kubernetes-身份与权限认证(十四)

最新推荐文章于 2024-08-20 16:21:38 发布
最新推荐文章于 2024-08-20 16:21:38 发布
阅读量429 收藏
点赞数
文章标签: json 开发工具 ui
原文链接:http://www.cnblogs.com/yuezhimi/p/10191177.html
版权

Kubernetes的安全框架

https://kubernetes.io/docs/reference/access-authn-authz/rbac/

•访问K8S集群的资源需要过三关:认证、鉴权、准入控制
•普通用户若要安全访问集群API Server,往往需要证书、Token或者用户名+密码;Pod访问,需要ServiceAccount
•K8S安全控制框架主要由下面3个阶段进行控制,每一个阶段都支持插件方式,通过API Server配置来启用插件。
1.Authentication
2.Authorization
3.Admission Control

三种客户端身份认证:   

  •HTTPS 证书认证:基于CA证书签名的数字证书认证
  •HTTP Token认证:通过一个Token来识别用户
  •HTTP Base认证:用户名+密码的方式认证

授权:RBAC(Role-Based Access Control,基于角色的访问控制):负责完成授权(Authorization)工作。

准入控制:AdminssionControl实际上是一个准入控制器插件列表,发送到APIServer的请求都需要经过这个列表中的每个准入控制器插件的检查,检查不通过,则拒绝请求。

使用RBAC授权

RBAC(Role-Based Access Control,基于角色的访问控制),允许通过Kubernetes API动态配置策略。

角色
  •Role:授权特定命名空间的访问权限
  •ClusterRole:授权所有命名空间的访问权限
角色绑定
  •RoleBinding:将角色绑定到主体(即subject)
  •ClusterRoleBinding:将集群角色绑定到主体
主体(subject)
  •User:用户
  •Group:用户组
  •ServiceAccount:服务账号

使用RBAC授权对pod读取权限示例

创建角色
[root@k8s-master1 ~]# vim role-demo.yaml 
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: developent
  name: pod-reader
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "watch", "list"]

[root@k8s-master1 ~]# kubectl apply -f role-demo.yaml
role.rbac.authorization.k8s.io/pod-reader created
[root@k8s-master1 ~]# kubectl get role -n developent
NAME         AGE
pod-reader   50s
创建角色绑定
[root@k8s-master1 ~]# vim rolebinding-demo.yaml
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: dev-read-pods
  namespace: developent
subjects:
- kind: User
  name: jane
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io

[root@k8s-master1 ~]# kubectl get rolebinding -n developent
NAME            AGE
dev-read-pods   3s

[root@k8s-master1 ~]# kubectl describe rolebinding dev-read-pods -n developent
Name:         dev-read-pods
Labels:       <none>
Annotations:  kubectl.kubernetes.io/last-applied-configuration:
                {"apiVersion":"rbac.authorization.k8s.io/v1","kind":"RoleBinding","metadata":{"annotations":{},"name":"dev-read-pods","namespace":"develop...
Role:
  Kind:  Role
  Name:  pod-reader
Subjects:
  Kind  Name  Namespace
  ----  ----  ---------
  User  jane
 基于证书配置客户端身份认证

创建证书

[root@k8s-master1 ~]# vim jane-csr.json
{
  "CN": "jane",
  "hosts": [],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "L": "BeiJing",
      "ST": "BeiJing"
    }
  ]
}

[root@k8s-master1 ~]# cfssl gencert -ca=/opt/kubernetes/ssl/ca.pem -ca-key=/opt/kubernetes/ssl/ca-key.pem -config=/opt/kubernetes/ssl/ca-config.json -profile=kubernetes jane-csr.json | cfssljson -bare jane

