Linux企业实战之容器(二十一)——Kubernetes(10)

最新推荐文章于 2024-02-29 13:40:55 发布
最新推荐文章于 2024-02-29 13:40:55 发布
阅读量206 收藏
点赞数
分类专栏: 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bdkl9998/article/details/106655117
版权

kubernetes访问控制

在这里插入图片描述
在这里插入图片描述

  • Authentication(认证)

    • 认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式。

    • Kubernetes集群有两类用户:由Kubernetes管理的Service Accounts (服务账户)和(Users Accounts) 普通账户。k8s中账号的概念不是我们理解的账号,它并不真的存在,它只是形式上存在。

  • Authorization(授权)

    • 必须经过认证阶段,才到授权请求,根据所有授权策略匹配请求资源属性,决定允许或拒绝请求。授权方式现共有6种,AlwaysDeny、AlwaysAllow、ABAC、RBAC、Webhook、Node。默认集群强制开启RBAC。

  • Admission Control(准入控制)

    • 用于拦截请求的一种方式,运行在认证、授权之后,是权限认证链上的最后一环,对请求API资源对象进行修改和校验。

  • 访问k8s的API Server的客户端主要分为两类:

    • kubectl :用户家目录中的 .kube/config 里面保存了客户端访问API Server的密钥相关信息,这样当用kubectl访问k8s时,它就会自动读取该配置文件,向API Server发起认证,然后完成操作请求。
    • pod:Pod中的进程需要访问API Server,如果是人去访问或编写的脚本去访问,这类访问使用的账号为:UserAccount;而Pod自身去连接API Server时,使用的账号是:ServiceAccount,生产中后者使用居多。

  • kubectl向apiserver发起的命令,采用的是http方式,其实就是对URL发起增删改查的操作。

    • $ kubectl proxy --port=8888 &

    • $ curl http://localhost:8888/api/v1/namespaces/default

    • $ curl http://localhost:8888/apis/apps/v1/namespaces/default/deployments

    • 以上两种api的区别是:

      • api它是一个特殊链接,只有在核心v1群组中的对象才能使用。
      • apis 它是一般API访问的入口固定格式名。

  • UserAccount与serviceaccount:

    • 用户账户是针对人而言的。 服务账户是针对运行在 pod 中的进程而言的。
    • 用户账户是全局性的。 其名称在集群各 namespace 中都是全局唯一的,未来的用户资源不会做 namespace 隔离, 服务账户是 namespace 隔离的。
    • 通常情况下,集群的用户账户可能会从企业数据库进行同步,其创建需要特殊权限,并且涉及到复杂的业务流程。 服务账户创建的目的是为了更轻量,允许集群用户为了具体的任务创建服务账户 ( 即权限最小化原则 )。

  • RBAC(Role Based Access Control):基于角色访问控制授权

    • 允许管理员通过Kubernetes API动态配置授权策略。RBAC就是用户通过角色与权限进行关联;

    • RBAC只有授权,没有拒绝授权,所以只需要定义允许该用户做什么即可;

    • RBAC包括四种类型:Role、ClusterRole、RoleBinding、ClusterRoleBinding。

    • RBAC的三个基本概念:

      • Subject:被作用者,它表示k8s中的三类主体,user、group、serviceAccount;
      • Role:角色,它其实是一组规则,定义了一组对Kubernetes API对象的操作权限;
      • RoleBinding:定义了“被作用者”和“角色”的绑定关系。

    • Role和ClusterRole:

      • Role是一系列的权限的集合,Role只能授予单个namespace中资源的访问权限。
      • ClusterRole跟Role很类似,但是可以在集群中全局使用。

    • RoleBinding和ClusterRoleBinding

      • RoleBinding是将Role中定义的权限授予给用户或者用户组。它包含一个subjects列表(users,groups,service accounts),并引用该Role。
      • RoleBinding是对某个namespace内授权,ClusterRoleBinding适用在集群范围内使用。

  • 创建serviceaccount

    • 步骤一:创建服务账号
kubectl get sa
kubectl create serviceaccount test			#此时k8s为用户自动生成认证信息,但是没有授权
kubectl get sa
kubectl describe sa test

