kube-apiserver 权限控制

已于 2024-01-22 10:23:19 修改
阅读量1k 收藏 21
点赞数 21
分类专栏: Kubernetes源码分析 文章标签: 云原生 k8s kubernetes
于 2024-01-16 15:51:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/UFOfuck/article/details/135626794
版权

kube-apiserver( Kubernetes API Server)作为Kubernetes集群的请求入口,接收集群中组件与客户端的访问请求,kube-apiserver对接口请求访问,提供了3种安全权限控制,每个请求都需要经过认证、授权及准入控制器才有权限操作资源对象。

  • 认证:确认是否具有访问Kubernetes集群的权限,针对请求的认证。
  • 授权:确认是否对资源具有相关权限,针对资源的授权。
  • 准入控制器:在认证和授权之后,对象被持久化之前,拦截kube-apiserver的请求,拦截后的请求进入准入控制器中处理,对请求的资源对象进行自定义( 校验、 修改或拒绝)等操作。

认证

  kube-apiserver目前提供了9种认证机制,分别是BasicAuth、ClientCA、TokenAuth、BootstrapToken、RequestHeader、WebhookTokenAuth、Anonymous、OIDC、ServiceAccountAuth。每一种认证机制被实例化后会成为认证器(Authenticator) 。每一个认证器都被封装在http.Handler请求处理函数中,它们接收组件或客户端的请求并认证请求。

Authenticator 实例化

Authenticator 的实例化是在apiserver启动时(kube-apiserver 启动流程)设置通用配置时完成。通过Authentication.ApplyTo()创建认证配置,ApplyTo()中执行 authenticatorConfig.New()方法将9种不同的认证机制实例化成 Authenticator(认证器)并将所有的合并到合并成authenticator对象。实例化的authenticator对象会保存在genericConfig.Authentication.Authenticator。

authenticator unionAuthRequestHandler结构体,unionAuthRequestHandler中的Handlers数组中保存着所有的认证器。unionAuthRequestHandler AuthenticateRequest()方法为认证处理函数,改函数中会遍历所有的认证器,调用每个认证器对应的 AuthenticateRequest()方法对请求进行认证,如果有一个认证器认证成功就返回ok

func (authHandler *unionAuthRequestHandler) AuthenticateRequest(req *http.Request) (*authenticator.Response, bool, error) {
	var errlist []error
	// 遍历 Handlers数组
	for _, currAuthRequestHandler := range authHandler.Handlers {
		// 执行每个每个认证器对应的 AuthenticateRequest()方法对请求进行认证
		resp, ok, err := currAuthRequestHandler.AuthenticateRequest(req)
		if err != nil {
			if authHandler.FailOnError {
				return resp, ok, err
			}
			errlist = append(errlist, err)
				continue
		}
		
		if ok {
			returnresp, ok, err
		}
	}
	
	return nil, false, utilerrors.NewAggregate(errlist)
}

Authenticator 的执行

认证器处理函数由 WithAuthentication() 函数定义并返回, WithAuthentication()函数会被函数 DefaultBuildHandlerChain()函数调用将认证处理函数封装到http.Handler请求处理函数中。

func WithAuthentication(handler http.Handler, auth authenticator.Request, failed http.Handler, apiAuds authenticator.Audiences, requestHeaderConfig *authenticatorfactory.RequestHeaderConfig) http.Handler {
	return withAuthentication(handler, auth, failed, apiAuds, requestHeaderConfig, recordAuthenticationMetrics)
}
func withAuthentication(handler http.Handler, auth authenticator.Request, failed http.Handler, apiAuds authenticator.Audiences, requestHeaderConfig *authenticatorfactory.RequestHeaderConfig, metricsauthenticationRecordMetricsFunc) http.Handler {
	if auth == nil {
		klog.Warning("Authenticationisdisabled")
		return handler
	}
	...
	// 定义并返回认证处理函数
	return http.HandlerFunc(func(w http.ResponseWriter, req *http.Request) {
		authenticationStart := time.Now()
		