创建kubeconfig文件

kubectl config set-cluster kubernetes \
  --certificate-authority=/opt/kubernetes/ssl/ca.pem \
  --embed-certs=true \
  --server=https://192.168.0.130:6443 \
  --kubeconfig=jane-kubeconfig
  
kubectl config set-credentials jane \
  --client-key=jane-key.pem \
  --client-certificate=jane.pem \
  --embed-certs=true \
  --kubeconfig=jane-kubeconfig

kubectl config set-context default \
  --cluster=kubernetes \
  --user=jane \
  --kubeconfig=jane-kubeconfig

kubectl config use-context default --kubeconfig=jane-kubeconfig
测试仅对developent命名空间查看pod权限
[root@k8s-master1 ~]# kubectl get pod -n developent
NAME                     READY   STATUS    RESTARTS   AGE
nginx-7cdbd8cdc9-5dd7x   1/1     Running   0          16s
nginx-7cdbd8cdc9-dthp7   1/1     Running   0          16s
nginx-7cdbd8cdc9-lwzjf   1/1     Running   0          16s
[root@k8s-master1 ~]# kubectl --kubeconfig=jane-kubeconfig get pod -n developent
NAME                     READY   STATUS    RESTARTS   AGE
nginx-7cdbd8cdc9-5dd7x   1/1     Running   0          2m13s
nginx-7cdbd8cdc9-dthp7   1/1     Running   0          2m13s
nginx-7cdbd8cdc9-lwzjf   1/1     Running   0          2m13s
[root@k8s-master1 ~]# kubectl --kubeconfig=jane-kubeconfig get pod 
Error from server (Forbidden): pods is forbidden: User "jane" cannot list resource "pods" in API group "" in the namespace "default"

使用RBAC授权UI权限示例

serviceAccount

当创建 pod 的时候,如果没有指定一个 service account,系统会自动在与该pod 相同的 namespace 下为其指派一个default service account。而pod和apiserver之间进行通信的账号,称为serviceAccountName。如下:

[root@k8s-master1 ~]# kubectl get pod
NAME                                    READY   STATUS    RESTARTS   AGE
nfs-client-provisioner-f69cd5cf-rfbdb   1/1     Running   0          4h31m
web-0                                   1/1     Running   0          4h16m
web-1                                   1/1     Running   0          4h16m
[root@k8s-master1 ~]# kubectl get pod/web-0 -o yaml |grep "serviceAccountName"
  serviceAccountName: default
[root@k8s-master1 ~]# kubectl describe pod web-0 Name: web-0 Namespace: default . . . . . Volumes: www: Type: PersistentVolumeClaim (a reference to a PersistentVolumeClaim in the same namespace) ClaimName: www-web-0 ReadOnly: false default-token-7vs6s: Type: Secret (a volume populated by a Secret) SecretName: default-token-7vs6s Optional: false

从上面可以看到每个Pod无论定义与否都会有个存储卷,这个存储卷为default-token-*** token令牌,这就是pod和serviceaccount认证信息。通过secret进行定义,由于认证信息属于敏感信息,所以需要保存在secret资源当中,并以存储卷的方式挂载到Pod当中。从而让Pod内运行的应用通过对应的secret中的信息来连接apiserver,并完成认证。每个 namespace 中都有一个默认的叫做 default 的 service account 资源。进行查看名称空间内的secret,也可以看到对应的default-token。让当前名称空间中所有的pod在连接apiserver时可以使用的预制认证信息,从而保证pod之间的通信。

[root@k8s-master1 ~]# kubectl get sa 
NAME                     SECRETS   AGE
default                  1         9d
nfs-client-provisioner   1         4h37m
[root@k8s-master1 ~]# kubectl get secret
NAME                                 TYPE                                  DATA   AGE
default-token-7vs6s                  kubernetes.io/service-account-token   3      9d
nfs-client-provisioner-token-glqhl   kubernetes.io/service-account-token   3 4h38m registry-pull-secret kubernetes.io/dockerconfigjson 1 8d

而默认的service account 仅仅只能获取当前Pod自身的相关属性,无法观察到其他名称空间Pod的相关属性信息。如果想要扩展Pod,假设有一个Pod需要用于管理其他Pod或者是其他资源对象,是无法通过自身的名称空间的serviceaccount进行获取其他Pod的相关属性信息的,此时就需要进行手动创建一个serviceaccount,并在创建Pod时进行定义。那么serviceaccount该如何进行定义呢???实际上,service accout也属于一个k8s资源。如下查看service account的定义方式:

[root@k8s-master1 ~]# kubectl explain sa
service account的创建
[root@k8s-master1 ~]# kubectl create sa devsa -o yaml -n developent --dry-run  #不执行查看定义方式
apiVersion: v1
kind: ServiceAccount
metadata:
  creationTimestamp: null
  name: devsa
  namespace: developent
[root@k8s-master1 ~]# kubectl create sa devsa -o yaml -n developent --dry-run > sa.yaml    #导出yaml文件
[root@k8s-master1 ~]# kubectl apply -f sa.yaml    #创建 serviceaccount/devsa created [root@k8s-master1 ~]# kubectl get sa -n developent    #查看 NAME SECRETS AGE default 1 5m46s devsa 1 28s [root@k8s-master1 ~]# kubectl get sa devsa -n developent -o yaml apiVersion: v1 kind: ServiceAccount metadata: annotations: kubectl.kubernetes.io/last-applied-configuration: | {"apiVersion":"v1","kind":"ServiceAccount","metadata":{"annotations":{},"creationTimestamp":null,"name":"devsa","namespace":"developent"}} creationTimestamp: "2018-12-28T07:01:01Z" name: devsa namespace: developent resourceVersion: "780489" selfLink: /api/v1/namespaces/developent/serviceaccounts/devsa uid: 56125cdc-0a6e-11e9-b58a-000c298a2b5f secrets: - name: devsa-token-krgp7
创建角色绑定
[root@k8s-master1 ~]# vim sa-rolebinding-demo.yaml 
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: sa-read-pods
  namespace: developent
subjects:
- kind: ServiceAccount
  name: devsa
roleRef:
  kind: Role
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io

[root@k8s-master1 ~]# kubectl apply -f sa-rolebinding-demo.yaml
rolebinding.rbac.authorization.k8s.io/sa-read-pods created

获取token

[root@k8s-master1 ~]# kubectl get secret -n developent
NAME                  TYPE                                  DATA   AGE
default-token-2zhxk   kubernetes.io/service-account-token   3      148m
devsa-token-pktnh     kubernetes.io/service-account-token   3      2m20s
[root@k8s-master1 ~]# kubectl describe secret devsa-token-pktnh -n developent
Name:         devsa-token-pktnh
Namespace:    developent
Labels:       <none>
Annotations:  kubernetes.io/service-account.name: devsa
              kubernetes.io/service-account.uid: f69d0ff3-0a81-11e9-b58a-000c298a2b5f

Type:  kubernetes.io/service-account-token

Data
====
ca.crt:     1359 bytes
namespace:  10 bytes
token:      eyJhbGciOiJSUzI1NiIsImtpZCI6IiJ9.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJkZXZlbG9wZW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZWNyZXQubmFtZSI6ImRldnNhLXRva2VuLXBrdG5oIiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZXJ2aWNlLWFjY291bnQubmFtZSI6ImRldnNhIiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZXJ2aWNlLWFjY291bnQudWlkIjoiZjY5ZDBmZjMtMGE4MS0xMWU5LWI1OGEtMDAwYzI5OGEyYjVmIiwic3ViIjoic3lzdGVtOnNlcnZpY2VhY2NvdW50OmRldmVsb3BlbnQ6ZGV2c2EifQ.tkA8I8zHF0yjAS4aitd2NhltvASCx8KTug_cdAs3ImYe-5QkxgeO9VTck6L5F6SlMewg8keMYQ9hhgE89aQC4Vs1t89U_ftZ8lo725SrNxIBqhucPUHpvBWfc4OWc96p7PGYNH59AnudXVIKEXuYZyL-KLoQeAjddPRrYXPqUtBpxpQStLWe6qvl-hXY2yj-FyMXAbYRH516ZCMGetRJbYjla7JAPdPt9nAqZoJe00NvOUfw0xXVp_8H7tcvp0tQbQ5GE06zuCRHMfDV9RWj6XUoXKvKirk1yd2nSNJdygTp-1q5JGKxYY2a_tuq2NSCurNBI28Rpj7dV7eIkehkTw

