Day08-K8S安全框架RBAC

最新推荐文章于 2025-05-05 14:49:39 发布
原创 最新推荐文章于 2025-05-05 14:49:39 发布 · 893 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #安全 #容器 #云原生

Day08-K8S安全框架RBAC

0、昨日内容回顾:

  • 污点:

    • 格式:
      KEY[=VALUE]:effect
      effect:
      NoScheduler
      PreferNoScheduler
      NoExecute

  • 污点容忍:

  • 节点选择器:

  • 亲和性:

    • 节点亲和性
    • Pod亲和性
    • Pod反亲和性

  • daemonSets

  • Pod驱逐

  • kubeadm集群的扩缩容

  • kube-proxy的工作切换,由iptables切换为ipvs

  • svc的NodePort类型的端口范围映射

今日内容预告:

  • K8S的安全框架;

  • Ingress

  • add-ons:
    ​ - dashboard
    ​ - metric-server

  • helm

1、K8S安全框架

1.1 K8S的安全架构流程图解

image-20220613183403594

1.2 RBAC

image-20220613195323117

K8S的内置角色:

[root@k8s231 ~]# kubectl get clusterrole |grep -v system
NAME                                                                   CREATED AT
admin                                                                  2024-06-12T01:48:20Z
cluster-admin                                                          2024-06-12T01:48:20Z
edit                                                                   2024-06-12T01:48:20Z
flannel                                                                2024-06-12T02:56:26Z
kubeadm:get-nodes                                                      2024-06-12T01:48:22Z
view                                                                   2024-06-12T01:48:20Z

K8S内置集群角色:
    cluster-admin:
       超级管理员,有集群所有权限。
    admin:
       主要用于授权命名空间所有读写权限。
    edit:
       允许对大多数对象读写操作,不允许查看或者修改角色,角色绑定。
    view:
       允许对命名空间大多数对象只读权限,不允许查看角色,角色绑定和secret。
       
K8S预定好了四个集群角色供用户使用,使用"kubectl get clusterrole"查看,其中"systemd:"开头的为系统内部使用。

clusterrole查看,其中"system:"开头的为系统内部使用。

1.3 基于用户的权限管理实战

1.使用k8s ca签发客户端证书
1.1 解压证书管理工具包

[root@k8s231.oldboyedu.com ~]# wget http://192.168.15.253/Kubernetes/day08-/softwares/oldboyedu-cfssl.tar.gz
[root@k8s231.oldboyedu.com ~]# tar xf oldboyedu-cfssl.tar.gz -C /usr/bin/  && chmod +x /usr/bin/cfssl*

1.2 编写证书请求

[root@k8s231.oldboyedu.com user]#  cat > ca-config.json <<EOF
{
   
   
  "signing": {
   
   
    "default": {
   
   
      "expiry": "87600h"
    },
    "profiles": {
   
   
      "kubernetes": {
   
   
        "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ],
        "expiry": "87600h"
      }
    }
  }
}
EOF


[root@k8s231.oldboyedu.com user]#  cat > oldboyedu-csr.json <<EOF
{
   
   
  "CN": "oldboyedu",
  "hosts": [],
  "key": {
   
   
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
   
   
      "C": "CN",
      "ST": "BeiJing",
      "L": "BeiJing",
      "O": "k8s",
      "OU": "System"
    }
  ]
}
EOF

1.3 生成证书

[root@k8s231.oldboyedu.com user]#  cfssl gencert -ca=/etc/kubernetes/pki/ca.crt -ca-key=/etc/kubernetes/pki/ca.key -config=ca-config.json -profile=kubernetes oldboyedu-csr.json | cfssljson -bare oldboyedu

2.生成kubeconfig授权文件

2.1 编写生成kubeconfig文件的脚本

cat > kubeconfig.sh <<'EOF'
# 配置集群
# --certificate-authority
#   指定K8s的ca根证书文件路径
# --embed-certs
#   如果设置为true,表示将根证书文件的内容写入到配置文件中,
#   如果设置为false,则只是引用配置文件,将kubeconfig
# --server
#   指定APIServer的地址。
# --kubeconfig
#   指定kubeconfig的配置文件名称
kubectl config set-cluster oldboyedu-linux \
  --certificate-authority=/etc/kubernetes/pki/ca.crt \
  --embed-certs=true \
  --server=https://10.0.0.231:6443 \
  --kubeconfig=oldboyedu-linux.kubeconfig
 
# 设置客户端认证
kubectl config set-credentials oldboyedu \
  --client-key=oldboyedu-key.pem \
  --client-certificate=oldboyedu.pem \
  --embed-certs=true \
  --kubeconfig=oldboyedu-linux.kubeconfig

