k8s第五节 安全框架RBAC、pod acl网络限制、备份etcd

最新推荐文章于 2022-08-25 22:02:25 发布
最新推荐文章于 2022-08-25 22:02:25 发布
阅读量376 收藏 1
点赞数
分类专栏: k8s 文章标签: k8s
好记星不如烂笔头,欢迎批判转载
本文链接:https://blog.csdn.net/ab601026460/article/details/112965132
版权 
k8s组件访问经过授权和证书方面的校验。

一、RBAC基于角色权限控制

名称命令
查看证书ls /etc/kubernetes/pki/
角色权限访问控制RBAC

安全框架
鉴权
鉴权RBAC
准入控制
RBAC
案例

二、Pod ACL流量控制

网络策略概述
pod出入流量控制

流量控制

三、etcd备份

k8s里面所有数据都在etcd里面,因此备份数据库etcd非常重要

3.1 安装ectdctl

#安装etcdctl
 yum search etcd #搜索etcd
 yum install -y etcd.x86_64 #安装etcd; 搜索中出现 etcd

3.2 备份ectd数据库

etcd备份
ETCDCTL_API=3指明是V3版本,V3必须指定证书地址;否则报错:Error: context deadline exceeded

#备份ectd数据到当前目录
ETCDCTL_API=3 etcdctl snapshot save snapshot.db \
--endpoints=https://127.0.0.1:2379 \
--cacert=/etc/kubernetes/pki/etcd/ca.crt  \
--cert=/etc/kubernetes/pki/etcd/server.crt \
--key=/etc/kubernetes/pki/etcd/server.key 
## 帮助命令,主要必须是
ETCDCTL_API=3 etcdctl --help #不加api版本,默认还是2版本的; 必须是大写的 `ETCDCTL_API=3`
ETCDCTL_API=3 etcdctl snapshot save --help #查看具体的save命令

参见:备份etcd backing-up-an-etcd

3.3 恢复etcd数据库

帮助命令1,ETCDCTL_API=3 etcdctl --help
帮助命令2,ETCDCTL_API=3 etcdctl snapshot restore --help

