认证,鉴权,准入控制

最新推荐文章于 2024-04-28 17:30:55 发布
最新推荐文章于 2024-04-28 17:30:55 发布
阅读量202 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/asufeiya/article/details/119714624
版权

在这里插入图片描述
在这里插入图片描述
前两种都是服务器验证了客户端。但是客户端并没有验证服务器的真实性。

https证书认证。
在这里插入图片描述
在这里插入图片描述
补充:kubelet和kubectl的区别

kubelet:运行在cluster所有节点上,负责启动POD和容器
Kubelet:master派到node节点代表,管理本机容器
一个集群中每个节点上运行的代理,它保证容器都运行在Pod中
负责维护容器的生命周期,同时也负责Volume(CSI) 和 网络(CNI)的管理

kubeadm:用于初始化cluster

kubectl:kubectl是kubenetes命令行工具,通过kubectl可以部署和管理应用,查看各种资源,创建,删除和更新组件
通过kubectl能够对集群本身进行管理,并能够在集群上进行容器化应用的安装和部署

在这里插入图片描述

pod也访问api server比如coredns
在这里插入图片描述
因为都是kubeadm安装的 所以没有手动签发 都是自动签发的
在这里插入图片描述
就是集群认证信息的填充。
是个隐藏文件
在这里插入图片描述
还有证书信息以及私钥信息
包含集群的访问方式以及认证信息
在这里插入图片描述
如果是pod访问api server就需要借助sa

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
可以看到两种类型的secret
在这里插入图片描述
service Account:对于有些pod需要和api-server交互。比如flannel,coredns。但是api-server不是谁都可以访问的,对于pod来说就是通过service Account方案。

Opaque:编码加密方式的

dockerconfigjson:私有仓库去下载镜像,会有一些认证方案。这个认证是由docker 仓库完成的。需要嵌入用户名和密码信息。就可以通过该方式保存私有仓库认证的用户名和密码。让他在下载镜像的时候自动达成注入的方案。

第一种是由kubernets自动创建的,所以看下使用即可。

在这里插入图片描述

每一个命名空间下都会有一个自定义的secret
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

授权

在这里插入图片描述
在这里插入图片描述
资源就是deployment,pod,cpu,内存等资源
非资源就是原数据信息,比如pod的状态。
rbac都可以授予对应的权限。覆盖全面。
在这里插入图片描述
比如creat动作创建一个pod就是role,rolebinding就是吧role角色赋予给用户或者组或者sa,

比如创建一个role是readpod,在默认空间。将其敷于给角色zhangsan就是一个rolebinding的过程。
比如想要在不同命名空间下创建多个一样role很麻烦
所以创建一个cluserrole可以读取所有命名空间下的pod的信息。
直接通过rolebinding将cluserrole赋予给用户wangwu 和zhaoliu
相当于资源的下方

cluserRole里面管理了很多个角色(角色有相应的权限),进行RoleBinding操作,把相对应的角色赋予给某人。

在这里插入图片描述
将cluserRole通过CluserRoleBinding绑定给wangyang 那wangyang就有访问所有pod的权限。
可以狭义的理解为cluserrole包含全部的role
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
表示定义一个pod-reader的Role,规则就是如果不写组表示所有的核心组API group,对pod类型支持get,获取,监听和列出的动作。如果吧这个rule赋予给某个用户就表示这个用户就可以在default命名空间下对pod进行获取等动作。

在这里插入图片描述
apiVersion集群的访问接口
表示就是如果吧这个cluserrole赋予给某个用户,某个用户进行cluserRolebind绑定的话,该用户就可以在所有的命名空间下对secrets进行获取,监控,列出等操作。
在这里插入图片描述
RoleBinding可以绑定role和cluerrole
但是clusterRoleBInding只能绑定cluserRole
subject:对象类型
授予的api组是xxx
赋予的role类型就是pod-reader,以及进行这个role时的api组
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
manager组调用的api 接口
在这里插入图片描述
如果只有pods/log表示仅仅能看pod的日志信息
在这里插入图片描述

实操

在这里插入图片描述

一个k8s集群 比如运行很多程序
一组mysql集群。一组nginx集群

两个项目组 一个是dba. 一个是系统普通管理员sa

需要资源分割

现在比如一个用户devuser可以管理dev名称空间下的所有资源
在这里插入图片描述
直接使用这个用户登陆进去后访问k8s是访问不了的
在这里插入图片描述
需要创建改用户的证书访问信息

1.创建证书请求
在这里插入图片描述
用户名为devuser。组是K8s,rsa算法 2048位,host代表可以使用的主机,不写代表所有。
json方式
在这里插入图片描述
目录随意
证书请求
在这里插入图片描述
在这里插入图片描述
创建证书,一般情况下证书信息放在该目录下,所以切换。 -bare生成的证书文件名字
在这里插入图片描述
在这里插入图片描述
证书私钥和证书都好了
在这里插入图片描述
指定server
指定ca证书
指定是否需要加密的认证
指定服务器信息
创建devuser.kubeconfig的文件
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
就可以看到集群信息的信息以及证书等。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
多了客户的信息
在这里插入图片描述
就是帮忙绑定到一个命名空间
需要首先创建该命名空间
在这里插入图片描述
在这里插入图片描述

