rbac安全机制

已于 2024-09-13 16:50:19 修改
阅读量683 收藏 12
点赞数 8
文章标签: kubernetes 容器 安全
于 2024-09-13 16:49:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Hai990218/article/details/142201323
版权

目录

概念

rbac实验

概念

rbac就是安全机制。

集群是按照用户名进行登录、按照项目名称进行命令空间的分类。

k8s的安全机制:

集群内部和外部的通信都需要靠apiserver进行调度。所有的安全机制都是围绕apiserver展开的。

要和apiserver进行通信有三关:

1. 认证 Authentication   就是token

2. 鉴权 Authorzation 就是你在集群当中权限的控制

3. 准入控制 admission control  就是能做哪些

一、认证

1. http token,是一个很长的特殊编码方式的而且是难以被模仿的特殊字符串,就是用来表达客户端的一种方式。每一个token都会对应一个用户,存储在apiserver能够访问的文件中。客户端发起对apiserver的请求时,在http header当中必须加入token。

2. http base 认证:用户名+密码进行认证

3. https证书认证:基于ca证书签名的客户端身份认证方式。这是最严格的方式。

http token和http base都是服务端对客户端的单向认证,https是双向认证的方式。

认证的资源类型:

kubectl、kubelet、kube-proxy 都是需要认证的,kubectl对pod进行管理也需要认证。

service-Account:是为了方便访问pod中的容器,以及容器访问apiserver专门创建的。每创建一个pod就会自动创建service-Account。

pod里容器目录下包含以下三个:

1. token:和apiserver认证的私钥

2. ca.crt:认证apiserver的证书

3. namespace:标识service account的命名空间

目录地址:/var/run/secrets/kubernetes.io/serviceaccount/

二、鉴权:

认证过后,就到了鉴权。鉴权就是确定请求方有哪些资源的权限。鉴权统一使用rbac进行。

角色:

Role:就是指定命名空间的资源控制权限

ClusterRole:可以指定所有的命名空间的资源控制权限

角色绑定:

rolebinding:将角色绑定到主体(用户 subject)

clusterRolebinding:将集群角色绑定到主体

主体:

user 用户

service account  服务账号(集群的服务账号)

group 用户组

模版:

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: test1
#创建的角色名称
  namespace: lucky-cloud
#这个是必须要有的字段,只能有一个命名空间
  rules:
#定义规则
  - apiGroups: [""]
#"" 就是默认对apiserver的请求权限
    resources: ["pods","services","deployments","pods/exec","pods/log"]
#给主体(用户)可以在指定的命名空间内哪些资源对象进行操作
    verbs: ["get","watch","list","exec","create"]
#操作的类型
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: test2
  namespace: lucky-cloud
subjects:
- kind: User
  name: lucky
  apiGroups: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: test1
  apiGroups: rbac.authorization.k8s.io

注:如果创建的是clusterRolebinding,就不需要namespace

三、准入机制

rbac实验

此时就需要做认证

apiserver和用户之间连接的认证证书:

cd /usr/local/bin/

把cfssl  cfssl-certinfo  cfssljson这三个拖进去

chmod 777 cfssl*

客户端的签名证书:

cd /opt/rbac/

cat > lucky-csr.json <<EOF
{
  "CN": "lucky",
  "hosts": [],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
	  "ST": "BeiJing",
      "L": "BeiJing",
      "O": "k8s",
	  "OU": "System"
    }
  ]
}
EOF

cd /etc/kubernetes/pki/

cfssl gencert -ca=ca.crt -ca-key=ca.key -profile=kubernetes /opt/rbac/lucky-csr.json | cfssljson -bare lucky 

和集群认证的配置文件:

cd /opt/rbac

vim rbac-config.sh

APISERVER=$1
# 设置集群参数
export KUBE_APISERVER="https://$APISERVER:6443"
kubectl config set-cluster kubernetes \
  --certificate-authority=/etc/kubernetes/pki/ca.crt \
  --embed-certs=true \
  --server=${KUBE_APISERVER} \
  --kubeconfig=lucky.kubeconfig

# 设置客户端认证参数
kubectl config set-credentials lucky \
  --client-key=/etc/kubernetes/pki/lucky-key.pem \
  --client-certificate=/etc/kubernetes/pki/lucky.pem \
  --embed-certs=true \
  --kubeconfig=lucky.kubeconfig