# etcdctl恢复数据
ETCDCTL_API=3 etcdctl snapshot restore snapshot.db \
--data-dir=/var/lib/etcd
Dazer007
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
03 K8S集群网络ACL规则
MappleZF的博客
05-25 512
kubernetes集群网络ACL规则 提供者:MappleZF 版本:1.0.0 一、核心交换机和接入层交换机规则代码 1.1 定义ACL acl number 3013 rule 1 permit ip source 192.168.13.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 rule 5 permit ip source 192.168.13.0 0.0.0.255 destination 192.168.4.138 0.0.0.0 r
etcd-RBAC基于角色的访问控制
qq522044637的博客
07-18 651
概述 身份验证是在 etcd 2.1 中添加的。etcd v3 API 稍微修改了身份验证功能的 API 和用户界面,以更好地适应新的数据模型。本指南旨在帮助用户在 etcd v3 中设置基本身份验证和基于角色的访问控制。 特殊用户和角色 有一个特殊用户:root 一个特殊角色:root root用户 root必须在激活身份验证之前创建对 etcd 具有完全访问权限的用户。root用户背后的想法是出于管理目的:管理角色和普通用户。该root用户必须具有root角色的作用,并使其改变etc
带你玩转kubernetes-k8s(第59篇-Kubernetes之Kubernetes资源管理4)
坚持的道路注定孤独
09-07 505
资源配额管理(Resource Quotas) 如果一个Kubernetes集群被多个用户或者多个团队共享,就需要考虑资源公平使用的问题,因为某个用户可能会使用超过基于公平原则分配给其的资源量。 Resource Quotas就是解决这个问题的工具。通过ResourceQuota对象,我们可以定义资源配额,这个资源配额可以为每个命名空间都提供一个总体的资源使用的限制:它可以限制命名空间中某种类...
9步操作让你的K8s 环境更安全
wolaisongfendi的博客
08-25 643
Kubernetes 是一个复杂的平台,需要大量的配置和管理。为了保证 Kubernetes 工作负载的安全,尤其是在生产环境中,您需要通过实施安全最佳实践来解决关键的架构漏洞和平台依赖性。本文将向您介绍K8s安全实践的9个关键步骤......
k8s(十四)、RBAC权限控制
热门推荐
ywq935的博客
12-06 1万+
前言 kubernetes 集群相关所有的交互都通过apiserver来完成,对于这样集中式管理的系统来说,权限管理尤其重要,在1.5版的时候引入了RBAC(Role Base Access Control)的权限控制机制. PS: RBAC作为集群管理的基础组件之一,本该放在最前面几篇,但是最近才想起来这个方面的知识点,赶紧梳理总结输出了本篇 工作流程 流程图 流程拆解 一、基于资源申明和管...
go.sec:golang 安全框架包括 rbac acl
06-14
在Golang(Go语言)开发中,安全框架是构建安全、可靠应用的重要组成部分。"go.sec" 提供了包括RBAC(Role-Based Access Control,基于角色的访问控制)和ACL(Access Control List,访问控制列表)在内的多种安全...
K8S及镜像容器安全架构设计
10-17
K8S 及镜像容器安全架构设计 Kubernetes 安全架构设计是当前云计算和容器化技术中非常重要的一部分。该架构设计旨在提供一个安全、可靠、可扩展的容器化平台,以满足企业对安全和合规性的要求。 认证和授权 ...
k8s、flannel、etcd百度云.txt
09-10
### K8s (Kubernetes) 知识点详解 #### 一、Kubernetes 简介 Kubernetes(简称 k8s)是 Google 开源的一个容器集群管理系统,它基于容器技术(如 Docker)来实现应用的部署、维护和管理。Kubernetes 的目标是简化...
k8s中部署prometheus的镜像
最新发布
03-23
根据实际需求,配置Prometheus以发现k8s中的服务或Pod,如使用KubernetesSD(Kubernetes Service Discovery)。 6. (可选)部署Alertmanager 类似地,创建Alertmanager的Deployment和服务,并配置相应的yaml文件。...
k8s-diagrams:与kubernetes相关的图的集合
02-03
PSP帮助防止不受信任的Pod破坏集群的安全性,通过定义允许的主机路径、安全上下文、网络策略等规则。 【认证(Authn)】与【授权(Authc)】 认证是指验证用户或服务的身份,而授权决定验证后的实体可以访问哪些资源。...
Consul部署【在kubernetes集群中部署】【实现ACL机制】
Happywzy~的博客
10-18 1165
consul具体配置、ACL配置可以参考Consul系列文章 首先创建k8s-consul-config.json文件,注意token需要自己创建一个,这里加密处理了 { "datacenter":"dc8", "primary_datacenter":"dc8", "acl":{ "enabled":true, "default_pol...
k8s的资源限制
老码农的心路历程
01-27 3334
1.资源的限制类型 Kubernetes采用request和limit两种限制类型来对资源进行分配。 • request(资源需求):即运行Pod的节点必须满足运行Pod的最基本需求才能 运行Pod。 • limit(资源限额):即运行Pod期间,可能内存使用量会增加,那最多能使用多少内存,这就是资源限额。 资源类型: • CPU 的单位是核心数,内存的单位是字节。 • 一个容器申请0.5个CPU,就相当于申请1个CPU的一半,你也可以加个后缀 m 表示千分之一的概念。比如说100m的CPU,100豪的
k8s 中基于RBAC 控制pod的访问权限
weixin_43632687的博客
04-10 387
role设置 apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: namespace: default name: pod-reader rules: - apiGroups: [""] # "" 标明 core API 组 resources: ["pods"] verbs: ["get", "watch", "list"] rolebinding apiVersion: rbac.authorization.
kubeadm中添加k8s节点问题
warrah 南极狼
07-23 2199
从下方可以看到3个地方出了问题 etcd-master1、kube-apiserver-master1、kube-flannel-ds-42z5p [root@master3 ~]# kubectl get pods -n kube-system -o wide NAME READY STATUS RESTARTS AGE IP NODE NOMINATED
k8sRBAC 详解(基于角色的访问控制)
qfyangsheng的博客
08-19 1586
一个实验搞定RBAC RBAC基于角色的访问控制--全拼Role-Based Access Control ​ Service Account为服务提供了一种方便的认证机制,但它不关心授权的问题。可以配合RBAC来为Service Account鉴权 ​ 在Kubernetes中,授权有ABAC(基于属性的访问控制)、RBAC(基于角色的访问控制)、Webhook、Node、AlwaysDeny(一直拒绝)和AlwaysAllow(一直允许)这6种模式。 ​ 在RABC API中,通过如下的步骤进行授权
etcd3储存的备份与恢复
kozazyh的专栏
03-16 3438
etcd3 集群安装方法: 参考:https://github.com/opsnull/follow-me-install-kubernetes-cluster/blob/master/03-部署高可用Etcd集群.md 使用api 3 备份与恢复: export ETCDCTL_API=3 1. 备份数据 etcdctl --endpoints=192.168.5.7:2379 --c...
基于RBAC方式从Pod内访问API server
u013431916的博客
04-23 4541
关于Kubernetes中基于角色的访问控制(RBAC)的介绍可以参考文章:Kubernetes RBAC当在物理机上执行kubectl时,会自动根据~/.kube/config文件配置kubectl,其中包含一些权限信息,这样API server就可以根据权限信息决定是否执行来自kubectl的请求。然而在Pod内要想访问API server,更常用的方法是利用service account来验...
k8s,盘他!pod高级管理(资源控制、重启策略与探针)
CN_TangZheng的博客
05-15 1456
文章目录前言一:pod高级管理1.1:pod的资源控制1.2:pod的重启策略1.2.1:查看现有pod资源的重启策略1.2.2:创建资源,测试重启策略1.3:pod的健康检查--探针(Probe)1.3.1:使用exec方式检查1.3.2:使用httpGet方式检查1.3.3:使用tcpSocket方式检查如有疑问可评论区交流! 前言 一:pod高级管理 1.1:pod的资源控制 Docker中我们可以对容器进行资源控制,在k8s中当然也有对pod资源进行控制 我们可以在yaml中进行限制:如下 Pod
Kubernetes从网络策略安全策略
karamos的专栏
12-27 700
编者注:今天的文章由 Bernard Van De Walle( Aporeto 公司 Kubernetes 项目带头人)撰写,文章描述如何使用新的方法来实现 Kubernetes 网络策略。Kubernetes 网络策略Kubernetes 支持网络策略的新 API,为隔离应用和减少攻击层面提供复杂的模型。这个功能由 SIG-Network group 演化而来,可以通过内置标签和 Kubern...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Dazer007

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值