写入xx文件中
在这里插入图片描述
可以看到又被写入一些命名空间信息
在这里插入图片描述
admin可以在任何命名空间下为所欲为,因为是管理员
所以该命令就是吧admin进行rolebinding,绑定到dev的名称空间,代表devuser用户可以在dev空间下为所欲为。
在这里插入图片描述
在这里插入图片描述
在此用户下建立目录

将kubeconfig拷贝过来
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
现在还是不能访问集群的 因为没有切换上下文
该命令其实就是让kubectl读取config信息
在这里插入图片描述
在这里插入图片描述
创建一个pod
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
该用户就仅仅在dev空间下具有所有的权限。

准入控制

在这里插入图片描述

啾咪嘻啾咪
关注
k8s的访问控制认证+授权+准入控制
yrx420909的博客
05-05 3253
1. kubernetes API 访问控制 由上图来介绍一下 Kubernetes API 的请求从发起到其持久化入库的一个流程。 首先看一下请求的发起,请求的发起分为两个部分: 第一个部分是人机交互的过程。 是大家非常熟悉的用 kubectl 对 apiserver 的一个请求过程; 第二个部分是 Pod 中的业务逻辑与 apiserver 之间的交互。 当我们的 apiserver 收到请...
浅识k8s中的准入控制
weixin_40418457的博客
07-04 1673
背景 在 k8s中各组件和kube apiserver通信时的认证鉴权 中提到"NodeRestriction准入插件",实际上它是一个"准入控制器"。 "准入控制器"是一个重要的概念,在istio、apisix、某些安全产品中都有用到。 本文简要记录一下以下内容: "准入控制器"是什么 怎么开启"准入控制器" 从源码浅析"准入控制器" 本文使用的k8s集群是用kubekey搭建,
kubernetes集群安全——认证鉴权准入控制
m0_37642477的博客
03-03 2845
机制说明 Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部 各个组件通信的中介,也是外部控制的入口。所以 Kubernetes 的安全机制基本就是围绕保护 API Server 来设计 的。Kubernetes 使用了认证(Authentication)、鉴权(Authorization)、准入控制(Admission Control)三步来保证API Server的安全。 认证(Authentication) HTTP Token
k8s之认证鉴权准入控制
fourierr的博客
04-29 837
k8s认证,Authentication,检查用户是否为合法用户。认证方式有很多,常用的是 X509 Client Certs(用于外部用户如kubectl)和Service Accout Tokens(用于pod中进程),kubeconfig使用X509 Client Certs方式。 同时ServiceAccount Resource中主要包含了三个内容:namespace、token和ca.crt,其中namespace表示当前管理的命名空间;ca.crt用于校验服务端的的证书信息,即apiserve
k8s安全 认证 鉴权 准入控制之四:准入控制
张成基
07-07 2万+
系列文章链接 k8s安全 认证 鉴权 准入控制之一:认证(Authentication) k8s安全 认证 鉴权 准入控制之二:授权(Authorization) k8s安全 认证 鉴权 准入控制之三:实践 k8s安全 认证 鉴权 准入控制之四:准入控制 准入控制 认证插件和授权插件完成身份认证和权限检查之后,准入控制器将拦截那些创建、更新和删除的相关操作请求以强制实现控制器中实现的功能。 准入控制是API Server的插件集合,通过添加不同的插件,实现额外的准入控制规则。甚至于API Server的
k8s安全 认证 鉴权 准入控制之一:实践
张成基
07-06 2万+
系列文章链接 k8s安全 认证 鉴权 准入控制之一:认证(Authentication) k8s安全 认证 鉴权 准入控制之二:授权(Authorization) k8s安全 认证 鉴权 准入控制之三:实践 实践: 创建一个用户只能管理 dev 空间 在集群的master节点主机生成用户 $ useradd devuser $ passwd devuser 如果在集群的master节点通过这个用户连接然后执行kubectl命令肯定是没有权限的,需要给他生成证书,然后设置权限 设置证书生
k8s安全 认证 鉴权 准入控制之一:认证(Authentication)
热门推荐
张成基
07-06 2万+
k8s安全 认证 鉴权 准入控制之一:认证(Authentication) 机制说明 Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部 各个组件通信的中介,也是外部控制的入口。所以 Kubernetes 的安全机制基本就是围绕保护 API Server 来设计 的。Kubernetes 使用了认证(Authentication)、鉴权(Authorization)、准入控制(Admission Control)三步来保证API Serv
17+18+19+20、认证+鉴权+准入控制+HEML-V2.pdf
10-11
本文将深入探讨四个关键的方面:认证(Authentication)、鉴权(Authorization)、准入控制(Admission Control)以及HEML(可能是指Host Endpoint Management Language,但具体内容未提供,因此不展开讨论)。...