访问dashboard,仅对developent命名空间读取pod的权限

转载于:https://www.cnblogs.com/yuezhimi/p/10191177.html

aiyun6369
关注
Kubernetes身份认证和授权操作全攻略:上手操作Kubernetes身份认证
Rancher
08-16 769
这是本系列文章的第二篇,在上篇文章中我们介绍了Kubernetes访问控制。在本文中,我们将通过上手实践的方式来进一步理解身份认证的概念。 在生产环境中,Kubernetes管理员使用命名空间来隔离资源和部署。命名空间作为一个逻辑边界来强制基本访问控制。 假设现在我们有个新的管理员叫Bob,要加入开发团队为研发组管理Kubernetes部署。我们现在需要给他提供足够的访问权限以便于...
Kubernetes学习之PV、PVC
Micky_Yang的博客
08-29 1175
一、认识PV、PVC   PersistentVolume(PV)是指集群管理员配置提供的某存储系统上的一段存储空间,它是对底层共享存储的抽象,将共享存储作为一种可由用户申请使用的资源,实现了"存储消费"机制。通过存储插件,PV支持使用多种网络存储或云端存储等多种后端存储系统,例如,前面使用到的NFS、还有其他的如RBD、Cinder等。PV是集群级别的资源,不属于任何的名称空间,用户对PV资源的使用需要通过PersistentVolumeClaim(PVC)提出的使用申请(或称为声明)来完成绑定,PVC是
K8S 基于本地存储的一主一从 MySQL 架构
最新发布
flamesfather的博客
08-20 404
K8S 基于本地存储的一主一从 MySQL 架构
使用K8S部署zookeeper集群
潮听哥的博客
04-13 8063
1、目的: 本次的目的是通过使用k8s搭建一个三节点的zookeeper集群,因为zookeeper集群需要用到存储,所以我们需要准备三个持久卷(Persistent Volume) 简称就是PV。 2、创建pv: 分别对应三节点zk集群中的三个pod的持久化目录,创建好目录之后编写yaml创建zk-pv.yaml apiVersion: v1 kind: PersistentVolume metadata: name: k8s-pv-zk01 namespace: tools lab
K8s - Pod配置容器
云时代-IT运维
08-09 1732
k8s ceph docker pod
Kubernetes中的PV和PVC
johnhuster的专栏
03-27 1014
目录 前言 一、关于PV创建的流程 1.创建一个远程块存储,相当于创建了一个磁盘,称为Attach 2.将这个磁盘设备挂载到宿主机的挂载点,称为Mount 二、PV、PVC使用示例 1.创建PV 2.创建PVC 3.创建Pod,使用PVC 前言 K8S引入了一组叫作Persistent Volume Claim(PVC)和Persistent Volume(PV)的API对象,大大降低了用户声明和使用持久化Volume的门槛。 在Pod的Volumes中,只要
kubernetes-node-linux-amd64.tar.gz-v1.14.11,二进制下载
04-09
- **认证与授权**:在加入节点到集群时,需要使用适当的证书和密钥进行身份验证和授权。 - **存储配置**:Kubernetes需要配置持久化存储,例如通过使用持久卷(Persistent Volumes)和持久卷声明(Persistent Volume...
kubernetes-dashboard-v1.8.3 yaml文件
10-08
6. **认证和授权**:根据集群的认证方式(例如,使用 kubeconfig、token 或者其他身份验证插件),可能需要在访问 Dashboard 时提供凭证。 7. **使用 Dashboard**:登录后,你可以在 Dashboard 中看到集群的状态,...
kubernetes-dashboard-amd64.tgz
03-29
3. **安全考虑**:由于 Kubernetes Dashboard 提供了对集群的广泛访问,因此必须对其进行安全配置,例如使用 RBAC(Role-Based Access Control)为用户分配权限,或者通过 webhook 令牌认证。 4. **访问 Dashboard**...
如何配置kubernetes-dashboard.zip
06-12
为了能通过浏览器访问,你需要创建一个带有适当权限的ServiceAccount,并将其与一个kubeconfig文件关联。 创建一个名为`dashboard-admin`的RoleBinding,赋予所有namespace的admin权限: ```yaml apiVersion: rbac...