# 设置上下文参数
kubectl config set-context kubernetes \
  --cluster=kubernetes \
  --user=lucky \
  --namespace=lucky-cloud \
  --kubeconfig=lucky.kubeconfig

chmod 777 rbac-config.sh

./rbac-config.yaml 192.168.233.31 (master的ip地址)

kubectl config use-context kubernetes --kubeconfig=lucky.kubeconfig

mkdir /home/lucky/.kube

cp lucky.kubeconfig /home/lucky/.kube/config

chown -R lucky:lucky /home/lucky/.kube/

vim role.yaml

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: test1
#创建的角色名称
  namespace: lucky-cloud
#这个是必须要有的字段,只能有一个命名空间
  rules:
#定义规则
  - apiGroups: [""]
#"" 就是默认对apiserver的请求权限
    resources: ["pods","services","deployments","pods/exec","pods/log"]
#给主体(用户)可以在指定的命名空间内哪些资源对象进行操作
    verbs: ["get","watch","list","exec","create"]
#操作的类型
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: test2
  namespace: lucky-cloud
subjects:
- kind: User
  name: lucky
  apiGroups: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: test1
  apiGroups: rbac.authorization.k8s.io

注:#rules.verbs有:"get", "list", "watch", "create", "update", "patch", "delete", "exec"
#rules.resources有:"services", "endpoints", "pods", "secrets", "configmaps", "crontabs", "deployments", "jobs", "nodes", "rolebindings", "clusterroles", "daemonsets", "replicasets", "statefulsets", "horizontalpodautoscalers", "replicationcontrollers", "cronjobs"

