系列:7、 Kubernetes 安全性

已于 2022-03-12 01:22:17 修改
阅读量1.1k 收藏
点赞数
分类专栏: kubernetes 文章标签: kubernetes devops 运维
于 2022-03-12 01:09:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a1368783069/article/details/123436512
版权

Kubernetes 安全性

我们将讨论 Kubernetes 安全性。 当我们在使用 Kubernetes 时,出于安全原因,我们有时会希望限制网络的访问或限制某些用户查看或运行某些命令等。

为此,我们必须使用不同的 Kubernetes 概念。

1、Network Policy(网络策略)

如果我们想限制来自或去往 Pod 的网络流量,我们需要定义一个 NetworkPolicy。

例如,如果我们想限制特定端口(比如 80 )到我们的 nginx Pod 的流量 以及 如果我们想限制来自 nginx 端口(比如 8080 )的流量,我们需要分别定义 Ingress 和 Egress 定义。 网络策略与带有标签的 Pod 相匹配。

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: nginx-network-policy
spec:
  podSelector:
    matchLabels:
      role: lb
  policyTypes:
  - Ingress
  - Egress
  ingress:
  - from:
    ports:
    - protocol: TCP
      port: 80
  egress:
  - to:
    ports:
    - protocol: TCP
      port: 8080

因此,此 NetworkPolicy 将应用于任何具有标签“role:lb”、限制 80 端口流量和 8080 端口流量的 Pod。

2、RBAC

Role-based access control(基于角色控制)是一种根据组织内个人用户的角色来调节对计算机或网络资源的访问的方法。

想象一下,在您的公司中,您有 50 人在 IT 部门工作,分为开发人员、测试人员和 DevOps。如果某些资源仅适用于 DevOps 人员(例如控制平面资源,因此开发人员和测试人员不会在这些资源上犯任何错误)并且该资源不应该对其他角色可见,那么我们可以通过定义 RBAC 来限制他们的访问。

我们可以定义一个角色或集群角色。

该角色仅适用于特定的命名空间。

顾名思义,ClusterRole 是集群范围的,并且它是非命名空间的。

因此,如果您需要对特定命名空间进行访问控制,请定义角色,不定义 ClusterRole。

创建角色后,我们必须根据需要和/或使用情况将它们绑定到 RoleBinding 或 ClusterRoleBinding。

应该在“verb”参数上提供用户/角色可能被允许的操作,该参数可以是下面列出的任何一个:

[get, list, watch, create, update, patch, delete]

请注意,Kubernetes 建议使用服务帐户(非人类帐户尝试进行身份验证),因此我们也必须创建服务帐户。

RBAC 可以定义为命令式和声明式。

出于学习目的,让我们创建上面提到的 3 个不同的角色,开发人员、测试人员和管理员。 开发人员将有权获取、列出和更新“developers”命名空间中的 Deployment 和 Pod,测试人员将有权列出“testers”命名空间中的 Pod,DevOps 将有权列出集群范围内的所有 Pod .

让我们从创建一个名为“developers”的命名空间开始:

kubectl create namespace developers

在这里插入图片描述

然后让我们使用命令式方法创建角色开发者:

kubectl create role dev-role --verb=get,list,create --resource=deployments,pods -n developers

在这里插入图片描述

用声明的方式创建,如下:

rbac.yaml

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: developers
  name: dev-role
rules:
- apiGroups: [""]
  resources: ["pods","deployments"]
  verbs: ["get", "list", "create"]

现在,如果我们想对单个用户使用它,我们将只为一个用户“ege”创建一个角色绑定:
在这里插入图片描述

这只是为了向您展示它会如何做。 但正如前面所提到的,Kubernetes 建议使用服务帐户,这将仅适用于用户“ege”,但实际上,我们不希望它仅适用于用户,而是适用于整个角色。 所以我们需要为此创建一个服务帐户:

kubectl create serviceaccount dev-sa -n developers

在这里插入图片描述

注意: Role 和 RoleBinding 应该在它们将被使用的特定命名空间上创建,但服务帐户可以在不同的命名空间上。

现在让我们再次将我们的角色开发者与创建的服务帐户绑定。

kubectl create rolebinding dev-sa-rb --role=dev-role --serviceaccount=developers:dev-sa

