Kubernetes api-server 安全访问机制

最新推荐文章于 2023-05-25 21:42:06 发布
最新推荐文章于 2023-05-25 21:42:06 发布
阅读量295 收藏
点赞数
分类专栏: kubernetes 文章标签: kubernetes 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fengcai_ke/article/details/125717007
版权

引用: https://blog.csdn.net/qianghaohao/article/details/100012855

Kubernetes api-server 安全访问机制

kube-apiserver 是 k8s 整个集群的入口,是一个 REST API 服务,提供的 API 实现了 Kubernetes 各类资源对象(如 Pod,RC,Service 等)的增、删、改、查,API Server 也是集群内各个功能模块之间交互和通信的枢纽,是整个集群的总线和数据中心。

image.png

由此可见 API Server 的重要性了,我们用 kubectl、各种语言提供的客户端库或者发送 REST 请求和集群交互,其实底层都是以 HTTP REST 请求的方式同 API Server 交互,那么访问的安全机制是如何保证的呢,总不能随便来一个请求都能接受并响应吧。API Server 为此提供了一套特有的、灵活的安全机制,每个请求到达 API Server 后都会经过:认证(Authentication)–>授权(Authorization)–>准入控制(Admission Control) 三道安全关卡,通过这三道安全关卡的请求才给予响应:

image.png

认证(Authentication)

认证阶段的工作是识别用户身份,支持的认证方式有很多,比如:HTTP Base,HTTP token,TLS,Service Account,OpenID Connect 等,API Server 启动时可以同时指定多种认证方式,会逐个使用这些方法对客户请求认证,只要通过任意一种认证方式,API Server 就会认为 Authentication 成功。高版本的 Kubernetes 默认认证方式是 TLS。在 TLS 认证方案中,每个用户都拥有自己的 X.509 客户端证书,API 服务器通过配置的证书颁发机构(CA)验证客户端证书。
有两种用户:user account和service account,他们的区别:

ServiceAccount 是 k8s 内部资源,而普通用户是存在于 k8s 之外的;
ServiceAccount 是属于某个命名空间的,不是全局的,而普通用户是全局的,不归某个 namespace 特有;
ServiceAccount 一般用于集群内部 Pod 进程使用,和 api-server 交互,而普通用户一般用于 kubectl 或者 REST 请求使用;

对于user account,可以使用如下方式认证
a. X509 客户端证书

客户端证书验证通过为API Server 指定 --client-ca-file=xxx 选项启用,API Server通过此 ca 文件来验证 API 请求携带的客户端证书的有效性,一旦验证成功,API Server 就会将客户端证书 Subject 里的 CN 属性作为此次请求的用户名。关于客户端证书方式的用户后面会有专门的实践介绍。
可以参考:k8s之user account - 简书

b. 静态token文件

通过指定–token-auth-file=SOMEFILE 选项来启用 bearer token 验证方式,引用的文件是一个包含了 token,用户名,用户ID 的csv文件,请求时,带上 Authorization: Bearer xxx 头信息即可通过 bearer token 验证;
可以参考: https://studygolang.com/articles/11637?fr=sideba

c. 静态密码文件

通过指定 --basic-auth-file=SOMEFILE 选项启用密码验证,引用的文件是一个包含 密码,用户名,用户ID 的csv文件,请求时需要将 Authorization 头设置为 Basic BASE64ENCODED(USER:PASSWORD);
可以参考: https://blog.csdn.net/zhangoic/article/details/81174151

对于service account,可以使用如下方式访问

通过指定 --service-account-key-file=SOMEFILE,SOMEFILE一般为公钥/etc/kubernetes/pki/sa.pub,apiserver使用此公钥认证token。token是kube-controller通过私钥/etc/kubernetes/pki/sa.key给签名后颁发给sa。
可以参考: k8s之service account - 简书

授权(Authorization)