# 设置默认上下文
kubectl config set-context linux \
  --cluster=oldboyedu-linux \
  --user=oldboyedu \
  --kubeconfig=oldboyedu-linux.kubeconfig

# 设置当前使用的上下文
kubectl config use-context linux --kubeconfig=oldboyedu-linux.kubeconfig
EOF

2.2 生成kubeconfig文件

bash kubeconfig.sh

3.创建RBAC授权策略
3.1 创建rbac等配置文件

[root@k8s231.oldboyedu.com user]# cat rbac.yaml 
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: default
  name: linux-role-reader
rules:
  # API组,""表示核心组,该组包括但不限于"configmaps","nodes","pods","services"等资源.
- apiGroups: ["","apps/v1"]  
  # 资源类型,不支持写简称,必须写全称哟!!
  # resources: ["pods","deployments"]  
  resources: ["pods","deployments","services"]  
  # 对资源的操作方法.
  # verbs: ["get", "list"]  
  verbs: ["get", "list","delete"]  
- apiGroups: ["","apps"]
  resources: ["configmaps","secrets","daemonsets"]
  verbs: ["get", "list"]  
- apiGroups: [""]
  resources: ["secrets"]
  verbs: ["delete"]  

---

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: oldboyedu-linux81-resources-reader
  namespace: default
subjects:
  # 主体类型
- kind: User  
  # 用户名
  name: oldboyedu  
  apiGroup: rbac.authorization.k8s.io
roleRef:
  # 角色类型
  kind: Role  
  # 绑定角色名称
  name: linux-role-reader
  apiGroup: rbac.authorization.k8s.io
[root@k8s231.oldboyedu.com user]#

3.2 应用rbac授权

[root@k8s231.oldboyedu.com user]# kubectl apply -f rbac.yaml

3.3 访问测试

[root@k8s232.oldboyedu.com ~]# kubectl get po,cm,secret --kubeconfig=oldboyedu-linux.kubeconfig
NAME                                               READY   STATUS             RESTARTS   AGE
pod/oldboyedu-linux85-ds-xgp9v                     1/1     Running            0          2m18s
pod/oldboyedu-linux85-wordpress-6b757777b7-l78gl   0/1     ImagePullBackOff   0          14m
pod/oldboyedu-linux85-wordpress-6b757777b7-n7m8d   0/1     ImagePullBackOff   0          14m
pod/oldboyedu-linux85-wordpress-6b757777b7-scqf4   0/1     ImagePullBackOff   0          14m

NAME                                DATA   AGE
configmap/kube-root-ca.crt          1      8d
configmap/oldboyedu-linux85-games   1      6d17h

NAME                         TYPE                                  DATA   AGE
secret/default-token-4qknd   kubernetes.io/service-account-token   3      8d
secret/es-https              Opaque                                3      6d16h
secret/linux85               kubernetes.io/dockerconfigjson        1      6d15h
secret/linux85-harbor        kubernetes.io/dockerconfigjson        1      3d22h
[root@k8s232.oldboyedu.com ~]# 
[root@k8s232.oldboyedu.com ~]# kubectl delete configmap/oldboyedu-linux85-games --kubeconfig=oldboyedu-linux.kubeconfig
Error from server (Forbidden): configmaps "oldboyedu-linux85-games" is forbidden: User "oldboyedu" cannot delete resource "configmaps" in API group "" in the namespace "default"
[root@k8s232.oldboyedu.com ~]# 
[root@k8s232.oldboyedu.com ~]# 
[root@k8s232.oldboyedu.com ~]# kubectl delete secret/linux85-harbor --kubeconfig=oldboyedu-linux.kubeconfig
secret "linux85-harbor" deleted
[root@k8s232.oldboyedu.com ~]#

1.4 RBAC基于组的方式认证:

​ CN: 代表用户,
​ O: 组。

1.使用k8s ca签发客户端证书
1.1 编写证书请求

[root@k8s231.oldboyedu.com groups]# cat > ca-config.json <<EOF
{
   
   
"signing": {
   
   
  "default": {
   
   
    "expiry": "87600h"
  },
  "profiles": {
   
   
    "kubernetes": {
   
   
      "usages": [
          "signing",
          "key encipherment",
          "server auth",
          "client auth"
      ],
      "expiry": "87600h"
    }
  }
}
}
EOF