		if len(apiAuds) > 0 {
			req = req.WithContext(authenticator.WithAudiences(req.Context(), apiAuds))
		}
		// 执行认证器处理函数,认证器的实例化在上面有过分析
		resp, ok, err := auth.AuthenticateRequest(req)
		authenticationFinish := time.Now()
		
		defer func() {
			metrics(req.Context(), resp, ok, err, apiAuds, authenticationStart, authenticationFinish)
		}()
		// 认证失败,返回错误
		if err != nil || !ok {
			if err != nil {
				klog.ErrorS(err, "Unabletoauthenticatetherequest")
			}
			failed.ServeHTTP(w, req)
			return
		}
		...
		req = req.WithContext(genericapirequest.WithUser(req.Context(), resp.User))
		handler.ServeHTTP(w, req)
	})
}

DefaultBuildHandlerChain()函数中会调用认证、授权等功能相应的函数对http.Handler请求处理函数进行封装,对认证处理器的封装由调用WithAuthentication()函数完成。

func DefaultBuildHandlerChain(apiHandler http.Handler, c *Config) http.Handler {
	handler := apiHandler
	...
	// 调用 WithAuthorization()函数获取授权器处理函数,授权器 c.Authorization.Authorizer作为参数
	handler = genericapifilters.WithAuthorization(handler, c.Authorization.Authorizer, c.Serializer)
	...
	// 调用 WithAuthentication()函数获取认证器处理函数,认证器 c.Authentication.Authenticator作为参数
	handler = genericapifilters.WithAuthentication(handler, c.Authentication.Authenticator, failedHandler, c.Authentication.APIAudiences, c.Authentication.RequestHeaderConfig)
}

创建通用配置流程为NewConfig()->CreateKubeAPIServerConfig()->BuildGenericConfig()->genericapiserver.NewConfig()

其中genericapiserver.NewConfig()函数中实例化config时指定Config.BuildHandlerChainFuncDefaultBuildHandlerChain()

Config.BuildHandlerChainFunc()函数在创建服务时被执行。

// 函数调用过程:NewConfig()->CreateKubeAPIServerConfig()->BuildGenericConfig()->genericapiserver.NewConfig()
func NewConfig(codecs serializer.CodecFactory) *Config {
	...
	// 实例化 Config
	return &Config{
		...
		BuildHandlerChainFunc: DefaultBuildHandlerChain, // 指定Config.BuildHandlerChainFunc为DefaultBuildHandlerChain
		...
	}
	
}

在创建APIExtensionsSerer、KubeAPIServer、AggregatorServer 3个服务时都首先会调用GenericConfig.New()创建通用服务GenericAPIServer。

GenericConfig.New()中会先调用c.BuildHandlerChainFunc()函数获取handlerChainBuilder对象。

然后调用函数NewAPIServerHandler()实例化apiServerHandler,NewAPIServerHandler()函数中会设置 apiServerHandler.FullHandlerChainConfig.BuildHandlerChainFunc

最后将 apiServerHandler 赋值给 GenericAPIServer.Handler

func (c completedConfig) New(name string, delegationTarget DelegationTarget) (*GenericAPIServer, error) {
	...
	// 调用 c.BuildHandlerChainFunc()返回认证器处理函数
	handlerChainBuilder := func(handler http.Handler)http.Handler {
		return c.BuildHandlerChainFunc(handler, c.Config)
	}
	...
	// 实例化 apiServerHandler,设置 apiServerHandler.FullHandlerChain为 Config.BuildHandlerChainFunc
	apiServerHandler := NewAPIServerHandler(name, c.Serializer, handlerChainBuilder, delegationTarget.UnprotectedHandler())
	// 将 GenericAPIServer.Handler赋值为 apiServerHandler
	s := &GenericAPIServer {
		...
		Handler: apiServerHandler,
		...
	}
}

这时我们知道apiServerHandler.FullHandlerChain包含着认证器的处理函数,下面我们来分析的apiServerHandler.FullHandlerChain执行过程。

