kubernetes各组件通信路径与安全

最新推荐文章于 2023-06-26 21:18:56 发布
最新推荐文章于 2023-06-26 21:18:56 发布
阅读量1k 收藏 1
点赞数
分类专栏: kubernetes 文章标签: kubernetes各组件通信路径及安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dkfajsldfsdfsd/article/details/80998097
版权

本文将kubernetes master node与整个集群的通信路径分类,目的是使用户能够通过自定义安装强化网络配置,从而使集群运行在不受信任的网络之上,比如云供应商的全开放IP环境。通信路径分成两条:由master到集群、由集群到master。

cluster->master

所有从集群到master的通信路径终点都是apiserver,由kubernetes的安装部署可知道,其它控制面(master)全部都没有开放供其它组件访问的接口。一个典型的部署,apiserver被配置在安全的HTTPS端口(443)监听远程连接,同时可以使用多种被允许的认证方案对客户端进行身份认证。应该支持多种认证方案,特别是允许匿名请与service account token。

重要的一点,node要想通过安全连接访问apiserver,那么应该被提供根证书与可用的客户端证书。例如,在一个采用默认部署的GCE中,默认的客户端证书会提供给node上的kubelete。参考kubelet TLS bootstrapping实现kubelet客户端证书自动设置。

在pod内部想要安全的访问apiserver,需要给它提供一个service account,那么kubernetes在实例化pod时会自动的将根证书与可用的bearer token注入到实例化的pod中,kubernetes会为每个服务分配虚拟IP,最终通过kube-proxy的重定向指向apiserver的HTTPS endpoint。

