的访问控制)
qfyangsheng的博客
08-19 1627
一个实验搞定RBAC RBAC基于角色的访问控制--全拼Role-Based Access Control ​ Service Account为服务提供了一种方便的认证机制,但它不关心授权的问题。可以配合RBAC来为Service Account鉴权 ​ 在Kubernetes中,授权有ABAC(基于属性的访问控制)、RBAC(基于角色的访问控制)、Webhook、Node、AlwaysDeny(一直拒绝)和AlwaysAllow(一直允许)这6种模式。 ​ 在RABC API中,通过如下的步骤进行授权
k8s安全机制(认证授权)
BushRo
03-28 2133
文章目录Kubernetes 安全机制Authentication 认证https证书认证需要认证的节点两种类型安全性说明证书颁发kubeconfigServiceAccountSecret 与 SA 的关系授权 Kubernetes 安全机制 Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介,也是外部控制的入口。所以 Kubernetes安全机制基本就是围绕保护 API Server 来设计的。Kubernete
k8s——安全机制
最新发布
sea_bunch的博客
06-07 1349
RoloBinding 可以将角色中定义的权限授予用户或用户组,RoleBinding 包含一组主体(subject),subject 中包含有不同形式的待授予权限资源类型(User、Group、ServiceAccount)RoloBinding 同样包含对被绑定的 Role 引用;RoleBinding 适用于某个命名空间内授权,而 ClusterRoleBinding 适用于集群范围内的授权准入控制是API Server的一个准入控制器插件列表,通过添加不同的插件,实现额外的准入控制规则。
k8s-集群安全机制
weixin_43025075的博客
11-18 214
1、概述 (1)访问k8s集群时候,需要经过三个步骤完成具体操作 认证 鉴权(授权) 准入控制 (2)进行访问时候,过程中都需要经过apiserver, apiserver做统一协调,比如门卫。 访问过程中需要证书、token、或者用户名+密码 如果访问pod需要serviceAccount 第一步 认证 传输安全 传输安全:对外不暴露8080端口,只能内部访问,对外使用端口6443 认证 客户端身份认证常用方式: HTTPS证书认证,基于ca证书 http token认证,通过token识别
k8s-安全机制
Andrew的博客
05-04 266
文章目录AuthenticationⅠ、HTTPS 证书认证:Ⅱ、需要认证的节点两种类型安全性说明证书颁发Ⅲ、kubeconfifigⅣ、ServiceAccountⅤ、Secret 与 SA 的关系实践:创建一个用户只能管理 dev 空间 Authentication HTTP Token 认证:通过一个 Token 来识别合法用户 HTTP Token 的认证是用一个很长的特殊编码方式的...
K8s安全机制
qq_37705525的博客
05-14 418
K8s安全机制
k8s 安全机制详解
qq_51545656的博客
03-11 1288
Token 和 Basic 认证主要是单向的,即只能验证客户端对服务器的身份。而 HTTPS 证书认证可以实现双向认证,这对于需要确保通信双方身份的场景非常重要,比如在 Kubernetes API Server 与 etcd 或其他组件之间的通信中。使用 HTTPS 证书认证可以防止中间人攻击,确保数据传输的安全性。kind: Rolemetadata:rules:- apiGroups: [""] # 空字符串表示核心 API 组。
k8s安全机制
weixin_67470255的博客
08-06 2174
kind: Podmetadata:spec:ports:serviceAccountName: daniel # 指定sa为daniel。
k8s安全
中国华的博客
05-11 211
K8S——安全机制
rmh0713的博客
06-05 747
默认情况下,每个 namespace 都会有一个 Service Account,如果 Pod 在创建时没有指定 Service Account,就会使用 Pod 所属的 namespace 的 Service Account。比如 kubectl 如果想向 API Server 请求资源,需要过三关,第一关是认证(Authentication),第二关是鉴权(Authorization), 第三关是准入控制(Admission Control),只有通过这三关才可能会被 K8S 创建资源。
k8sRBAC是什么意思
07-17
RBACKubernetes中的一种访问控制机制,全为Role-Based Access Control,即基于角色的访问控制。RBAC用于定义和管理用户、ServiceAccount或其他身份对Kubernetes资源的问权限。 RBAC允许管理员根用户的职责和角色来授予不同级别的权限,以限制和管理对Kubernetes集群中的资源的操作。通过使用RBAC,可以实现精细的访问控制和权限分配。 在RBAC中,主要有以下几个核心概念: 1. Role:定义了一组权限规则,用于授权对特定命名空间中的资源进行操作。 2. ClusterRole:类似于Role,但是作用于整个集群而不是单个命名空间。 3. RoleBinding:将Role绑定到用户、ServiceAccount或其他身份上,从而为其授予相应的权限。 4. ClusterRoleBinding:将ClusterRole绑定到用户、ServiceAccount或其他身份上,赋予其集群级别的权限。 通过使用RBAC,管理员可以根据实际需求创建和配置不同的角色和绑定,确保每个用户或身份只能访问其所需的资源,并限制其对资源的操作。 RBACKubernetes中重要的安全机制之一,可以帮助管理员实现对集群的访问控制和权限管理,提高集群的安全性和可管理性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值