因为apiServerHandler实现了ServeHTTP(ResponseWriter, *Request)方法,所以是一个http.Handler实例。

启动http服务的流程为prepared.Run()->preparedGenericAPIServer.Run()->NonBlockingRun()->SecureServingInfo.Serve()。

在SecureServingInfo.Serve()函数中,实例化http.Server时,指定 server.Handler为 apiServerHandler。

func (s preparedGenericAPIServer) NonBlockingRun(stopCh <-chan struct{}, shutdownTimeout time.Duration) (<-chanstruct{}, <-chan struct{}, error) {
	...
	// 执行 Serve函数,apiServerHandler被为参数
	stoppedCh, listenerStoppedCh, err = s.SecureServingInfo.Serve(s.Handler, shutdownTimeout, internalStopCh)
	if err != nil {
		close(internalStopCh)
		return nil, nil, err
	}
	...
}

func (s *SecureServingInfo) Serve(handler http.Handler, shutdownTimeout time.Duration, stopCh <-chan struct{}) (<-chan struct{}, <-chanstruct{}, error) {
	...
	secureServer := &http.Server {
		Addr: s.Listener.Addr().String(),
		Handler: handler,    // 指定 server.Handler为 apiServerHandler
		MaxHeaderBytes: 1 << 20,
		TLSConfig: tlsConfig,
		
		IdleTimeout: 90 * time.Second,
		ReadHeaderTimeout: 32 * time.Second,
	}
}

server.Handler.ServeHTTP()会在处理客户端请求时执行,也就是执行了APIServerHandler.ServeHTTP方法APIServerHandler.ServeHTTP方法中会执行apiServerHandler.FullHandlerChain函数,即执行了认证器的处理函数。

// 函数调用过程:prepared.Run()->preparedGenericAPIServer.Run()->NonBlockingRun()->SecureServingInfo.Serve()->RunServer()->server.Serve()
func (srv *Server) Serve(l net.Listener) error {
	...
	// 循环处理客户端请求
	for{
		rw, err := l.Accept()
		c := srv.newConn(rw)
		c.setState(c.rwc, StateNew, runHooks) // before Serve can return
		// 为每一个连接开启一个goroutines
		go c.serve(connCtx)
	}
	
}


func(c *conn) serve(ctx context.Context) {
	// 读取数据和其他的流程忽略
	...
	// 执行 APIServerHandler.ServeHTTP
	serverHandler{c.server}.ServeHTTP(w,w.req)
}

授权

  在客户端请求通过认证之后,会来到授权阶段。kube-apiserver同样也支持多种授权机制,并支持同时开启多个授权功能, 客户端请求在授权阶段,只要有一个授权器通过则授权成功。

  kube-apiserver目前提供了6种授权机制,分别是AlwaysAllow、AlwaysDeny、ABAC、Webhook、RBAC、Node,可通过指定--authorization-mode参数设置授权机制。

   每一种授权机制被实例化后会成为授权器(Authorizer) ,每一个授权器都被封装在http.Handler函数中,它们接收组件或客户端的请求并授权请求。

  在kube-apiserver中,授权有3个概念,分别是Decision决策状态、授权器接口、RuleResolver规则解析器。

  • Decision决策状:用于决定是否授权成功,如下。
const(
	// 表示授权器拒绝该操作。
	DecisionDeny Decision=iota
	// 表示授权器允许该操作。
	DecisionAllow
	// 表示授权器对是否允许或拒绝某个操作没有意见,会继续执行下一个授权器。
	DecisionNoOpinion
)
  • 授权器接口:每一种授权机制都需要实现Authorize()授权器接口方法,该方法会接收一个Attributes参数。Attributes是决定授权器从HTTP请求中获取授权信息方法的参数,例如GetUser、GetVerb、GetNamespace、GetResource等获取授权信息方法。如果授权成功,Decision决策状态变为DecisionAllow;如果授权失败,Decision决策状态变为DecisionDeny,并返回授权失败的原因。
  • RuleResolver规则解析器:每个授权器都需要实现RulesFor方法,RulesFor方法通过接收的user用户信息及namespace命名空间参数,解析出规则列表并返回。规则列表分为如下两种。
    • ResourceRuleInfo: 资源类型的规则列表,例如/api/v1/pods的资源接口。
    • NonResourceRuleInfo: 非资源类型的规则列表,例如/api或/health的资源接口。