在这里插入图片描述

  • 步骤二:添加secrets到serviceaccount中,把serviceaccount和pod绑定起来
kubectl describe sa test
kubectl patch serviceaccount test -p '{"imagePullSecrets":[{"name":"myregistrykey"}]}'

在这里插入图片描述

vim pod.yaml

apiVersion: v1
kind: Pod
metadata:
  name: myapp
  labels:
    app: myapp
spec:
  containers:
  - name: myapp
    image: reg.westos.org/westos/game2048
    ports:
    - name: http
      containerPort: 80
  serviceAccountName: test

kubectl apply -f pod.yaml
kubectl get pod
kubectl describe pod myapp

在这里插入图片描述
在这里插入图片描述

注意:
将认证信息添加到serviceAccount中,要比直接在Pod中指定imagePullSecrets要安全很多

  • 创建useraccount

    • 步骤一:生成证书和key
cd /etc/kubernetes/pki/			
openssl genrsa -out test.key 2048								#生成一个key
openssl req -new -key test.key -out test.csr -subj "/CN=test"	#做一个证书请求
openssl x509 -req -in test.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out test.crt -days 365									#生成一个证书
openssl x509 -in test.crt -text -noout							#查看证书的输出
ll test.*

在这里插入图片描述
在这里插入图片描述

  • 步骤二:创建用户,添加用户到集群管理名单中
kubectl config set-credentials test --client-certificate=/etc/kubernetes/pki/test.crt --client-key=/etc/kubernetes/pki/test.key  --embed-certs=true
kubectl config view
kubectl config set-context test@kubernetes --cluster=kubernetes --user=test	#将test用户添加到集群管理用户名单中
kubectl config view

在这里插入图片描述
在这里插入图片描述

kubectl get pod
kubectl config use-context test@kubernetes
kubectl get pod
kubectl config use-context kubernetes-admin@kubernetes
kubectl get pod

在这里插入图片描述

  • RBAC基于角色访问控制授权示例

    • 步骤一:创建一个Role
vim role.yaml

kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: default
  name: myrole
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "watch", "list", "create", "update", "patch", "delete"]


kubectl apply -f role.yaml
kubectl get role

在这里插入图片描述

  • 步骤二:创建一个RoleBinding
vim rolebinding.yanl

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: test-read-pods
  namespace: default
subjects:
- kind: User
  name: test
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: myrole
  apiGroup: rbac.authorization.k8s.io



kubectl apply -f rolebinding.yaml
kubectl get rolebindings.rbac.authorization.k8s.io
kubectl config use-context test@kubernetes
kubectl get pod

在这里插入图片描述
在这里插入图片描述

  • 步骤三:创建ClusterRole,并且rolebinding绑定ClusterRole
vim clusterrole.yaml

kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: myclusterrole
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "watch", "list", "delete", "create", "update"]
- apiGroups: ["extensions", "apps"]
  resources: ["deployments"]
  verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]

kubectl apply -f clusterrole.yaml
kubectl get clusterrole


vim clusterrolebind.yaml

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: rolebind-myclusterrole
  namespace:  default
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: myclusterrole
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: User
  name: test

kubectl apply -f clusterrolebind.yaml
kubectl get rolebindings.rbac.authorization.k8s.io 
kubectl config use-context test@kubernetes
kubectl get pod
kubectl get deployments.apps

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

  • 步骤四:创建ClusterRoleBinding
vim clusterrolebinding.yaml

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: clusterrolebinding-myclusterrole
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: myclusterrole
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: User
  name: test

kubectl apply -f clusterrolebinding.yaml
kubectl config use-context test@kubernetes
kubectl get pod -n kube-system
kubectl get svc

在这里插入图片描述
在这里插入图片描述

  • 服务账户的自动化

    • 服务账户准入控制器(Service account admission controller)

      • 如果该 pod 没有 ServiceAccount 设置,将其 ServiceAccount 设为 default。
      • 保证 pod 所关联的 ServiceAccount 存在,否则拒绝该 pod。
      • 如果 pod 不包含 ImagePullSecrets 设置,那么 将 ServiceAccount 中的 ImagePullSecrets 信息添加到 pod 中。
      • 将一个包含用于 API 访问的 token 的 volume 添加到 pod 中。
      • 将挂载于 /var/run/secrets/kubernetes.io/serviceaccount 的 volumeSource 添加到 pod 下的每个容器中。

