kubernetes 认证及 serviceaccount

最新推荐文章于 2024-04-17 10:41:20 发布
最新推荐文章于 2024-04-17 10:41:20 发布
阅读量263 收藏
点赞数
分类专栏: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/FR13DNS/article/details/118229043
版权

整个 k8s 集群的 APIserver 是访问控制的唯一入口,但不会限制应用程序,任何用户试图操作资源对象时,要经历三个环节

  • 认证: 访问 k8s 的账号和安全认证
  • 授权: 是否有操作资源对象的权限
  • 准入控制: 级联的其他资源是否有权限

用户可以通过多种插件来选择通过何种逻辑方式完成认证和准入控制如: token、SSL 等,其中 SSL 认证客户端需要验证服务端的 CA 证书同时,服务端也要认证 kubectl 的 CA 证书.如果环境中存在多个认证插件则不会串行认证,授权来说也可以通过插件来完成用户的授权间检查,k8s 1.6 之后开始支持基于 RBAC 认证,此前支持诸如 ABAC 的认证等,RBAC 与 LINUX 权限认证相思,默认拒绝所有请求只允许某些权限,所以可以细致到普通用户的各种独立权限.准入控制逻辑本身只是用来定义授权检查通过后的其他权限

同时也需要注意 k8s 集群上的证书一般是自签证书,任何这个自签机构颁发的证书都可以被 k8s 完成认证

用户账号权限

API server 识别用户的权限通过以下几种协议来识别

  • 用户账号 user:username,uid
  • 用户组 group:用户所属的组,权限指派和继承
  • 附加权限 extra: 键值数据的字符串,用于提供认证时需要提供额外信息

更重要的是用户会请求具体某个特定的 API 资源,而 k8s 的 API server 是分组的,则用户会通过在 HTTP 协议当中的 URL 来标识的,如 http://${MasterIP}:6443/apis/apps/v1/namespaces/default/deployments/myapp-deploy /apis/<GROUP>/<VERSION>/namespace/<NAMESPACE_NAME>/<KIND>[/OBJECT_ID]/

[root@master-0 ~]# kubectl proxy --port=8080
Starting to serve on 127.0.0.1:8080
[root@master-0 ~]# curl http://localhost:8080/api/v1/namespaces
... ...

与 API server 打交道的有两种身份

  • 集群外部: 每次访问 apiserver 时,都是请求其所在的节点进行访问
  • 集群内部: apiserver 有一个名为 kubernetes 的 svc,作为给集群内部 pod 访问的 ip 地址

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-1JrBNGfM-1624627871200)(https://raw.githubusercontent.com/ma823956028/image/master/picgo/20200914103824.png)]

[root@master-0 ~]# kubectl get svc
NAME         TYPE        CLUSTER-IP       EXTERNAL-IP   PORT(S)   AGE
kubernetes   ClusterIP   10.208.0.1       <none>        443/TCP   165d
myapp        ClusterIP   10.208.208.208   <none>        80/TCP    12d
myapp-svc    ClusterIP   None             <none>        80/TCP    97d
[root@master-0 ~]# kubectl describe svc kubernetes
Name:              kubernetes
Namespace:         default
Labels:            component=apiserver
                provider=kubernetes
Annotations:       <none>
Selector:          <none>
Type:              ClusterIP
IP:                10.208.0.1
Port:              https  443/TCP
TargetPort:        6443/TCP
Endpoints:         10.211.55.35:6443
Session Affinity:  None
Events:            <none>

由于这种特殊的集群内部 apiserver 的机制,做证书时需要指明 apiserver 本身 ip 和 kubernetes svc 的 ip,同时由于双向认证的关系,容器内的服务如果要访问 apiserver 也需要进行认证,这个认证是 pod 的 spec.serviceAccountName 提供的

[root@master-0 ~]# kubectl explain pod.spec.serviceAccountName
KIND:     Pod
VERSION:  v1

FIELD:    serviceAccountName <string>

DESCRIPTION:
    ServiceAccountName is the name of the ServiceAccount to use to run this
    pod. More info:
    https://kubernetes.io/docs/tasks/configure-pod-container/configure-service-account/

而各个 pod 多少都会与 apiserver 交互,所以每个名称空间下都会有一个和 apiserver 交互时的 token,但默认这个 token 只能管理 pod 自身