授权器实例化

  授权器的实例化也是在apiserver启动时设置通用配置时完成,调用BuildAuthorizer()函数创建授权器和RuleResolver规则解析器。所有的授权器会被合并成unionAuthzHandler类型对象,该类型是一个[]authorizer.Authorizer切片,unionAuthzHandler的Authorize()方法中会遍历已启用的授权器列表并执行授权器。

type unionAuthzHandler []authorizer.Authorizer

//Authorizesagainstachainofauthorizer.Authorizerobjectsandreturnsnilifsuccessfulandreturnserrorifunsuccessful
func (authzHandler unionAuthzHandler) Authorize(ctx context.Context, a authorizer.Attributes)(authorizer.Decision, string, error) {
	var(
		errlist []error
		reasonlist []string
	)
	// 遍历授权器列表
	for _, currAuthzHandler := range authzHandler {
		// 执行授权器
		decision, reason, err := currAuthzHandler.Authorize(ctx, a)
	
		if err != nil {
			errlist = append(errlist, err)
		}
		if len(reason) != 0 {
			reasonlist = append(reasonlist, reason)
		}
		switch decision {
			case authorizer.DecisionAllow, authorizer.DecisionDeny:
				// 只要有一个授权器通过,则返回授权成功
				return decision, reason, err
			case authorizer.DecisionNoOpinion:
				// continue to the next authorizer
		}
	}
	
	return authorizer.DecisionNoOpinion, strings.Join(reasonlist, "\n"), utilerrors.NewAggregate(errlist)
}

授权器的执行

  WithAuthorization()函数会返回kube-apiserver的授权Handler方法。和认证器的配置相同,WithAuthorization函数会在DefaultBuildHandlerChain()中被调用。其他的处理流程认证器相同。

   授权器处理函数的执行和认证器相同,都会被封装在http.Handler函数中,在处理客户端请求时执行。

func WithAuthorization(hhandler http.Handler,auth authorizer.Authorizer,s runtime.NegotiatedSerializer) http.Handler {
	return withAuthorization(hhandler, auth, s, recordAuthorizationMetrics)
}

func withAuthorization(handler http.Handler,a authorizer.Authorizer, sruntime.NegotiatedSerializer, metrics recordAuthorizationMetricsFunc) http.Handler {
	// 如果a授权器为空, 则说明kubeapiserver未启用任何授权功能
	if a == nil {
		klog.Warning("Authorization is disabled")
		return handler
	}
	return http.HandlerFunc(func (w http.ResponseWriter, req *http.Request) {
		ctx := req.Context()
		authorizationStart := time.Now()
		// 从HTTP请求中获取客户端信息
		attributes, err := GetAuthorizerAttributes(ctx)
		if err != nil {
			responsewriters.InternalError(w,req,err)
			return
		}
		// 对请求进行授权
		authorized, reason, err := a.Authorize(ctx, attributes)
		
		authorizationFinish := time.Now()
		defer func() {
			metrics(ctx, authorized, err, authorizationStart, authorizationFinish)
		}()
		
		//an authorizer like RBAC could encounter evaluation errors and still allow the request, so authorizer decision is checked befor eerror here.
		if authorized == authorizer.DecisionAllow {
			audit.AddAuditAnnotations(ctx,
				decisionAnnotationKey, decisionAllow,
				reasonAnnotationKey, reason)
			handler.ServeHTTP(w, req)
			return
		}
		if err != nil {
			// 返回 HTTP 401 Unauthorized
			audit.AddAuditAnnotation(ctx, reasonAnnotationKey, reasonError)
			responsewriters.InternalError(w, req, err)
			return
		}
		
		klog.V(4).InfoS("Forbidden", "URI", req.RequestURI, "reason", reason)
		audit.AddAuditAnnotations(ctx,
			decisionAnnotationKey, decisionForbid,
			reasonAnnotationKey, reason)
		responsewriters.Forbidden(ctx, attributes, w, req, reason, s)
	})
}