准入控制802.1x工作原理.pdf
05-25
802.1x协议的核心是端口级别的鉴权,它依赖于RADIUS(远程认证拨号用户服务)进行身份验证和授权。协议涉及三个关键角色:请求方(通常是用户终端设备,如电脑或手机)、认证方(通常是网络设备,如交换机或接入点)...
K8S 安全认证机制(认证授权(Role/ClusterRole/ClusterRole/ClusterRoleBinding)、准入控制
weixin_45880055的博客
06-10 2992
文章目录一、访问控制概述二、认证管理三、授权管理Role、ClusterRoleRoleBinding、ClusterRoleBindingRoleBinding引用ClusterRole进行授权实例四、准入控制 一、访问控制概述 Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。 所谓的安全性其实就是保证对Kubernetes的各种客户端进行认证鉴权操作。 客户端 在Kubernetes集群中,客户端通常有两类: User Account: 一般是独立于kubern
安全认证准入控制、RBAC
weixin_46837396的博客
03-15 2252
文章目录准入机制一、Authentication:认证1.https的认证需要认证的节点总结二、鉴权(Authorization)API Server目前支持以下几种授权策略:RBAC授权RBAC的API资源说明对象1、Role and ClusterRole2、RoleBinding、ClusterRoleBindingResourcesto subject实践--创建一个用户只能管理dev命名空间下载证书工具设置集群参数设置客户端认证参数设置上下文参数设置默认上下文普通用户查看pod以及状态准入控制二、
网络准入设备和软件有哪些 推荐八款网络准入设备
2401_83058349的博客
04-28 712
这些设备和软件共同协作,形成了一个全面的网络准入控制系统,确保只有经过适当授权的设备和用户才能接入网络,并且按照规定的策略进行网络访问。尤其是那些支持802.1X协议的网络接入交换机,能够根据认证服务器的指令开启或关闭特定端口,从而控制物理连接到网络的设备接入。虽然更广泛地应用于员工监控,但这些软件也具备网络准入相关的功能,能够监控和控制员工的网络使用行为,防止数据泄露和不合规操作。Cisco提供的强大网络准入控制解决方案,不仅进行身份验证和授权,还提供策略执行和合规性检查,广泛应用于大型企业网络。
k8s笔记八(kubernetes中认证授权准入控制
dayi_123的博客
05-24 1万+
1、k8s中的访问控制 API server作为kubernetes集群系统的网关,是访问及管理资源对象的唯一入口,而其他所有的组件及kubectl命令都要经由此网关进行集群的访问和管理。而各组件及客户端每一次的访问请求都要有api server进行合法性校验,包括身份鉴别、操作权限验证等。所有的检查通过之后才能访问或存入数据于后端的etcd中。客户端的认证操作是由api ser...
K8S原理剖析:安全原理剖析和实践
琦彦
01-04 1871
大纲 认证鉴权 准入控制 Service Account Secret 认证鉴权 API Server架构 Kubernetes的安全框架 访问K8S集群的资源需要过三关:认证鉴权准入控制。 普通用户若要安全访问集群API Server,往往需要证书、 token、用户名-密码; Pod访问,需要ServiceAccount K8S安全控制框架主要由下面3...
Kubernetes 的安全机制 APIServer 认证授权准入控制
weixin_34005042的博客
12-14 721
本文讲解 kubernetes 的安全机制。主要会按照这几个部分来讲解:APIServer 认证授权准入控制等。 我们都知道 kubenetes 默认在两个端口提供服务:一个是基于 https 安全端口 6443,另一个是基于 http 的非安全端口 8080。其中非安全端口 8080 限制只能本机访问,即绑定的是 localhost。 对于安全端口...
docker中config.json和key.json的作用
爷来辣的博客
01-29 1万+
config.json 路径: ~/.docker/config.json config.json是用于存储docker registry的认证信息 文件内容格式如下 { "auths": { "harbor.xxx.com": { "auth": "xxx" } } } auth后面的内容其实是你刚刚输入的用户名密码的加密后的输出 可以尝试加密解密测试 加密 # 对比一下登录harbor的用户名:密码 加密后是否和~/.docker/config.json中auth的值对应 echo
kubernetes认证授权准入控制
weixin_34232744的博客
04-12 847
1 总述 1 概述 kubernetes 中的资源访问类型有两种,一种是由POD提供的服务资源,其可通过service或 ingress提供接口以供外部访问,这种访问不需要经过API server的认证,而另一种对集群内部资源的操作则需要经过一定的认证授权操作才能完成。 2 认证授权准入控制概述 1 概述 任何客户端在操作相关资源对象时必须经过三个步骤:认证: 身份鉴别,正确的账号,能...
基于java的校园美食交流系统设计与实现.docx
最新发布
09-19
基于java的校园美食交流系统设计与实现.docx
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值