  • Token 控制器(Token controller)

    • 检测服务账户的创建,并且创建相应的 Secret 以支持 API 访问。
    • 检测服务账户的删除,并且删除所有相应的服务账户 Token Secret。
    • 检测 Secret 的增加,保证相应的服务账户存在,如有需要,为 Secret 增加 token。
    • 检测 Secret 的删除,如有需要,从相应的服务账户中移除引用。

  • 服务账户控制器(Service account controller)

    • 服务账户管理器管理各命名空间下的服务账户,并且保证每个活跃的命名空间下存在一个名为 “default” 的服务账户.

  • Kubernetes 还拥有“用户组”(Group)的概念:

    • ServiceAccount对应内置“用户”的名字是:system:serviceaccount:<ServiceAccount名字 >
    • 而用户组所对应的内置名字是:system:serviceaccounts:<Namespace名字 >

  • Kubernetes 还提供了四个预先定义好的 ClusterRole 来供用户直接使用:

    • cluster-amdin
    • admin
    • edit
    • view

我们可以查看一下这几个集群预定义好的ClusterRole的权限,进行对比

kubectl get clusterrole

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

bdkl9998
关注
专栏目录
kubernetes(k8s):访问控制(认证+授权+准入控制)
weixin_43936969的博客
05-24 4298
文章目录1. kubernetes API 访问控制2. 认证 Authentication1 访问k8s的API Server的客户端2 UserAccount 与 serviceaccount2.1 创建serviceaccount:2.2 添加secrets到serviceaccount中2.3 把serviceaccount和pod绑定起来2.4 创建useraccount3. 授权 Authorization3.1RBAC基于角色访问控制授权3.2 RoleBinding角色绑定3.3Cluste
Kubernetes集群实战——Kubernetes集群部署、故障模拟及处理、pod管理
weixin_45792518的博客
06-20 927
0.Borg概述 Borg是谷歌内部的大规模集群管理系统,负责对谷歌内部很多核心服务的调度和管理,Borg的目的是让用户能够不必操心资源管理问题,让他们专注于自己的核心业务,并且做到跨多个数据中心的资源利用率最大化 borg主要由borgmaster 1.Kubernetes简介 在Docker 作为高级容器引擎快速发展的同时,在Google内部,容器技术已经应 用了很多年,Borg系统运行管理着成千上万的容器应用。 Kubernetes项目来源于Borg,可以说是集结了Borg设计思想的精华,并且吸收了
k8s中的访问控制
weixin_43849415的博客
10-20 2055
本文主要介绍了k8s中的访问控制,包括认证、授权、准入控制,最后通过几个小case进行案例演示。
【k8s 访问控制--认证与鉴权】
最新发布
嘻哈记的运维学习之路
02-29 1522
操作k8s的所有请求都是通过https的方式进行请求,通过REST协议操作我们的k8s接口,所以在k8s中有一套认证和鉴权的资源。
docker的接口 外部如何访问k8s_浅谈k8s+docker 资源监控
weixin_32375369的博客
12-23 332
写在前面最近在研究docker集群(kubernetes)的监控,为了彻底弄清楚,简单看了一点源码。这里分享一下我学到的东西。docker api: stats首先是docker的api,stats的具体使用场景如:http://$dockerip:2375/containers/$containerid/stats可以获取docker机器上某一个容器的状态,该请求的response会持续的写响应...
mac docker桌面版k8s启动成功却无法访问
寂夜了无痕的博客
06-07 1240
mac docker桌面版k8s启动成功却无法访问
Linux容器实战——Docker与Kubernetes集群完整版ppt全套课件整本书电子教案.pptx
06-08
Linux容器实战——Docker与Kubernetes集群完整版ppt全套课件整本书电子教案.pptx
Linux容器实战——Docker与Kubernetes集群完整版ppt全套课件整本书电子讲义.pptx
03-24
Linux容器实战——Docker与Kubernetes集群完整版ppt全套课件整本书电子讲义.pptx
Docker与Kubernetes系列(三): 外部访问Docker容器
沈鸿斌的博客