准入控制器

准入控制器会在验证和授权请求之后,对象被持久化之前,拦截kube-apiserver的请求,拦截后的请求进入准入控制器中处理,对请求的资源对象执行自定义(校验、修改或拒绝等)操作。准入控制器以插件的形式运行在kube-apiserver进程中,也可以将每个准入控制器称为准入控制器插件。

kube-apiserver支持多种准入控制器机制,并支持同时开启多个准入控制器功能,如果开启了多个准入控制器,则按照顺序执行准入控制器。

客户端发起一个请求,在请求经过准入控制器列表时,只要有一个准入控制器拒绝了该请求,则整个请求被拒绝(HTTP 403 Forbidden)并返回一个错误给客户端。

kube-apiserver目前支持如下两种准入控制器。

  • 变更准入控制器(Mutating Admission Controller):用于变更信息,能够修改用户提交的资源对象信息。
  • 验证准入控制器(Validating Admission Controller):用于身份验证,能够验证用户提交的资源对象信息。

提示:变更准入控制器运行在验证准入控制器之前。

变更准入控制器和验证准入控制器接口在文件vendor/k8s.io/apiserver/pkg/admission/interfaces.go中定义,分别是MutationInterface和ValidationInterface。有些准入控制器可能同时实现了Admit和Validate方法,能够执行变更操作,也能够执行验证操作,例如AlwaysPullImages准入控制器。

type Interface interface {
	Handles(operation Operation) bool
}
type MutationInterface interface{
	Interface
	Admit(ctx context.Context, a Attributes, o ObjectInterfaces) (err error)
}
type ValidationInterface interface {
	Interface
	Validate(ctx context.Context, a Attributes, o ObjectInterfaces) (err error)
}

kube-apiserver中的所有已启用的准入控制器(Admit方法及Validate方法)由 vendor/k8s.io/apiserver/pkg/admission/chain.go下的chainAdmissionHandler []Interface数据结构管理。

准入控制器配置

在函数CreateKubeAPIServerConfig()中,创建通用配置后,执行opts.Admission.ApplyTo()完成准入控制器插件的注册。Admission.ApplyTo()->a.GenericAdmission.ApplyTo()。

func (a*AdmissionOptions) ApplyTo(
	c *server.Config,
	informers informers.SharedInformerFactory,
	kubeClient kubernetes.Interface,
	dynamicClient dynamic.Interface,
	features featuregate.FeatureGate,
	pluginInitializers ...admission.PluginInitializer,
)error {
	if a == nil {
		return nil
	}
	...
	// 所有插件名称
	pluginNames := a.enabledPluginNames()
	...
	// 注册插件
	admissionChain, err := a.Plugins.NewFromPlugins(pluginNames, pluginsConfigProvider, initializersChain, a.Decorators)
	if err != nil {
		return err
	}
	
	c.AdmissionControl = admissionmetrics.WithStepMetrics(admissionChain)
	return nil
}

所有的准入控制器会被合并成pluginHandlerWithMetrics类型对象记录到c.AdmissionControl中。pluginHandlerWithMetrics类型实现了Admit()和Validate()方法。