[root@k8s231.oldboyedu.com groups]# cat > oldboyedu-csr.json <<EOF
{
   
   
  "CN": "linux",
  "hosts": [],
  "key": {
   
   
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
最低0.47元/天 解锁文章

200万优质内容无限畅学
CKA认证 | Day8 K8s安全
小安的运维专栏
12-27 1522
Kubernetes RBAC 是一种强大且灵活的权限管理机制,通过定义角色和绑定,可以细粒度地控制用户、用户组和服务账户对集群资源的访问。通过合理配置 RBAC,可以增强集群的安全性和可管理性,确保只有授权的实体能够执行特定的操作。
K8SK8S架构及相关组件
黄小黄的博客
08-09 4278
K8S,全称Kubernetes,是一个开源的容器部署和管理平台,由Google开发,后捐献给云原生计算基金会(CNCF)。K8S提供了容器编排、容器运行时、以容器为中心的基础设施编排、负载平衡、自我修复机制和服务发现等功能。K8S的架构采用主从设备模型(Master-Slave架构),即由Master节点负责集群的调度、管理和运维,Slave节点作为集群中的运算工作负载节点。
K8s】01 - K8s概述和架构
最新发布
qq_43350524的博客
05-05 926
K8s】01 - K8s概述和架构
K8s架构|全面整理K8s的架构介绍
热门推荐
qq_37419449的博客
12-26 2万+
K8S架构与核心技术介绍 参考文献: https://jimmysong.io/kubernetes-handbook/concepts/concepts.html https://www.infoq.cn/article/kubernetes-and-cloud-native-applications-part01/ 文章目录K8S架构与核心技术介绍1. 架构图1.1 整体结构图1.2 组件间的协议1.3 master与node架构图1.4 分层架构图2. K8s核心技术概念2.1 API对象2.2
【框架】K8S
IN THE ZONE
06-04 188
K8S to be continued…
【原创】k8s源码分析-----kubectl(3)主要框架
月牙寂
04-20 9527
本文QQ空间的链接:http://user.qzone.qq.com/29185807/blog/1461123088 本文csdn博文的链接:http://blog.csdn.net/screscent/article/details/51199351   源码为k8s v1.1.1   1、整体流程 我们先整体的流程走一遍,不用太过于关心看不看的懂,先有个整体的流程概念,后续再一步...
k8s安全框架
huahua1999的博客
05-06 1072
k8s安全框架 K8S安全控制框架主要由下面3个阶段进行控制,通过API Server配置来启用插件: 1. Authentication(鉴权) 2. Authorization(授权) 3. Admission Control(准入控制) 整个k8s的操作流程如下 K8s Apiserver提供三种客户端身份认证: • HTTPS 证书认证:基于CA证书签名的数字证书认证(kubeconfig) • HTTP Token认证:通过一个Token来识别用户(serviceaccou
Day11-K8S日志收集及搭建高可用的kubernetes集群实战案例
苦难带不走梦想
09-15 1218
我们生成的证书会定义一个用户 admin,它是属于 system:masters 这个组,k8s 安装的时候会有一个 clusterrole,它是一个集群角色,相当于一个配置,它有着集群最高的管理权限,同时会创建一个 clusterrolebinding,它会把 admin 绑到 system:masters 这个组上,然后这个组上的所有用户都会有这个集群的权限。(2)健康检查会检查haproxy的状态,三次失败就会将KeepAlived停掉,停掉之后KeepAlived会跳到其他的节点;
Day08-kafka集群搭建,集群原理,压力测试及filebeat和logstash结合kafak实战案例
苦难带不走梦想
07-18 1243
在软件工程中,压力测试是对系统不断施加压力的测试,是通过确定一个系统的瓶颈或者不能接收的性能点,来获得系统能提供的最大服务级别的测试。一个topic是生产者(producer)和消费者(consumer)进行逻辑的通信单元。分区可以暂时理解为分区编号,它包含该分区编号的所有副本,和磁盘的分区没关系。(2)当修改集群的配置参数后,压力测试可以协助运维人员去参考本次调优的效果;(1)根据公司的架构来调整咱们的生产者和消费者所在的环境;(3)压力测试的结果以后可以作为参考扩容集群的有效依据;
一步步学习k8s(一)
中國颜值半壁江山的博客
03-15 776