授权阶段判断请求是否有相应的权限,授权方式有多种:AlwaysDeny,AlwaysAllow,ABAC,RBAC,Node 等。API Server 启动时如果多种授权模式同时被启用,Kubernetes 将检查所有模块,如果其中一种通过授权,则请求授权通过。 如果所有的模块全部拒绝,则请求被拒绝(HTTP状态码403)。高版本 Kubernetes 默认开启的授权方式是 RBAC 和 Node。

准入控制(Admission Control)

准入控制判断操作是否符合集群要求,准入控制配备有一个“准入控制器”的列表,发送给 API Server 的每个请求都需要通过每个准入控制器的检查,检查不通过,则 API Server 拒绝调用请求,有点像 Web 编程的拦截器的意思。

参考

转载-HTTPS实战之单向验证和双向验证 - 简书
https://blog.csdn.net/zhaojie0708/article/details/104811117/
HTTPS数字证书与验证 - 简书

也可参考:Kubernetes api-server 安全访问机制 - 简书 (jianshu.com) 

分享放大价值
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kubernetes-server-linux-amd64-v1.15.4.tar.gz
09-10
这涉及到解压文件、配置必要的组件,如etcd、kubelet、apiserver等,并通过kubectl工具进行集群初始化和节点加入。 6. **网络和存储**:在Linux环境下,部署时需要配置网络解决方案,如Calico或Flannel,提供Pod间...
kubernetes二进宫系列——详解kubeadm生成的证书
一别两宽丶各生欢喜
03-01 1498
目录 详解kubeadm生成的证书 证书分组 Kubernetes 集群根证书 汇聚层证书 etcd 集群根证书 Serveice Account秘钥 详解kubeadm生成的证书 如果你使用过kubeadm部署过Kubernetes的环境, master主机节点上就一定会在相应的目录创建了一大批证书文件, 本篇文章就来说说kubeadm到底为我们生成了哪些证书 在Kubernetes的部署中, 创建证书, 配置证书是一道绕不过去坎儿, 好在有kubeadm这样的自动化工具, 帮我们去
如何访问kubelet API接口
丰年留客的专栏
01-11 855
如何访问kubelet的API接口。
安装kubernetes高可用集群(v1.26)
老段工作室
01-30 1666
kubernetes的master是需要配置高可用集群的,当一台master出问题了之后另外一台master仍然是可以继续工作的
Kubernetes 证书详解
最新发布
qq_37091832的博客
05-25 3356
Kubernetes 组件之间证书的关系~
k8s1.16.3集群使用token访问api
Yonx
09-14 895
1.开启相关参数及查看版本 KUBE_API_ARGS="--service-node-port-range=30000-32767--enable-swagger-ui=true--apiserver-count=3--audit-log-maxage=30--audit-log-maxbackup=3--audit-log-maxsize=100--audit-log-path=/var/log/k8s/audit.log--event-ttl=1h" 2.创建用户,给cluster...
kubernetes-security-best-practice:Kubernetes安全-最佳实践指南
02-04
13. **启用审计日志(Audit Logging)**:记录Kubernetes API Server的所有活动,便于审查和异常检测。 14. **监控与告警**:部署监控系统,对集群性能、安全事件进行实时监控,并设置相应的告警机制。 **八、安全...
kubernetes-server-linux-amd64.tar.gz
11-29
标题中的"kubernetes-server-linux-amd64.tar.gz"是一个针对Linux平台的AMD64架构的Kubernetes服务器软件包。Kubernetes(简称k8s)是一个开源的容器管理系统,由Google设计并贡献给开放源代码社区,现在由Cloud ...
kubernetes-server-linux-amd64-1.22.3.tar.gz
10-30
2. **API弃用**:每个Kubernetes版本都会有一部分旧API被弃用,1.22.3对某些API进行清理,促使用户转向更现代、更安全API。 3. **网络策略**:支持更精细的网络策略控制,允许管理员定义特定Pod之间的通信规则,...
kube-apiserver.rar
01-09
《kube-apiserverKubernetes集群的核心支柱》 在Kubernetes(简称k8s)这个强大的容器编排系统中,kube-apiserver是整个生态系统的心脏,它是k8s集群的关键组件,负责处理所有的API请求,提供集群状态的存储,并...