[root@master-0 ~]# kubectl get secret
NAME                  TYPE                                  DATA   AGE
default-token-lbf5s   kubernetes.io/service-account-token   3      165d
[root@master-0 ~]# kubectl get secret -ningress-nginx
NAME                                  TYPE                                  DATA   AGE
default-token-hfbph                   kubernetes.io/service-account-token   3      12d

serviceAccount

  1. 创建的 serviceAccount 只是账号,后需要通过 RBAC 来赋予真正的权限

    [root@master-0 ~]# kubectl create serviceaccount mysa -o yaml --dry-run         # dry-run 可以输出框架,同时对于运行的 pod 也可以使用 --export 来导出 yaml 文件
W0912 01:25:59.806447   11484 helpers.go:535] --dry-run is deprecated and can be replaced with --dry-run=client.
apiVersion: v1
kind: ServiceAccount
metadata:
  creationTimestamp: null
  name: mysa
[root@master-0 ~]# kubectl get sa
NAME      SECRETS   AGE
default   1         165d
[root@master-0 ~]# kubectl create serviceaccount admin
serviceaccount/admin created
[root@master-0 ~]# kubectl describe sa admin
Name:                admin
Namespace:           default
Labels:              <none>
Annotations:         <none>
Image pull secrets:  <none>                 # pod 拉取镜像时连接私有仓库的认证信息,比 secret 安全
Mountable secrets:   admin-token-zr6cw
Tokens:              admin-token-zr6cw
Events:              <none>
[root@master-0 ~]# kubectl get secret
NAME                  TYPE                                  DATA   AGE
admin-token-zr6cw     kubernetes.io/service-account-token   3      16s
... ...

  2. 让 pod 挂载使用这个 sa

[root@master-0 ~]# cat pod-sa-demo.yaml
apiVersion: v1
kind: Pod
metadata:
  name: pod-sa-demo
  namespace: default
  labels:
    app: myapp
    tier: frontend
spec:
  containers:
  - name: myapp
    image: nginx
    ports:
    - name: http
      containerPort: 80
    imagePullPolicy: IfNotPresent
  serviceAccountName: admin
[root@master-0 ~]# kubectl apply -f pod-sa-demo.yaml
pod/pod-sa-demo created

认证信息的配置文件

  1. 除了 apiserver 自己本身,其他所有组件几乎都需要与其进行认证,而每个组件的认证信息配置文件被称为 kubeconfig,显示 kubeconfig 设置命令为 kubectl config view

    [root@master-0 ~]# kubectl config view
apiVersion: v1
clusters:                                           # 集群列表
- cluster:
    certificate-authority-data: DATA+OMITTED        # 服务器认证这个集群的认证方式,私密数据
    server: https://10.211.55.35:6443               # 访问集群的 apiserver 路径
  name: kubernetes
contexts:
- context:                                          # 上下文列表,这个配置文件不单单可以访问一个 k8s 集群,context 则注明哪个账号可以访问那个集群
    cluster: kubernetes                             # 集群名
    user: kubernetes-admin                          # 访问这个集群用的用户信息
  name: kubernetes-admin@kubernetes                 # context 的名字
current-context: kubernetes-admin@kubernetes        # 当前上下文
kind: Config
preferences: {}
users:                                               # 用户列表
- name: kubernetes-admin
  user:
    client-certificate-data: REDACTED               # 被集群认证的信息
    client-key-data: REDACTED

  2. 在配置文件中增加新的账号信息

    [root@master-0 ~]# cd /etc/kubernetes/
[root@master-0 kubernetes]# cd pki/
[root@master-0 pki]# ls
apiserver.crt              apiserver.key                 ca.crt  front-proxy-ca.crt      front-proxy-client.key
apiserver-etcd-client.crt  apiserver-kubelet-client.crt  ca.key  front-proxy-ca.key      sa.key
apiserver-etcd-client.key  apiserver-kubelet-client.key  etcd    front-proxy-client.crt  sa.pub
[root@master-0 pki]# (umask 077 ; openssl genrsa -out test.key 2048)    # 生成私钥
Generating RSA private key, 2048 bit long modulus
.......................................................................................................+++
...+++
e is 65537 (0x10001)
[root@master-0 pki]# openssl req -new -key test.key -out test.cr -subj "/CN=test"       # CN 就是用户账号的名字
[root@master-0 pki]# openssl x509 -req -in test.cr -CA ca.crt -CAkey ca.key -CAcreateserial -out test.crt -days 365     # 签署证书
Signature ok
subject=/CN=test
Getting CA Private Key
[root@master-0 pki]# openssl x509 -in test.crt -text -noout
Certificate:
    Data:
        Version: 1 (0x0)
        Serial Number: 17177463334185398281 (0xee629be4706af009)
    Signature Algorithm: sha1WithRSAEncryption
        Issuer: CN=kubernetes
        Validity
            Not Before: Sep 12 06:28:32 2020 GMT
            Not After : Sep 12 06:28:32 2021 GMT
        Subject: CN=test
        ... ...
[root@master-0 pki]# kubectl config set-credentials
Usage:
kubectl config set-credentials NAME [--client-certificate=path/to/certfile] [--client-key=path/to/keyfile]
[--token=bearer_token] [--username=basic_user] [--password=basic_password] [--auth-provider=provider_name]
[--auth-provider-arg=key=value] [--exec-command=exec_command] [--exec-api-version=exec_api_version] [--exec-arg=arg]
[--exec-env=key=value] [options]
[root@master-0 pki]# kubectl config set-credentials testadmin  --client-certificate=./test.crt --client-key=./test.key  --embed-certs=true
User "testadmin" set.
[root@master-0 pki]# kubectl config set-context --help
Usage:
kubectl config set-context [NAME | --current] [--cluster=cluster_nickname] [--user=user_nickname]
[--namespace=namespace] [options]
[root@master-0 pki]# kubectl config set-context testadmin@kubernetes --cluster=kubernetes --user=test
Context "testadmin@kubernetes" created.
[root@master-0 pki]# kubectl config view
apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: DATA+OMITTED
    server: https://10.211.55.35:6443
  name: kubernetes
contexts:
- context:
    cluster: kubernetes
    user: kubernetes-admin
  name: kubernetes-admin@kubernetes
- context:
    cluster: kubernetes
    user: test
  name: testadmin@kubernetes
current-context: kubernetes-admin@kubernetes
kind: Config
preferences: {}
users:
- name: kubernetes-admin
  user:
    client-certificate-data: REDACTED
    client-key-data: REDACTED
- name: testadmin
  user:
    client-certificate-data: REDACTED
    client-key-data: REDACTED
[root@master-0 pki]# kubectl config use-context testadmin@kubernetes
Switched to context "testadmin@kubernetes".
[root@master-0 pki]# kubectl config use-context kubernetes-admin@kubernetes