02-12 7059
这段时间工作中用到了Docker以及Kubernetes(简称K8S),现在整理下我学习Docker以及K8S过程中看的一些比较好的资料,方便自己回顾,也希望能给容器小白一些帮助。给自己定一个小目标,二月底之前完成。 这是本系列的第三篇文章, 将介绍如何访问Docker容器。 一、外部访问容器 容器中可以运行一些网络应用,要让外部也可以访问这些应用,可以通过 -P 或 -p
k8s之基于用户/用户组授权
jiayu的博客
05-07 1959
Kubernetes 通过身份认证插件利用客户端证书、持有者令牌(Bearer Token)或身份认证代理(Proxy) 来认证 API 请求的身份,这篇博客将介绍如何基于用户、用户组进行授权
user和group
weixin_38076419的博客
04-06 432
#######################UNIT5 1.用户      1)用户就是系统使用者      2)用户在系统存储为若干字符串+若干配置文件      3)用户涉及的系统配置文件为:  *)/etc/passwd ##用户具体信息  用户:密码:uid:gid:说明:家目录:用户使用shell 在命令行输入 vim /etc/passwd;截取部分  如下图:    *)/et...
k8s创建用户账号——User Account
cbmljs的博客
11-07 1万+
用户账户和用户组 Kubernetes 并不会存储由认证插件从客户端请求中提取出的用户及所属组的信息,它们仅仅用于检验用户是否有权限执行其所请求的操作。客户端访问API服务的途径通常有三种:kubectl、客户端库或者直接使用 REST接口进行请求。而可以执行此类请求的主体也被 Kubernetes 分为两类:现实中的“人”和 Pod 对象, 它们的用户身份分别对应于常规用户 (User Acc...
K8s --k8s访问控制
ly660402的博客
02-27 425
API Server 是K8s重要的管理API 层。它负责提供restful api访问端点, 并且将数据持久化到etcd server中。Kubernetes 集群中,API Server 扮演着交互入口的位置。API Server 不仅负责和 etcd 交互(其他组件不会直接操作 etcd,只有 API Server 这么做),并切对外提供统一的API调用入口, 所有的交互都是以 API Server 为核心的。 kubernetes API 访问控制 Authentication(认证) 认证.
kubernetes(k8s)从入门到精通--配置dashboard及基础命令-第一章-第二节【入门篇】
Laughing_G的博客
10-11 1483
意义 在Kubernetes Dashboard 中可以查看集群中应用的运行状态,也能够创建和修改各种 Kubernetes 资源,比如 Deployment、Job、DaemonSet 等。用户可以 Scale Up/Down Deployment、执行 Rolling Update、重启某个 Pod 或者通过向导部署新的应用。Dashboard 能显示集群中各种资源的状...
kubernete编排技术六:RBAC权限控制
zjj2006的专栏
08-18 616
kubernete使用RBAC进行权限控制
简易DOCKER/K8S使用心得
gogoytgo的博客
01-05 1595
1. 生成DOCKER 首先需要准备一份Dockerfile FROM hub.docker.com/centos/centos:7.5.1804 COPY myapp/ /opt/myapp/ CMD ["/opt/myapp/start.sh"] 以上述为例,FROM表示基础镜像。 COPY为需要增加文件到DOCKER中的具体位置 CMD为默认命令行 然后就可以生成了 docker build -t hub.my.com/mycomp/myapp:1.0 . 2. 调试DOCKER docker r
Kubernetes之ServiceAccount+Secret(超详细汇总)
热门推荐
BigData_Mining的博客
03-13 1万+
第一章、前言 每一个用户对API资源进行操作都需要通经过以下三个步骤: 第一步:对客户端访问进行认证操作,确认是否具有访问k8s权限 token(共享秘钥) SSL(双向SSL认证) ....通过任何一个认证即表示认证通过,进入下一步 第二步:授权检查,确认是否对资源具有相关的权限 ABAC(基于属性的访问控制) RBAC(基于角色的访问控制) NODE(基...
Docker与Kubernetes集群实战指南
"容器云运维实战 Docker与Kubernetes集群.pdf" 本书深入探讨了现代云环境中的关键技术,重点关注Docker容器Kubernetes集群的运维实践。首先,它从Linux运维基础开始,介绍了Linux的基础知识,包括Linxu系统管理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值