Kubernetes_认证授权_静态Pod网关apiserver底层都是restful接口(UserAccount三种访问方式和打开外网)
毛毛的专栏
10-15 1087
静态Pod网关apiserver底层都是restful接口
kube-apiserver启动参数配置项解释
qq_40502714的博客
11-02 688
kube-api server参数解释
k8s之service account
fengcai_ke的博客
07-11 3489
k8s service account分析
kubernetes的PKI证书
rendongxingzhe的博客
05-10 1426
Kubernetes 需要 PKI 证书才能进行基于 TLS 的身份验证。如果你是使用 kubeadm 安装的 Kubernetes,则会自动生成集群所需的证书。你也可以自己生成证书。 集群是如何使用证书的 Kubernetes 需要 PKI 才能执行以下操作 1.Kubelet 的客户端证书,用于 API 服务器身份验证 2.API 服务器端点的证书 3.集群管理员的客户端证书,用于 API 服务器身份认证 4.API 服务器的客户端证书,用于和 Kubelet 的会话 5.AP
K8s系列之:基于HTTP BASE的简单认证方式
zhengzaifeidelushang的博客
01-25 1012
K8s系列之:基于HTTP BASE的简单认证方式一、创建用户名、密码和UID文件basic_auth_file二、设置kube-apiserver的启动参数--basic-auth-file三、使用kubectl通过指定的用户名和密码来访问API Server 采用基于HTTP BASE的简单认证方式时,API Server对外暴露HTTPS端口,客户端提供用户名、密码来完成认证过程。 kubectl命令行工具比较特殊,同时支持CA双向认证与简单认证两种模式与apiserver通信。 一、创建用户名、密码
k8s安全04--kube-apiserver 安全配置
脚步不能达到的地方,眼光可以达到;眼光不能达到的地方,精神可以飞到
11-14 5332
k8s安全04--kube-apiserver 安全配置1 介紹2 安全配置2.1 配置 insecure-port2.2 RBAC2.3 Service Accounts2.4 Researching Pod Security Policies限制pods使用指定的目录控制pod 的网络配置 allowedUnsafeSysctls2.5 Enable Pod Security Policies2.6 Enabling API Server Auditing2.7 Encrypting Secrets注意
k8s实践(6)--Kubernetes安全API Server访问控制
黄规速博客:学如逆水行舟,不进则退
06-16 3201
Kubernetes安全 安全永远是一个重大的话题,特别是云计算平台,更需要设计出一套完善的安全方案,以应对复杂的场景。 Kubernetes主要使用Docker作为应用承载环境,Kubernetes首先设计出一套API和敏感信息处理方案,当然也基于Docker提供容器安全控制。以下是Kubernetes安全设计原则: 1. 保证容器与其运行的宿主机之间有明确的隔离 2. 限制容器对基础设施...
【云原生之k8s】KubeSphere介绍及安装
weixin_67582338的博客
08-11 3889
官网地址:https://kubesphere.com.cn/KubeSphere是打造一个以Kubernetes为内核的云原生分布式操作系统。它的架构可以非常方便地使第三方应用与云原生生态组件进行即插即用(plug-and-play)的集成,支持云原生应用在多云与多集群的统一分发和运维管理。KubeSphere是个全栈的Kubernetes容器云PasS解决方案。...
kubernetes apiserver认证
weixin_33709219的博客
12-17 323
kubernetes认证 Kubernetes集群的操作可以通过apiserver来进行操作,kubectl命令最终也是调用的apiserver,如果想要获取对apiserver进行操作,需要先通过其认证 api-server的认证方式: 基本认证:basic-auth --basic-auth-file=/path/to/basic-auth....
如何设置Kubernetes集群中的APIserver
05-17
2. 配置API Server访问控制:使用Kubernetes中的RBAC(Role-Based Access Control)机制来配置API Server访问控制。可以通过RBAC配置不同用户或组的权限,确保只有授权的用户才能访问API Server。 3. 配置API ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值