准入控制

一般不会手动操作

FR13DNS
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kubernetes 部署 kubeflow1.7.0
专注基础架构领域
10-23 507
KubeFlow 是一个开源的项目,旨在为 Kubernetes 提供可组合、便携式、可扩展的机器学习技术栈。它最初是为了解决在 Kubernetes 上运行分布式机器学习任务所带来的挑战而创建的。Kubernetes 本身是一个容器平台,但在近年来,越来越多的公司开始用它来运行各种工作负载,特别是机器学习任务。
google service account key
05-10
To use a service account from outside of Google Cloud, such as on other platforms or on-premises, you must first establish the identity of the service account. Public/private key pairs provide a ...
从零在单机上搭建k8s ,kubeflow1.7机器学习平台(国内环境)
king_super123的博客
11-28 2011
折腾了好几天,写下这篇博客记录,希望能帮助需要的人。
Kubernetes - 实战:访问控制ServiceAccount、UserAccount、RBAC、服务账户的自动化
最新发布
qq_33240556的博客
04-17 925
每个Namespace都有一个默认的ServiceAccount,如果没有明确指定,Pod将会使用默认的ServiceAccount。K8s会自动为每个ServiceAccount创建相应的Secret(通常是ServiceAccount Token),并在Pod启动时挂载到Pod的文件系统中。综上所述,通过合理的ServiceAccount创建、RBAC规则设置和自动化流程,可以有效地在Kubernetes集群中实现细粒度的访问控制管理。如上面所示,将角色绑定到ServiceAccount或User。
[从零构建Prometheus监控] 第五节:安装Prometheus on k8s与指标优化
Not Found 404
11-04 305
Prometheus监控架构中,prometheus on k8s的主要作用是监控k8s的资源,如Node,Pod,StatefulSet等。并且我们需要在每个k8s集群上都安装prometheus,而二进制部署的那个prometheus则可以当作是指标采集中心,负责采集其它exporter的指标。
kubeflow安装, Error opening bolt store: open /var/lib/authservice/data.db: permission denied
Rory的博客
04-06 763
问题描述: authservice-0 pod 启动失败:Error opening bolt store: open /var/lib/authservice/data.db: permission denied 解决方案: 修改common/oidc-authservice/base/statefulset.yaml, 添加以下内容 initContainers: - name: fix-permission image: busybox com
KubernetesServiceAccount
weixin_30670965的博客
11-05 268
ServiceAccount 是什么 Service Account为Pod中的进程和外部用户提供身份信息。所有的kubernetes集群中账户分为两类,Kubernetes管理的serviceaccount(服务账户)和useraccount(用户账户)。 大家都知道api server的集群的入口,对于kunbernetes的api server 是肯定不能随便访问。所以我们必须需要一些认...
025 Kubernetes认证serviceaccount.mp4
05-07
025 Kubernetes认证serviceaccount.mp4
A service mesh for kubernetes
08-31
A service mesh for kubernetes, A service mesh for kubernetes,A service mesh for kubernetes,A service mesh for kubernetes
Kubernetesservice服务暴露
01-07
service的IP地址仅在集群内部可达,然而,总会有些服务需要暴露到外部网络中接受各类客户端的访问,此时就需要在集群的边缘为其添加一层转发机制,以实现外部流量进入到集群的service的资源之上,这种操作称为服务...
pod-reader:使用kubernetes ServiceAccount来查询指定名称空间的pod信息的简单python脚本
02-11
使用Kubernetes ServiceAccount来查询指定名称空间的pod信息的简单python脚本。 构建容器后,预期用途如下: $ kubectl run pod-explorer --image=pod-explorer:1.0 -- $ kubectl logs pod-explorer 使用此容器...