Lemon熊
关注
  • 21
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
k8s APIserver 安全机制之 rbac 授权
高飞的博客
11-11 25万+
k8s 认证、授权、准入控制机制
kubernetes API 访问控制之:授权
看,未来的博客
06-02 1166
可以使用kubectl、客户端库方式对REST API的访问,Kubernetes的普通账户和Service帐户都可以实现授权访问APIAPI的请求会经过多个阶段的访问控制才会被接受处理,其中包含认证、授权以及准入控制(Admission Control)等。如下图所示: 需要注意:认证授权过程只存在HTTPS形式的API中。也就是说,如果客户端使用HTTP连接到kube-apiserver,是不会进行认证授权的。所以说,可以这么设置,在集群内部组件间通信使用HTTP,集群外部就使用HTTPS,这样既增加
KubernetesAPIServer组件简介
热门推荐
菲宇运维
08-21 3万+
API Server简介 k8s API Server提供了k8s各类资源对象(pod,RC,Service等)的增删改查及watch等HTTP Rest接口,是整个系统的数据总线和数据中心。 kubernetes API Server的功能: 提供了集群管理的REST API接口(包括认证授权、数据校验以及集群状态变更); 提供其他模块之间的数据交互和通信的枢纽(其他模块通过API Se...
1、Kubernetes apiserver认证
码农崛起
06-06 1081
https://www.jianshu.com/p/97a3e7060f4chttps://www.cnblogs.com/netonline/p/8710481.htmlkubernetes认证Kubernetes集群的操作可以通过apiserver来进行操作,kubectl命令最终也是调用的apiserver,如果想要获取对apiserver进行操作,需要先通过其认证api-server的认证...
kubernetes认证、授权、准入控制
weixin_38320674的博客
07-05 1774
微信公众号搜索linux全栈技术,即可关注我的公众号,也可通过扫描文章最后的二维码关注,每天都会分享技术文章供大家参考阅读~,拥抱开源,同大家共同进步~前言k8s对我们整个系统的认证,...
kube-apiserver.rar
01-09
kube-apiserverk8s控制平面的主要组件之一,它作为集群的单一入口点,为客户端提供了与集群交互的能力。通过RESTful API接口,kube-apiserver接收并处理对资源对象(如Pod、Service、Deployment等)的创建、更新、...
kube-eagle:一个Prometheus导出器,旨在更好地概述Kubernetes集群中的资源分配和利用率
02-03
大多数托管Kubernetes集群默认情况下都安装了metrics-server,您可以在掌舵仓库中找到相关的掌舵图表。 所需权限 确保窗格已连接具有所需权限的服务帐户。 您可以使用我们的头盔图,该头盔图可以创建服务帐户以及所...
Kubernetes部署kube-state-metrics
最新发布
02-23
kube-state-metrics通过Kubernetes API server的Watch机制实时监控对象的状态变化,当检测到变化时,它会生成相应的度量。生成的度量数据包括但不限于: - Pod的生命周期状态(如Pending、Running、Succeeded、...
网络插件kube-flannel.yml.zip
01-03
3. ServiceAccount:定义了Flannel所需的ServiceAccount,使Pod能够与Kubernetes API Server交互,获取和更新网络配置。 4. Role和RoleBinding:这两个资源定义了权限,允许Flannel组件访问必要的Kubernetes API...
k3s-monitoring:快速入门指南,可通过Prometheus Operator和kube-prometheus-stack Helm Chart在k3s集群上获得完整的监视和警报堆栈并运行
02-04
其次,kube-prometheus-stack是一个预配置的Helm Chart,它包含了运行一个完整的Prometheus监控堆栈所需的所有组件,包括Prometheus Server、Alertmanager、Grafana以及各种服务发现和出口器。这个堆栈能够提供丰富...
kubeapiServer学习
一直行走在路上
04-27 1万+
apiserver相当于是k8集群的一个入口,不论通过kubectl还是使用remote api 直接控制,都要经过apiserverapiserver说白了就是一个server负责监听指定的端口. main函数的代码位于./kubernetes/cmd/kube-apiserver: func main() { runtime.GOMAXPROCS(runtime.NumCPU
Kubernetes10--API访问控制
大魔王
12-03 1551
使用API来访问k8s集群,方便使用第三方客户端来访问和管理k8s集群资源,在此准备使用Java语言来封装API使用。 1.API Server 配置文件解析 如上图所示,k8s集群中主要使用Api Server来作为系统通信的中心,因此使用api相当于主要与api server来进行信息交互。 在此之前使用kubeadm方式来部署k8s集群,查看一下apiserver的yaml文件: ...