在这里插入图片描述

如上所示,当我们与服务帐户绑定时,我们首先编写命名空间,然后编写服务帐户的名称,如开发人员:dev-sa。

dev-sa.yaml

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: dev-sa-rb
  namespace: developers
subjects:
- kind: ServiceAccount
  name: dev-sa
  namespace: developers
roleRef:
  kind: Role
  name: dev-role
  apiGroup: rbac.authorization.k8s.io

下面继续创建test角色以及进行角色绑定

创建命名空间:

kubectl create namespace testers

在这里插入图片描述

现在让我们在“testers”命名空间中创建对 Pod 具有“list”权限的角色

kubectl create role tester-role --verb=list --resource=pods -n testers

在这里插入图片描述

创建testers的服务账号:

kubectl create serviceaccount tester-sa

在这里插入图片描述

kubectl create rolebinding tester-rb --role=tester-role --serviceaccount=testers:tester-sa -n testers

在这里插入图片描述

为 devops 创建集群角色:

kubectl create clusterrole devops-role --verb=list --resource=pods

在这里插入图片描述

给devops创建服务账号:

kubectl create serviceaccount devops-sa

在这里插入图片描述

查询现有角色:

kubectl get roles

在这里插入图片描述

默认空间内无角色

kubectl get roles -n developers

在这里插入图片描述

kubectl get roles -n testers

在这里插入图片描述

产看角色详细信息:

kubectl describe role dev-role -n developers

在这里插入图片描述

核查访问权限:
在这里插入图片描述

答案是yes,因为我们是自己集群的管理员。 要检查其他用户,我们需要添加“–as 

kubectl auth can-i delete deployments --as tester-sa

在这里插入图片描述

该用户无相关权限。

3、Security Context(安全上下文)

安全上下文定义 Pod 或容器的权限和访问控制设置。

当我们想以特定用户身份运行 Pod 或 Container 时,我们会使用安全上下文。 所以我们可以通过添加安全上下文来定义运行 Pod 的用户。

路径是“.spec.securityContext”。

样例 YAML 文件:

pod-security-context.yaml

apiVersion: v1
kind: Pod
metadata:
  name: security-context-demo
spec:
  securityContext:
    runAsUser: 1000
    runAsGroup: 3000
    fsGroup: 2000
  volumes:
  - name: sec-ctx-vol
    emptyDir: {}
  containers:
  - name: sec-ctx-demo
    image: busybox
    command: [ "sh", "-c", "sleep 1h" ]
    volumeMounts:
    - name: sec-ctx-vol
      mountPath: /data/demo
    securityContext:
      allowPrivilegeEscalation: false

创建pod:

kubectl apply -f pod-security-context.yaml

进入pod内:

kubectl exec -it security-context-demo  -- sh

在这里插入图片描述

我们可以在容器级别定义安全上下文。 请注意,容器级别的安全上下文将覆盖 Pod 级别。 例如:

pod-overide-sc.yaml

apiVersion: v1
kind: Pod
metadata:
  name: busybox
spec:
  securityContext:
    runAsUser: 1000
    runAsGroup: 2000
  containers:
  - name: busybox
    image: busybox
    command: ["sh", "-c", "sleep 1h"]
    securityContext:
      runAsUser: 2000

创建pod:

kubectl  apply -f pod-overide-sc.yaml

查看用户:

kubectl exec -it busybox -- sh

在这里插入图片描述

可以看到用户是2000

系列:1、Kubernetes 简介

系列:2、创建Kubernetes集群

系列:3、Kubectl 的使用

系列:4.1、Kubernetes 对象

系列:4.2、Kubernetes 工作负载

系列:4.3、Kubernetes 服务

系列:4.4、Kubernetes 存储

系列:4.5、Kubernetes 配置对象

系列:5、Kubernetes中的调度

系列:6、Kubernetes 的升级与部署策略

系列:7、 Kubernetes 安全性(本文)