同样所有的master上的组件都采用相同的方式与apiserver通信。

结果,apiserver是集群内部消息总线,所有其它组件与它的通信都是经过安全加密的,保证了在公网或者是不受信网络上的安全。

ma

最低0.47元/天 解锁文章
五星上炕
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kubernetes快速进阶与实战-实践手册
10-27
**Kubernetes快速进阶与实战-实践手册** 在IT行业中,Kubernetes(简称K8s)作为容器编排领域的领头羊,已经成为现代云原生应用部署的核心技术。本手册旨在帮助读者快速掌握Kubernetes的基本概念,理解其核心组件,...
Kubernetes 的证书认证
Kubernetes中文社区
09-20 9246
今天让我们聊聊 Kubernetes 的公私钥和证书认证。 本文内容会提及如何根据需要对 CA、公私钥进行组织并对集群进行设置。 Kubernetes 的组件中有很多不同的地方可以放置证书之类的东西。在进行集群安装的时候,我感觉有一百多亿个不同的命令参数是用来设置证书、密钥的,真不明白是怎么弄到一起工作的。 当然了,没有一百亿那么多的参数,不过的确很多的。比如 API Serve
k8s网络通信
最新发布
小哥(xpc)
06-26 751
Kubernetes 是为运行分布式集群而建立的,分布式系统的本质使得网络成为 Kubernetes 的核心和必要组成部分,了解 Kubernetes 网络模型可以使你能够正确运行、监控和排查应用程序故障。
《k8s中的网络安全丨PKI知识梳理》
u010389826的博客
05-06 2063
pki体系讲解与k8s中的证书机制
kubelet的tls证书理解记录
chuiyanyou9920的博客
06-11 534
kulelet如果有token的方式做认证,只需要生成一次bootstrap-kubeconfig就可以了 生成的方式 BOOTSTRAP_TOKEN='your_token' HOST_NAME='node_ip' kubectl config set-cluster kubernetes ...
kubernetes 控制平台和节点之间的通信
骑着蜗牛向前跑的博客
08-23 826
这篇文章也是翻译的官网:Control Plane-Node Communication 这篇文章主要罗列(catelogs)控制平台(更确切的说是apiserver)和工作节点(nodes)之间的通信路径。目的是允许用户根据场景需求修改网络配置,以便在不受信任的网络上(比如:云提供商的完全公共IP上)运行集群。 通信只有两个方向:从节点到控制平台 和 从控制平台到节点。 从节点到控制平台(Node to Control Plane) 这个方向上通信都是始于 node 或者 node 上运行的 pod,终于
Programming Kubernetes
03-16
3. **TLS Bootstrapping**:用于节点和控制平面组件之间的安全通信。 4. **Network Policies**:定义Pod间通信规则,增强网络安全性。 七、Kubernetes持续集成/持续部署(CI/CD) 1. **Jenkins**、**GitLab CI/CD**...
kubernetes基础
12-16
每个Pod都有自己的IP地址,并可以直接与其他Pod通信,即使它们位于不同的节点上。此外,Service通过虚拟IP提供网络抽象,实现内部负载均衡和稳定的服务发现。 五、存储 Kubernetes支持多种存储类型,包括本地存储、...
详解k8s组件Ingress边缘路由器并落地到微服务-kubernetes
01-28
Kubernetes(k8s)集群中,Ingress是一个关键组件,它作为外部网络流量进入集群的入口,扮演着边缘路由器或集群网关的角色。Ingress允许管理员定义自定义的路由规则,以便灵活地管理和暴露服务,使得外部请求能够...
信息安全_数据安全_Kubernetes Practical Attack and .pdf
08-22
"信息安全_数据安全_Kubernetes Practical Attack and Defense"的主题深入探讨了Kubernetes集群可能面临的攻击路径,以及如何进行有效的防御措施。 首先,我们要理解Kubernetes攻击面的构成。攻击者可能针对Master...
k8s 网络通信详解
11-12
不同的网络命名空间中,协议栈是独立的,完全隔离,彼此之间无法通信。同一个网络命名空间有独立的路由表和独立的Iptables/Netfilter来提供包的转发、NAT、IP包过滤等功能。
Kubernetes-核心组件-组件通信
热门推荐
了解➔熟悉➔掌握➔精通
03-19 3万+
分享一个大牛的人工智能教程。零基础!通俗易懂!风趣幽默!希望你也加入到人工智能的队伍中来!请点击http://www.captainbed.net Kubernetes多组件之间的通信原理为 apiserver负责etcd存储的所有操作,且只有apiserver才直接操作etcd集群 apiserver对内(集群中的其他组件)和对外(用户)提供统一的REST API,其他组件均通过apiserver进行通信 controller manager、scheduler、kube-proxy和kub
深入理解kubelet认证和授权
徒行沙漠
01-31 2365
参考官网说明文档:https://kubernetes.io/zh/docs/reference/command-line-tools-reference/kubelet/ 在通过kubectl访问pod信息,例如执行kubectl logs,常常会遇到类似如下错误: [root@master01 ssl]# kubectl logs nginx-deployment-6b474476c4-gdbdn Error from server: Get https://172.31.3.205:10250/
kubernetes的PKI证书
rendongxingzhe的博客
05-10 1422
Kubernetes 需要 PKI 证书才能进行基于 TLS 的身份验证。如果你是使用 kubeadm 安装的 Kubernetes,则会自动生成集群所需的证书。你也可以自己生成证书。 集群是如何使用证书的 Kubernetes 需要 PKI 才能执行以下操作 1.Kubelet 的客户端证书,用于 API 服务器身份验证 2.API 服务器端点的证书 3.集群管理员的客户端证书,用于 API 服务器身份认证 4.API 服务器的客户端证书,用于和 Kubelet 的会话 5.AP
kubernetes核心组件的运行机制
漫漫行程路
08-25 223
kubernetes核心组件
kubernete的证书总结
weixin_33705053的博客
10-15 129
服务端保留公钥和私钥,客户端使用root CA认证服务端的公钥。 kubernetes的证书类型主要分为3类: serving CA: 用于签署serving证书,该证书用于加密https通信。用于签署kubernetes API serving证书的CA也可以用于签署API server插件的serving证书,可能会用到不同的CA client CA: 用于签署客户端证书,同...
一篇文章带你了解kubernetes各组件间的通信机制
Fire_For_Code
09-12 4230
【本文专栏于[头条号]、[知乎]同步发布,可关注同名账号订阅相关文章,每周固定更新】 【本篇文章共计6129字,阅读约需17分钟,其中涉及概念较多,建议先收藏再看。】 在之前的《一篇文章带你了解Kubernetes》一文中,我们对kubernetes有了一定的认识,本文我们将继续深入的对kubernetes在系统层面上进行讨论,一起看看kubernetes的各个基本组件...
Kubernetes--集群功能模块之间的通信
GaoChuang_的博客
11-06 607
Kubernets API Server作为集群的核心,负责集群各功能模块之前的通信。集群内的各个功能模块通过API Server将信息存储到etcd中,当需要获取和操作这些数据时,则通过API Server提供的REST接口(用Get、LIST或Watch方法)来实现,从而实现各个模块之前的信息交互。 交互场景一 kubelet进程与API Server的交互。每个Node上的kubelet每隔一个时间周期就会调用一次API Server的REST接口报告自身状态,API Server在接...
[kubernetes] 证书详细总结
摩登都市天空---专栏
09-23 5770
目录 一 证书简介 二 证书类型分类 三 证书说明 四 TLSbootstrapping简化kubelet证书制作 五 证书制作步骤 1 创建CA证书 2 创建K8S证书 2.1. 创建kubernetes证书 2.2 创建kube-controller-manager证书 2.3 创建kube-scheduler证书 3 创建ADMIN证书 4 创建ETC...
深入理解Kubernetes核心概念与组件
1. **APIServer**:作为Kubernetes的核心组件,APIServer是所有操作的入口点,提供RESTful API接口,允许客户端(如kubectl)与集群进行交互。它处理资源对象的增删改查,并且是集群安全、资源配额控制和代理API的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值