第15章:Kubernetes认证

已于 2023-11-22 22:36:44 修改
阅读量58 收藏
点赞数
分类专栏: Kubernetes学习笔记 文章标签: kubernetes docker 容器 云原生
于 2023-11-19 23:41:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Davidwatt/article/details/134498062
版权
本文详细介绍了Kubernetes的安全控制方法,包括认证(如Token和SSO)、授权(如RBAC和Webhook)、以及kubectl客户端访问API-Server所需的信息。还提供了创建和管理用户、证书以及kubeconfig的步骤。
摘要由CSDN通过智能技术生成

目录

Kubernetes相关安全控制方式

  • 认证(身份识别:认证令牌Token-域共享密钥、SSO-HTTPs等)
  • 授权(权限检查:RBAC-默认拒绝的许可授权机制、Webhook等插件)
  • 准入控制(Admission Controller,关联资源的级联操作权限控制)

kubectl客户端访问API-Server需要提供的信息

  • user-username、uid;
  • group
  • extra

API Request Path(HTTP-URL):http://Node_IP or Domain_Name:Node_Port+Resource_Metadata_selfLink

这里的selfLink或者object URL格式为:/apis///namespace/<NAMESPACE_NAME>//[OBJECT_ID]

Respond:JSON格式结果文件;(Kubernetes里面,会自动将yaml格式文件转为JSON格式文件;)

注:这里仅针对HTTP协议相关服务,RPC、ProtoBuf或其他协议需要另外考虑;

HTT Request Verb:get, post, put, delete……

API Request Verb:get, list, create, update, patch, watch, delete, proxy, redirect, delete, deletecollection……

Resource

Subresource

Namespace

API group

两类访问API Server的客户端:

  • useraccount(Just for human)
  • serviceaccount(Just for workload),每个Pod都需要访问api-server,只是权限大小的问题,可以提供Image pull secrets和Token等信息;

kubectl config view查看当前配置信息;

其中context显示信息有:

  • cluster
  • user
  • name,一般为:user@cluster

注意:证书持有者的名称,就是用户账号名;

Kubernetes安全认证详细操作步骤

(1)创建一个私钥的命令:(umask 077; openssl genrsa -out davidwatt.key 2048)

(2)基于这个私钥,生成一个证书签署请求命令:openssl req -new -key davidwatt.key -out davidwatt.csr -subj “/CN=davidwatt”

(3)由ca.crt来签署命令:openssl x509 -req -in davidwatt.csr -CA ./ca.crt -CAkey ./ca.key -CAcreateserial -out davidwatt.crt -days 365

(4)查看证书内容命令:openssl x509 -in davidwatt.crt -text -noout

使用kubectl config view可以查看kubeconfig文件的内容;

(因为需要提前定义集群、用户和上下文,注意这里的集群已经有了;)

(5)新建一个用户user的命令:kubectl config set-credentials davidwatt –client-certificate=./davidwatt.crt –client-key=./davidwatt.key -embed-certs=true

(6)新建一个上下文的命令:kubectl config set-context davidwatt@kubernetes –cluster=kubernetes –user=davidwatt

(7)切换上下文的命令:kubectl config use-context davidwatt@kubernetes

补充:如果需要新建cluster,命令为:kubectl config set-cluster mycluster –kubeconfig=/tmp/test.conf –server=“http://127.0.0.11:6443” –certificate-authority=/etc/kubernetes/pki/ca.crt –embed-certs=true