系列:8、部署一个全栈应用

面向未来的历史
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kubernetes安全机制
2302_76824193的博客
08-21 232
k8s 安全机制:认证、鉴权、准入机制
Kubernetes(k8s)安全机制
weixin_56270746的博客
08-11 1684
Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介, 也是外部控制的入口。
Kubernetes安全性
魏州青年的博客
01-20 413
安全必须是任何DevOps流程的一等公民。Kubernetes越来越受欢迎,他的安全性也越来越被组织重视。 Kubernetes中的安全性是一种实践,而不仅仅是一项功能。安全是一个多维问题,必须从不同的角度来解决。 Kubernetes安全性可以定义为以下四个方面: Infrastructure(基础设施) Kubernetes自身 Containers(容器) Applications(应用) Kubernetes安全的4个方面 基础设施的安全性 基础设施的安全性通常是最基本的任务.
kubernetes 安全
爱死亡机器人
08-08 460
保护Kubernetes似乎是一项神秘的任务。作为一个由一系列不同组件组成的高度复杂的系统,Kubernetes 不是您可以通过简单地启用安全模块或安装安全工具来保护的东西。相反,Kubernetes 安全要求团队解决可能影响 Kubernetes 集群内各个层和服务的每种类型的安全风险。例如,团队必须了解如何保护 Kubernetes节点、网络、Pod、数据等。......
k8s从入门到放弃-第九章安全认证
一起学习吧
05-14 492
文章目录9.1访问控制概述9.2认证管理9.3授权管理9.4准入控制 本章节主要介绍Kubernetes安全认证机制。 9.1访问控制概述 Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。 所谓的安全性其实就是 保证对Kubernetes的各种客户端进行认证和鉴权操作。 客户端 在Kubernetes集群中,客户端通常有两类: ●User Account: 一般是独立于kubernetes之外的其他服务管理的用户账号。 ●Service Account: kubern
kubernetes:从Kubernetes网络研讨会系列学习Kubernetes
02-13
6. **Kubernetes安全与监控** - **RBAC(Role-Based Access Control)**:控制对集群资源的访问权限。 - **Pod Security Policies**:限制Pod的安全配置,防止恶意行为。 - **Prometheus 和 Grafana**:常用监控...
zeebe-kubernetes:Zeebe Kubernetes配置
02-05
Kubernetes提供了服务发现、健康检查、自动扩展等一系列功能,是现代云原生架构的重要组成部分。 **Zeebe在Kubernetes的部署** 1. **Deployment**: Zeebe通常通过Kubernetes的Deployment资源类型进行部署。...
kube-slides:关于Kubernetes的演示
03-27
同时,**Network Policies**允许对Pod间的网络流量进行精细控制,增强安全性。 为了存储,Kubernetes支持多种持久化存储选项,如本地存储、云提供商的存储服务或者第三方存储解决方案,通过**Persistent Volumes ...
kubernetes-series:kubernetes系列代码
05-14
GKE是Google提供的托管Kubernetes服务,简化了集群的创建、管理和更新过程,同时利用了GCP的全球基础设施和安全性。 "medium-article"提示我们这些博客文章可能是在Medium平台上发布的,这是一个流行的技术分享和...
prometheus:用于Kubernetes的Prometheus部署
04-08
**五、安全性与最佳实践** 1. **安全配置** 为了保护Prometheus服务器和数据的安全,需要配置TLS加密通信、限制访问权限等。 2. **资源管理** 设置合理的资源请求和限制,避免Prometheus占用过多资源影响集群稳定...
【云原生之k8s】k8s安全机制
qq_45088125的博客
08-06 3543
Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介, 也是外部控制的入口。所以 Kubernetes安全机制基本就是围绕保护 API Server 来设计的。 ...