1、目前使用docker的情况 使用docker的缺点: 使用Docker容器化封装应用程序的缺点(坏处) 单机使用,无法有效集群 随着容器数量的上升,管理成本攀升 没有有效的容灾/自愈机制 没有预设编排模板,无法实现快速、大规模容器调度 没有统一的配置管理中心工具 没有容器生命周期的管理工具 没有图形化运维管理工具 使用Docker容器化封装应用程序的意义(好处) Docker引擎统一了基础设施环境-docker环境 硬件的配置 操作系统的版本 运行时环境的异构 Docker引擎统一了程序打包
k8s 架构
fofcn的专栏
04-14 1143
想要学习k8s的使用还是有必要学习一下k8s的架构。文章这个图是官网上k8s的架构图,这个架构展示了所有k8s的组件。Kubernetes架构可以分为两个主要部分:控制平面(Control Plane)和数据平面(Data Plane)。控制平面和数据平面简单理解就是老板和员工的关系。老板负责指挥怎么干,员工就根据智慧干。也可以拆开来理解。是Kubernetes的大脑,负责集群的整体管理和协调。
KubernetesK8s安全框架和用户认证
Code · Cloud · Think · Repeat
09-08 1529
Kubernetes 作为一个分布式的虚拟化集群管理工具,保证其集群的安全性就显得非常重要。由于 API Server 是访问集群资源的唯一入口,因此 Kubernetes安全机制都是围绕保护 API Server 来设计的。
k8s的框架及各个组件的简介
chen_haoren的博客
09-16 3562
文章目录k8s是什么k8s框架NodePodPod 和 Serviceetcd网络通讯Flannel不同情况下的网络通信方式 k8s是什么 Kubernetes是Google 2014年创建管理的,是Google 10多年大规模容器管理技术Borg的开源版本。它是容器集群管理系统,是一个开源的平台,可以实现容器集群的自动化部署、自动扩缩容、维护等功能。 通过Kubernetes你可以: 快速部署应用 快速扩展应用 无缝对接新的应用功能 节省资源,优化硬件资源的使用 Kubernetes 特点: 可移植:
分享一张自己做的基于3个节点的k8s框架图
Fear_w的博客
05-05 554
基于3个节点的k8s框架图
K8S平台安全框架
m0_46690280的博客
07-06 969
Kubernetes通过一系列的安全机制来实现Kubernetes的集群安全控制,这里面包括API Server的认证、授权、准入、Secret等机制。一般情况下,Kubernetes集群的安全性主要考虑如下几个目标: 容器和宿主机的资源隔离、容器和宿主机的权限隔离、容器操作的最小权限 组件通信的功能边界、普通用户和管理员用户、资源操作权限、等
K8S概念与架构
fyb012811的博客
11-09 4871
K8S 的全称为 Kubernetes (K12345678S),PS:“嘛,写全称也太累了吧,不如整个缩写”。用于自动部署、扩展和管理“容器化(containerized)应用程序”的开源系统。可以理解成 K8S 是负责自动化运维管理多个容器化程序(比如 Docker)的集群,是一个生态极其丰富的容器编排框架工具。由来:K8S由google的Borg系统(博格系统,google内部使用的大规模容器编排工具)作为原型,后经GO语言延用Borg的思路重写并捐献给CNCF基金会开源。
kubernetes(k8s)架构及基础知识(一)
qq_44663072的博客
07-10 585
本栏目用于总结一下k8s云原生相关的知识
kubernetes 设计架构
weixin_39506860的博客
06-25 596
kubernetes 设计架构 Kubernetes集群包含有节点代理kubelet和Master组件(API,Scheduler,etc),一切都基于分布式的存储系统。下面是kubernetes的架构图 kubernetes节点 在这张系统架构图中,我们把服务氛围运行在工作节点上的服务和组成集群级别控制板的服务 kubernetnes节点有运行应用容器必备的服务,而这些都是受Master的控制...
K8S基础概念和架构
meser88的博客
06-13 990
在Kubernets中,Pod作为基本的执行单元,它可以拥有多个容器和存储数据卷,能够方便在每个容器中打包一个单一的应用,从而解耦了应用构建时和部署时的所关心的事项,已经能够方便在物理机/虚拟机之间进行迁移。),服务提供了一种访问一群pod的途径。服务发现主要通过DNS实现。依据请求资源的可用性,服务请求的质量等约束条件,scheduler监控未绑定的pod,并将其绑定至特定的node节点。在Kubernetes中,应用容器彼此是隔离的,并且与运行其的主机也是隔离的,这是对应用进行独立解耦管理的关键点。
掌握云原生技术:Kubernetes部署流水线实践指南
k8s提供了一个框架,使用户能够运行分布式系统,同时具有跨多个主机集群的容器部署、扩展、负载均衡和自我修复能力。 知识点三:k8s的核心组件 k8s集群由主节点(Master Node)和工作节点(Worker Node)组成。主...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值