Davidwatt
关注
专栏目录
Nginx Ingress Controller:Kubernetes集群的服务路由
java专栏
09-06 940
嘿,亲爱的小伙伴们!👋 欢迎来到Kubernetes的奇妙世界。今天,我们要一起探索一个超级酷炫的组件——Nginx Ingress Controller。想象一下,如果你的Kubernetes集群是一个繁忙的机场,那么Ingress Controller就是那个指挥飞机起降的塔台,确保每架飞机(流量)都能安全、准确地到达目的地。在Kubernetes中,Ingress是一个API对象,它管理外部访问集群内服务的规则。
第7Kubernetes存储
元贞
08-18 177
Kubernetes存储 1.为什么需要存储卷? 容器部署过程中一般有以下三种数据: ·启动时需要的初始数据,可以是配置文件 ·启动过程中产生的临时数据,该临时数据需要多个容器间共享 ·启动过程中产生的持久化数据 2.数据卷概述 Kubernetes 中的 Volume提供了在容器中挂载外部存储的能力 Pod需要设置卷来源( spec.volume)和挂载点( spec.containers...
2024三掌柜赠书活动第二十七期:Kubernetes企业级云原生运维实战
软贱开发攻城狮
09-01 1万+
然而,由于Kubernetes功能丰富且复杂,涉及到操作系统、网络、存储、调度、分布式等各个方面的知识,这使得许多初学者在面对Kubernetes时,要么知识储备不足,要么杂乱无,不知从何下手的困扰,很难真正地“掌握”这门主流技术!国内早一批K8s布道者;本书将深入浅出地解读Kubernetes的方方面面,从基础概念到实际应用,再到项目案例,从简单操作到复杂场景,一步步引导您进入Kubernetes的世界,从而获得在真实场景中解决问题的能力,成为Kubernetes领域的专业人才。
k8s入门:kubernetes-dashboard 安装
热门推荐
不懂一休
07-01 1万+
第一:✨ k8s入门:裸机部署 k8s 集群 第二:✨ k8s入门:部署应用到 k8s 集群 第三:✨ k8s入门:service 简单使用 第四:✨ k8s入门:StatefulSet 简单使用 第五:✨ k8s入门:存储(storage) 第六:✨ K8S 配置 storageclass 使用 nfs 动态申领本地磁盘空间 第七:✨ k8s入门:配置 ConfigMap & Secret 第八:✨ [k8s入门:k8s入门:Helm 构建 MySQL]https://yixiu.blog
第十:了解Kubernetes机制
weixin_54279427的博客
07-31 914
如何部署插件通过提交YAML清单文件到API服务器,这些组件会成为插件并作为pod部署。有些组件是通过deployment资源或者ReplicationController资源部署的,有些是通过daemonset。DNS服务器是如何工作的集群中的所有pod默认配置使用集群内部DNS服务器。这使得pod能够轻松的通过名称查询服务,甚至是无头服务pod的IP地址。DNS服务器pod通过kube-dns服务对外暴露,使得该pod能够像其他pod一样在集群中移动。服务的IP地址在每个集群每个容器的文件的。
KCNA考试 第四:学习kubernetes需要掌握的基础知识
爱死亡机器人
03-14 2649
目录1. Kubernetes简介2. 学习目标3. Kubernetes 架构4. Kubernetes搭建5. Kubernetes API6. Kubernetes上运行容器7. Networking8. 调度(Scheduling)9. 其他资源9.1 Kubernetes的历史和Borg的遗产9.2 Kubernetes 架构9.3 RBAC9.4 Container Runtime Interface9.5 Kubernetes networking and CNI9.6 Internals
【带你上手云原生体系】第四部分:Kubernetes 圣经 【完整生态、生产必备、一文精通、无需再学】大量图文请慎入
Null的博客
07-20 1669
【带你上手云原生体系】第一部分:文简介 及 云原生思维概览 【带你上手云原生体系】第二部分:Go语言从入门到精通 【带你上手云原生体系】第三部分:Docker从入门到精通
kubernetes实践之一:kubernetes二进制包安装
weixin_30278237的博客
03-20 316
kubernetes二进制部署 1、环境规划 软件版本Linux操作系统CentOS Linux release 7.6.1810 (Core)Kubernetes1.9Docker18.09.3etcd3.3.10 角色IP组件推荐配置k8s_master etcd01192.168.1.153kube-apiserver kube-controller-manager kub...
Kubernetes 第十五 认证授权 RABC
weixin_30332241的博客
09-03 109
访问控制 Kubernetes 对 API 访问提供了三种安全访问控制措施:认证、授权和 Admission Control。认证解决用户是谁的问题,授权解决用户能做什么的问题,Admission Control 则是资源管理方面的作用。通过合理的权限管理,能够保证系统的安全可靠。 Kubernetes 集群的所有操作基本上都是通过 kube-apiserver 这个组件进行的,它提...
第一Kubernetes基础之集群搭建(二进制安装)
qq_35302220的博客
11-16 923
Kubernetes基础之集群搭建(二进制安装)
云原生进阶之容器】第二——Kubernetes概述
junbaozi的专栏
12-23 567
kubernetes,是一个全新的基于容器技术的分布式架构领先方案,是谷歌严格保密十几年的秘密武器--Borg系统的一个开源版本,于2014年9月发布第一个版本,2015年7月发布第一个正式版本,简称k8s。其提供了面向应用的容器集群部署和管理系统。Kubernetes 的目标旨在消除编排物理 / 虚拟计算,网络和存储基础设施的负担,并使应用程序运营商和开发人员完全将重点放在以容器为中心的原语上进行自助运营。
第一 Kubernetes基础笔记
hankin的博客
04-12 729
一、Kubernetes概述 1、背景 kubernetes(简称k8s)是google基于Blog进行改进后,开源出来的一款“容器管理应用”。由于近几年来容器技术的火爆,许许多多的服务都不会直接部署在linux主机或各大云厂商的虚拟机上;利用Docker,将每个服务做成一个image,把他们跑在各自的Container中。 这样做的好处有非常多,比如环境配置隔离、服务启动快、移植便捷等等...
kubernetes
FK_凡柯的博客
06-05 378
节主要介绍应用程序在服务器上部署方式演变以及kubernetes的概念、组件和工作原理。
pod管理及优化
2302_81167603的博客
10-02 1143
Pod是可以创建和管理Kubernetes计算的最小可部署单元一个Pod代表着集群中运行的一个进程,每个pod都有一个唯一的ip一个pod类似一个豌豆荚,包含一个或多个容器(通常是docker)多个容器间共享IPC、Network和UTC namespace。
【CKA】二、节点管理-设置节点不可用
weixin_43837718的博客
09-29 483
[CKA]二、节点管理-设置节点不可用
kubeadm部署k8s
qq_63652578的博客
10-04 906
为了实现docker使用的cgroupdriver与kubelet使用的cgroup的一致性,修改如下文件内容。
【CKA】一、基于角色的访问控制-RBAC
weixin_43837718的博客
09-29 769
[CKA]一、基于角色的访问控制-RBAC
Kubernetes资源详解
最新发布
huaz_md的博客
10-05 454
kubernetes中,所有的内容都抽象为资源,用户需要通过操作资源来管理kubernetes本质上就是一个集群系统,用户可以在集群中部署各种服务所谓的部署服务,其实就是在kubernetes集群中运行一个个的容器,并将指定的程序跑在容器kubernetes的最小管理单元是pod而不是容器只能将容器放在pod中kubernetes一般也不会直接管理pod,而是通过pod控制器来管理pod的pod中容器服务的访问是由kubernetes提供的service资源来实现的。pod中的容器不能直接被访问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Davidwatt

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值