Kubernetes安全性怎么解?从4个方面为你列出方案清单
dotNET跨平台
05-28 584
导语Kubernetes中的安全性是一个多维问题,必须从各个不同的角度来解决才算完善,这篇文章将从4个方面为读者列出安全清单。正文Kubernetes,经过更快的采用和社区的更多贡献,正...
kubernetes常见安全问题_简要介绍kubernetes安全机制
weixin_30464195的博客
12-30 249
kubernetes通过一系列机制来实现集群的安全控制,其中包括API Server的认证授权、准入控制机制及保护敏感信息的Secret机制等。集群的安全性必须考虑如下几个目标:1、保证容器与其所在宿主机的隔离2、限制容器给基础设施或其他容器带来的干扰3、最小权限原则---合理限制所有组件的权限,确保组件只执行它被授权的行为,通过限制单个组件的能力来限制它的权利范围4、明确组件间边界的划分5、划分...
7 步保障 Kubernetes 集群安全
分享平台工程、应用部署的最佳实践
10-24 597
依赖 K8s 作为后端的 DevOps 团队必须意识到集群和可以在其中运行的 Docker 容器可能面临的所有风险和攻击。由于可用的攻击向量种类繁多、技术的不断进步以及该工具的一致、广泛采用,恶意攻击者发现渗透集群能够有效发起攻击并获得利益。保护 K8s 集群是一项艰巨的任务,密切关注并尽可能检测系统漏洞或恶意攻击行为至关重要。
Kubernetes部署的最佳安全实践
weixin_34161083的博客
09-22 191
编者按:本文是由 Aqua Security 的Amir Jerbi 和Michael Cherny 所写,基于他们从本地和云端上收集到的实际数据,描述了Kubernetes 部署的最佳安全实践。 Kubernetes提供了许多可以极大地提高应用程序安全性的选项。配置它们要求你熟悉 Kubernetes 以及其部署的安全要求。 我们在这里...
Kubernetes安全机制
weixin_45724795的博客
05-30 875
文章目录一、kubernetes安全框架1.框架2.机制二、三大模块1.第一模块:认证1)kubernetes的用户系统一般用户ServiceAccount2)认证Https证书认证Http Token认证Http Basic认证3)认证策略3)CA认证2.第二模块:授权1)Kubernetes的授权模式2)授权模式的设置方法3.第三模块:准入控制1)为什么需要准入控制2)如何运行准入控制插件3)插件推荐版本三、RBAC授权1.RBAC的API资源对象说明2.使用RBAC授权1)创建用户并做限制2)制作证
kubernetes安全控制认证与授权(一)
热门推荐
程序源234的专栏
07-22 2万+
kubernetes 对于访问 API 来说提供了两个步骤的安全措施:认证和授权。认证解决用户是谁的问题,授权解决用户能做什么的问题。通过合理的权限管理,能够保证系统的安全可靠。通俗的讲,认证就是验证用户名密码,授权就是检查该用户是否拥有权限访问请求的资源。
kubernetes 集群安全机制
vito
05-15 953
一、概述 kubernetes通过一系列安全机制来实现集群的安全控制,以下从几个方面来保证集群安全 Authentication: API Server认证管理 Authorization:API Server授权管理 Admission Control 准入控制 Service Account Secret 二、逐个安全机制总结 1、Authentication ...
Kubernetes笔记(八) Kubernetes 安全
艾希射日
02-14 2502
文章目录1. mTLS2. 认证2.1 ServiceAccount2.2 用户生成私钥与 CSR创建 Certificate Signing Request批准 Certificate Signing Request3. Kubeconfig4. 授权4.1 RBAC4.1.1 Roles & ClusterRoles4.1.2 RoleBinding & ClusterRoleBinding4.1.3 命令行工具5. 准入控制5.1 动态准入控制5.1.1 WebHook Server5
容器云Kubernetes落地实践原汁原味培训可编辑ppt
最新发布
03-20
Kubernetes提供了一系列安全特性和功能,可以帮助用户加强平台的安全防护,并且还可以通过最佳实践来保障平台的安全可靠。 最后,我们将探讨容器与应用监控。在Kubernetes中,容器与应用监控是保障系统高可用性和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值