K8S学习之serviceacount~RBAC授权
weixin_60092693的博客
01-25 1340
第一部分、认证 kubernetes上的账号 kubectl explain pods.spec可以看到有一个字段serviceAccountName(服务账号名称),这个就是我们pod连接apiserver时使用的账号,整个kubernetes集群中的账号有两类,ServiceAccount(服务账号),User account(用户账号) User account:实实在在现实中的人,人可以登陆的账号,客户端想要对apiserver发起请求,apiserver要识别这个客户端是否有请求的权限,那么不同的
Kubernetes中的service account
韦远科的专栏
02-15 7099
service account,顾名思义,主要是给service使用的一个账号。 具体一点,就是为了让Pod中的进程、服务能访问k8s集群而提出的一个概念,基于service account,pod中的进程、服务能获取到一个username和令牌Token,从而调用kubernetes集群的api server。 kubernetes中,每个命名空间默认会有一个名为“default”的serv...
k8s之ServiceAccount
热门推荐
weixin_37337210的博客
01-17 1万+
导读 上一篇说了k8s的RBAC授权模式,今天就来简单看一下其中涉及到的ServiceAccount。 简介 k8s创建两套独立的账号系统,原因如下: (1)User账号给用户用,Service Account是给Pod里的进程使用的,面向的对象不同 (2)User账号是全局性的,Service Account则属于某个具体的Namespace (3)User账号是与后端的用户数据库同步的,创建一个新用户通常要走一套复杂的业务流程才能实现,Service Account的创建则需要极轻量级的实现
Kubernetes详解(四十九)——ServiceAccount实战
永远是少年
05-09 1833
今天继续给大家介绍Linux运维相关知识,本文主要内容是ServiceAccount实战。 一、ServiceAccount创建 二、ServiceAccount应用
k8s 创建 Token (及一个 ServiceAccount 管控多个 Namespace)
叮当猫的喵i
10-18 4481
可以实现 SA 具有操作别的 namespace 中资源的权限(例如 SA 在 ns1, Role 在 ns2,SA 可操作 ns2 资源)SA 通过 ClusterRoleBinding 绑定 ClusterRole,具有 ClusterRole 权限,可操作。SA 通过 RoleBinding 绑定 Role ,具有 Role 权限,只能操作。没有 ClusterRoleBinding 与 Role 的 组合。绑定 ClusterRole, 具有。
K8S ServiceAccount
summer_fish的专栏
08-07 1665
一、ServiceAccount通常被用于授权Pod与集群中的其他资源和服务进行通信,以及访问一些需要权限的操作。ServiceAccount为Pod提供了一个身份,使得Pod能够与Kubernetes API进行交互。Kubernetes API会根据ServiceAccount的身份进行授权判断。通过ServiceAccountKubernetes管理员可以对Pod进行权限控制,限制它们能够访问的资源和操作,从而增强集群的安全性。
kubernetes系列】KubernetesServiceAccount
margu_168的博客
07-12 1728
默认的service account 仅仅只能获取当前Pod自身的相关属性,无法观察到其他名称空间Pod的相关属性信息。如果想要扩展Pod,假设有一个Pod需要用于管理其他Pod或者是其他资源对象(例如dashboard),是无法通过自身的名称空间的default service account进行获取其他Pod的相关属性信息的,此时就需要进行手动创建一个serviceaccount,并在创建Pod时进行定义使用。
kubernetes集群配置serviceaccount;Service Account和RBAC授权
码农崛起
04-17 1821
https://blog.51cto.com/ylw6006/2067326 Kubernetes API的其它服务。Service Account它并不是给kubernetes集群的用户使用的,而是给pod里面的进程使用的,它为pod提供必要的身份认证Kubernetes提供了Secret来处理敏感信息,目前Secret的类型有3种: Opaque(default): 任意字符串...
k8s 创建ServiceAccount示例
06-01
好的,以下是一个在 Kubernetes 中创建 ServiceAccount 的示例: 1. 创建一个 YAML 文件,例如 `sa-example.yaml`,并添加以下内容: ``` apiVersion: v1 kind: ServiceAccount metadata: name: my-service-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值