Kubernetes--API Server
GaoChuang_的博客
11-06 1346
一、Kubernetes API Server功能 Kubernetes API Server的核心功能是提供Kubernetes各类资源对象(如Pod、RC、Server等)的增、删、改、查及watch等HTTP REST接口,成为集群内各个功能模块之间数据交互和通信中心枢纽,是整个系统的数据总线和数据中心。除此之外,它还是集群管理的API入口,是资源配额控制的入口,提供了完备的集群安全机制。 二、Kubernetes API Server核心原理 通过curl 命令访问 API...
Kubernetes使用GlusterFS实现数据持久化
weixin_30542079的博客
04-30 181
k8s中部署有状态应用等需要持久化数据的应用,必不可少得用存储,k8s支持很多中存储方案,我司目前使用的存储有glusterfs(分为容器化和裸机方式)、nfs供应用选用,本次就简单实战下glusterfs配合k8s做数据存储。 介绍 GlusterFS系统是一个可扩展的网络文件系统,相比其他分布式文件系统,GlusterFS具有高扩展性、高可用性、高性能、可横向扩展等特点,并且其没有元数据服务器...
k8s 安装nfs_如何在kubernetes集群中使用nfs存储卷——通过自建nfs服务器
weixin_39898380的博客
12-21 752
对于运行在云服务商中的k8s集群(比如GKE等),有比较完善的存储卷支持。而自建的k8s集群,这方面往往比较麻烦。经过调查,发现在自建k8s集群中使用nfs卷是一个比较简单可行的方案。nfs服务器可以独立于k8s集群,便于集中管理集群中的卷和文件。本文内容包括:安装配置nfs服务器使用nfs客户端连接nfs共享文件夹在k8s集群中通过手动方式创建nfs卷本文实验环境为ubuntu/Debian,对...
初试 Kubernetes 集群使用 Ceph RBD 块存储
热门推荐
哎_小羊的博客
01-08 2万+
Kubernetes PersistentVolumes 持久化存储方案中,提供两种 API 资源方式: PersistentVolume(简称PV) 和 PersistentVolumeClaim(简称PVC)。PV 可理解为集群资源,PVC 可理解为对集群资源的请求,Kubernetes 支持很多种持久化卷存储类型。Ceph 是一个开源的分布式存储系统,支持对象存储、块设备、文件系统,具有可靠性高、管理方便、伸缩性强等特点。本文介绍 Kubernetes 集群使用 Ceph RBD 块存储。
搭建NFS服务 ,并在Kubernetes挂载NFS
随笔记录-分享&记忆
06-27 1万+
[root@szy-k8s-master log]# kubectl describe pod prometheus-544bf54848-b97rn --namespace=kube-system Name: prometheus-544bf54848-b97rn Namespace: kube-system Node: szy-k8s-node...
kubernetes资源对象--持久化存储Persistent Volume和Persistent Volume Claim
码农崛起
06-21 6068
https://blog.csdn.net/liyingke112/article/details/76851145本文基于kubernetes 1.5.2版本编写概念存储管理跟计算管理是两个不同的问题。理解每个存储系统是一件复杂的事情,特别是对于普通用户来说,有时并不需要关心各种存储实现,只希望能够安全可靠地存储数据。为了简化对存储调度,K8S对存储的供应和使用做了抽象,以API形式提供给管理员...
pv回收
weixin_30810239的博客
03-05 228
学习cloudman中的k8s 152课,创建pod时,需要在k8s-host2 中挂着到在k8s-master 中/nfs中创建的挂载目录,结果提示没有/nfs/pv1 root@k8s-master:/nfs# kubectl describe pod mypod1 Name: mypod1Namespace: defaultPr...
Kubernetes RBAC与OpenSSL身份验证:详解与示例
本PDF文件深入剖析了如何在 Kubernetes 中利用 RBAC 和 OpenSSL 进行认证授权,包括角色管理、权限分配、用户身份验证流程和实用案例。这对于任何想要管理 Kubernetes 环境并确保其安全性的管理员来说,是一份宝贵的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值