kubernetes1.5新特性:kubelet API增加认证和授权能力
容器技术爱好者
12-22 1万+
一、背景介绍 在Kubernetes1.5中,对于kubelet新增加了几个同认证/授权相关的几个启动参数,分别是: 认证相关参数: •       anonymous-auth参数:是否启用匿名访问,可以选择true或者false,默认是true,表示启用匿名访问。 •       authentication-token-webhook参数:使用tokenreviewAPI来进行令牌认
kubernetes/k8s概念】kube-apiserver启动参数
zhonglinzhang
05-30 1万+
kubernetes 1.12.1版本 DESC The Kubernetes API server validates and configures data for the api objects which include pods, services, replicationcontrollers, and others. The API Server services REST o...
Kubernetes RBAC Authorization(基于角色的访问控制
山不转的博客
07-12 4877
基于角色的访问控制(RBAC),是一种其于用户的角色控制其对资源访问的方法。RBAC利用rbac.authorization.k8s.io API组实现授权决策,允许管理通过kubernetes API动态配置策略。在kubernetes 1.8版本中RBAC成为稳定特性,由rbac.authorization.k8s.io/v1 API在后端实现。通过为apiserver指定--authoriz...
Kubernetes中使用Node授权
Kubernetes中文社区
09-20 2343
Node授权是一种特殊授权模式,专门授权由kubelet访问的API请求。 概述 Node授权器允许kubelet执行的API操作包括: 读: servicesendpointsnodespodssecrets, configmaps, persistent volume claims and persistent volumes related to pods bound
kubernetes API Server 权限管理实践
weixin_33734785的博客
08-13 332
为什么80%的码农都做不了架构师?>>> ...
k8s安全 认证 鉴权 准入控制之二:授权(Authorization)
张成基
07-06 2万+
系列文章链接 k8s安全 认证 鉴权 准入控制之一:认证(Authentication) k8s安全 认证 鉴权 准入控制之二:授权(Authorization) 授权(Authorization) ·上面认证过程,只是确认通信的双方都确认了对方是可信的,可以相互通信。而鉴权是确定请求方有哪些资源的权 限。API Server 目前支持以下几种授权策略 (通过 API Server 的启动参数 “–authorization-mode” 设置) 默认使用RBAC AlwaysDeny:表示拒绝所有的请
逃脱只会部署集群系列 —— k8s集群认证、授权、安全控制
一别两宽丶各生欢喜
11-20 1737
文章主要介绍了k8s集群的认证、授权、安全控制模式,说明一个组件或者一个用户是如何划分应有的权限,具体追溯kubectl、kubelet、Service Account等整个控制过程。 一、APIServer安全控制机制 1、Authentication:身份认证 这个环节它面对的输入是整个http request,负责对来自client的请求进行身份校验,支持的方法包括: basic auth(基本废弃) ...
重启kube-apiserver命令
07-14
要重启 Kuberneteskube-apiserver 组件,您可以使用以下命令: 1. 使用超级用户或具有适当权限的用户登录到运行 kube-apiserver 的主节点上。 2. 执行以下命令以重启 kube-apiserver: ``` sudo systemctl restart kube-apiserver ``` 如果您的系统不是使用 systemctl 进行管理,则可能需要使用其他命令,例如: ``` sudo service kube-apiserver restart ``` 这将停止并重新启动 kube-apiserver 进程。 3. 检查 kube-apiserver 是否已成功重新启动。您可以使用以下命令查看 kube-apiserver 进程状态: ``` sudo systemctl status kube-apiserver ``` 或者,您可以使用以下命令检查 kube-apiserver 是否正在监听所需的端口(默认为 6443): ``` sudo netstat -tuln | grep 6443 ``` 如果 kube-apiserver 成功重新启动,您应该能够看到相关的进程和监听端口。 请注意,上述命令假设您正在使用 systemd 来管理服务。如果您的系统使用其他方式管理服务,可能需要相应地调整命令。确保以适合您的环境的方式执行命令,并确保您具有执行这些操作所需的适当权限

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值