kubectl create ns lucky-cloud

kubectl apply -f role.yaml

kubectl create deployment nginx1 --image=nginx;1.22 --replicas=3 -n lucky-cloud

su - lucky  切换用户

kubectl logs -f nginx1 

kubectl exec -it nginx1 bash  

此时就能进入容器

Hai990218
关注
Kubernetes技术--k8s核心技术集群的安全机制RBAC
u013185175的博客
08-31 1762
RBAC(Role-Based Access Control,基于角色的访问控制),简单的理解就是当一个用户被赋予一个角色之后,就可以使用这个角色所享有的一些操作。就是一个准入控制器的列表,如果在列表中有请求的内容,那么就允许通过;如果没有那么就不允许通过。传输安全:对外是不暴露端口:8080,只能够在内部访问,对外使用的是6443端口。-3.创建角色,这里为了更好的复用,我们使用yaml文件来实现,如下所示,并执行。---这里使用一个现实中的案例来举例,便于理解。------缺少证书文件,无法往下执行!
k8s,盘他!k8s的安全机制RBAC使用方法
CN_TangZheng的博客
05-21 1233
文章目录前言一:k8s安全机制1.1:kubernetes安全框架1.2:第一关:Authentication认证1.3:第二关:Authorization授权1.3.1:RBAC使用测试1.4:第三关:准入控制Admission Control如有疑问可评论区交流! 前言 一:k8s安全机制 安全框架、 传输安全、认证,授权,准入控制 使用rbac授权 1.1:kubernetes安全框架 安全框架的流程 流程:kubectl先请求api资源,然后是过三关,第一关是认证(Authenticatio
k8s之rbac安全机制
Alone8046的博客
09-13 836
K8S中的安全机制,分布式的集群管理工具,就是容器编排。安全机制的核心:集群内外部通信都需要靠apiserver进行调度所有的安全机制都是围绕apiserver来设计的1、认证Authentication token2、鉴权Authorzation:在集群当中权限的控制3、准入控制admission control:能做哪些或者说是在哪里做。
k8s集群RBAC安全机制:role rolebing user
学亮编程手记
02-14 3442
k8s集群RBAC安全机制:role rolebing user
rbac——安全机制
m0_71178834的博客
09-13 494
每一个token都会对应一个用户,存储在api server能够访问的文件中。#rules.verbs有:"get", "list", "watch", "create", "update", "patch", "delete", "exec"api server ————>集群内部和外部的通信都需要靠api server进行调度,所有的安全机制都是围绕api server展开的。token:http token 是一个很长的特殊编码方式的而且是难以被模仿的特殊字符串,来表达客户端的一种方式。
Kubernetes安全机制——Rbac
屈帅波的技术博客
11-27 398
官网文档:https://kubernetes.io/docs/reference/access-authn-authz/rbac/ 1.Kubernetes安全框架 Kubernetes: 认证、授权 API server: subject --> action --> object 认证:token,tls,user/password 账号:UserAccount, ...
基于 RBAC与监听器机制设计作业管理软件
10-19
本项目旨在设计一款适用于教育场景中的作业管理系统,利用角色基础的访问控制(Role-Based Access Control,简称RBAC)及监听器机制来实现安全高效的操作流程。RBAC是一种常用的安全管理模型,它通过定义不同的角色...
k8s环境搭建
m0_72009757的博客
09-11 698
yum clean all && yum makecachevim /etc/selinx/config
金钥匙系列:Kubernetes (K8s) 服务集群技术栈学习路线
百锦再的博客
09-14 1696
维护 Kubernetes 服务集群是一项技术含量高且复杂的工作,需要多方面的知识与技能,包括 Linux 基础、网络、容器化技术、Kubernetes 核心概念与实践、集群管理、安全、高可用性、监控、日志、CI/CD 集成等。通过扎实的基础学习和大量的实践操作,你可以逐步掌握这些技术栈,并在企业级 Kubernetes 集群维护中发挥重要作用。学习 Kubernetes 不仅仅是为了掌握一项技术,更是为了理解云原生架构背后的思维方式和工作流,这对未来的职业发展也具有非常重要的意义。
kubeadm方式安装k8s
m0_72009757的博客
09-10 632
本次以⼆进制⽅式安装⾼可⽤ k8s 1.28.0 版本,但在⽣产环境中, 建议使⽤⼩版本⼤于 5 的 Kubernetes 版本,⽐如 1.19.5 以后。
9.11-kubeadm方式安装k8s
qq_70752758的博客
09-11 540
配置pod的yaml文件和docker-compose.uaml文件相似。
k8s的基础
weixin_70752007的博客
09-14 355
7.在node01和node02节点上引入tar包,并使用ctr指令将tar包导入到containerd的镜像中。5.使用ctr指令将tar包导入到containerd的镜像中。4.使用docker save指令打包镜像。8.使用kubectl run创建pod。6.查看containerd镜像列表。10.监控容器运行的5个切入点。2.加载启动docker服务。9.使用配置文件创建pod。
k8s防火墙networkPolicy,的核心是“自己”
2401_84019227的博客
09-11 846
xxx.xxx.xx.x/32 # 允许某个网段,但除了这个ip。2. 从哪个名称空间进来的,就设置namespaceSelector,k8s的防火墙,考虑如何配置,就是从“自己”出发,去看待流量的流向。4. 从哪些标签的pod来的,就设置podSelector。是允许哪些流量来访问我,就是ingress from,1. 从哪个端口进来的,就设置ports,3. 从哪些ip来的,就设置ipBlock。那么,没有说明的,就是不让ingress。写了规则的,是允许进入和出去的流量。
【从问题中去学习k8s】k8s中的常见面试题(夯实理论基础)(二十九)
zerotoall的博客
09-11 343
思考一下问题: 97、您认为公司如何处理服务器及其安装? 考虑一家拼车公司希望通过同时扩展其平台来增加服务器数量。 您认为公司如何处理服务器及其安装? 参考答案:
k8s防火墙networkPolicy,其他规则和端口规则ports的匹配顺序,进站策略ingress和出站策略egress中,ports规则的常用方法。
2401_84019227的博客
09-11 482
有了这个先后顺序,相对就容易理解其他规则和ports规则的匹配关系。看ip报文里面封装的TCP/UDP报文中的端口号。因为端口信息是在打开ip包之后才能看到的。如果不接收,就不会有检测端口号的操作,端口策略和其他策略的顺序关系是什么。ports这个策略,和前面三个不同。ingress.from进站策略中。如果要求,只能访问什么端口,就是与。而是说,能访问所有主机的什么端口。egress.to出站策略中。如果没有强调只能访问什么端口。B接收到数据包是先看ip。各个规则和端口号的关系。各个规则和端口号的关系。
K8s 简介以及详细部署步骤
最新发布
TYM121380的博客
09-14 882
1、在Docker 作为高级容器引擎快速发展的同时,在Google内部,容器技术已经应用了很多年2、Borg系统运行管理着成千上万的容器应用。3、Kubernetes项目来源于Borg,可以说是集结了Borg设计思想的精华,并且吸收了Borg系统中的经验和教训。3、Kubernetes对计算资源进行了更高层次的抽象,通过将容器进行细致的组合,将最终的应用服务交给用户。kubernetes的本质是一组服务器集群,它可以在集群的每个节点上运行特定的程序,来对节点中的容器进行管理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值