kubernetes1.5新特性:kubelet API增加认证和授权能力

最新推荐文章于 2024-09-16 13:14:39 发布
最新推荐文章于 2024-09-16 13:14:39 发布
阅读量1.4w 收藏
点赞数
分类专栏: 容器 文章标签: 容器 kubernetes docker 云计算
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/horsefoot/article/details/53812097
版权
本文详细介绍了Kubernetes 1.5中kubelet API新增的认证和授权功能,包括匿名认证、x509证书认证、令牌认证的启用方式以及授权模式的设置,强调了对API权限控制的重要性。
摘要由CSDN通过智能技术生成

一、背景介绍

在Kubernetes1.5中,对于kubelet新增加了几个同认证/授权相关的几个启动参数,分别是:

认证相关参数:

•       anonymous-auth参数:是否启用匿名访问,可以选择true或者false,默认是true,表示启用匿名访问。

•       authentication-token-webhook参数:使用tokenreviewAPI来进行令牌认证。

•       authentication-token-webhook-cache-ttl参数:webhook令牌认证缓存响应时长。

•       client-ca-file参数:表示使用x509证书认证,如果设置此参数,那么就查找client-ca-file参数设置的认证文件,任何请求只有在认证文件中存在的对应的认证,那么才可以正常访问。

授权相关参数:

•       authorization-mode参数:kubelet的授权模式,可以选择AlwaysAllow或者Webhook,如果设置成Webhook,那么使用SubjectAccessReviewAPI进行授权。

•       authorization-webhook-cache-authorized-ttl参数:webhook授权时,已经被授权内容的缓存时长。

•       authorization-webhook-cache-unauthorized-ttl参数:webhook授权时,没有被授权内容的缓存时长。

 二、认证

默认anonymous-auth参数设置成true,也就是可以进行匿名认证,这时对kubelet API的请求都以匿名方式进行,系统会使用默认匿名用户和默认用户组来进行访问,默认用户名“system:anonymous”,默认用户组名“system:unauthenticated”。

可以禁止匿名请求,这时就需要设置kubelet启动参数:“--anonymous-auth=false”,这时如果请求时未经过认证的,那么会返回“401 Unauthorized”。

可以使用x509证书认证(X.509格式的证书是最通用的一种签名证书格式)。这时就需要设置kubelet启动参数:“--client-ca-file”,提供认证文件,通过认证文件来进行认证。同时还需要设置api server组件启动参数:“--kubelet-client-certificate”和“--kubelet-client-key”。在认证文件中一个用户可以属于多个用户组,比如下面例子产生的认证:

op

最低0.47元/天 解锁文章
容器技术爱好者
关注
专栏目录
二进制方式搭建Kubernetes高可用集群(超丰富的组件概念理论总结)
江晓龙的博客
09-23 7万+
二进制方式部署Kubernetes高可用集群 文章目录二进制方式部署Kubernetes高可用集群1.环境准备1.1.Kubernetes高可用集群部署方式1.2.Kubernetes集群弃用docker容器1.3.Kubernetes集群所需的证书1.4.环境准备1.5.安装cfssl证书生成工具2.操作系统初始化配置3.部署Etcd集群3.1.使用cfssl证书工具生成etcd证书3.2.部署etcd集群4.部署Docker服务4.1.安装docker4.2.为docker创建systemctl启动脚本
k8s从入门到放弃-第九章安全认证
一起学习吧
05-14 559
文章目录9.1访问控制概述9.2认证管理9.3授权管理9.4准入控制 本章节主要介绍Kubernetes的安全认证机制。 9.1访问控制概述 Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。 所谓的安全性其实就是 保证对Kubernetes的各种客户端进行认证和鉴权操作。 客户端 在Kubernetes集群中,客户端通常有两类: ●User Account: 一般是独立于kubernetes之外的其他服务管理的用户账号。 ●Service Account: kubern
kubernetes认证
wuxingge的博客
12-01 612
用户访问 客户端 访问 API server user: username uid group: extra: API Request path http://10.0.0.11:6443/apis/apps/v1/namespaces/default/deployments/myapp-deploy/ HTTP request verb: get post put delete API r...
k8s中的认证授权
最新发布
D2961953033的博客
09-16 1214
Authentication(认证认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式。Kubernetes集群有两类用户:由Kubernetes管理的Service Accounts (服务账户)和(Users Accounts) 普通账户。k8s中账号的概念不是我们理解的账号,它并不真的存在,它只是形式上存在。Authorization(授权
Kubernetes 安全认证
axibazZ的博客
08-31 334
访问控制概述 Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。所谓的安全性就是保证对Kubernetes的各种客户端进行认证和鉴权操作。 客户端 在Kubernetes集群中,客户端通常有两类: User Account:一般是独立于kubernetes之外的其他服务管理的用户账号。 Service Account:kubernetes管理的账号,用于为Pod中的服务进程在访问Kubernetes时提供身份标识。 认证授权与准入控制 ApiServe.
Kubernetes安全之认证
weixin_38299404的博客
05-19 258
机制说明 Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server是集群内部各个组件通信的中介,也是外部控制的入口。所以Kubernetes的安全机制基本就是围绕保护API Server来设计的。Kubernetes使用了认证Authentication)、鉴权(Authorization)、准入控制(AdmissionControl)三步来保证API Server的安全 Authentication HTTP Token认证:通过一个Token来识别
kubernetes安全认证
weixin_73882207的博客
08-04 305
Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。所谓的安全性其实就是保证对Kubernetes的各种客户端进行认证和鉴权操作。
Kubernetes主要特性回顾
知行合一 止于至善
09-19 1491
这篇文章整理一下Kubernetes发展过程中的各个版本的主要特性,从2015年Kubernetes推出1.0版至今过去了4年,4年的一个Cycle,我们来看一下Kubernetes演进的程度。
k8s学习笔记(11)--- kubernetes核心组件之kubelet详解
梦谜的博客
02-11 6674
kubernetes核心组件之kubelet详解一、kubelet简介二、kubelet核心功能三、kubelet启动参数 一、kubelet简介         在kubernetes集群中,每个Node节点都会启动kubelet进程,用来处理Master节点下发到本节点的任务,管理Pod和其中的容器kubelet...
kubernetes基础入门
09-27
- **3.1.3 特性开关**: 配置Kubernetes集群支持的特性集。 **3.2 集群部署** - **3.2.1 kubeadm**: 使用kubeadm工具进行快速部署。 - **3.2.2 kops**: 在AWS上部署Kubernetes集群。 - **3.2.3 Kubespray**: 使用...
kubernetes认证授权(RBAC)
拥抱开源 热爱分享
07-31 1002
当然,以上只是k8s中最基础的认证授权功能,更高阶的也都在此基础之上,如果大家有兴趣请自行探索。在码字的过程中难免会出错,欢迎大家批评指正。我会长期分享K8s、CloudNative方面的知识。
kubernetes——安全认证
liuchao666888的博客
11-05 3784
机制说明 kubernetes作为一个分布式集群的管理工具,保证集群的安全性是一个重要的任务。API server是集群内部各个组件通信的中介,也是外部控制的入口。所以kubernetes的安全机制基本就是围绕保护API server来设计的。kubernetes使用了认证(Authentication)、鉴权(Authorization)、准入控制(AdmissionControl)三步来保证API server的安全 Authentivation(认证) 1、HTTP Token认证:通过一个tok
kubernetes认证-CKA、CKS考试
热门推荐
西京刀客
04-17 2万+
K8s的专业技术认证主要有以下几种: * CKA(Kubernetes 管理员认证) * CKAD(Kubernetes 应用程序开发者认证) * CKS(Kubernetes 认证安全专家。预计2020年11月开放,须先通过CKA认证
Kubernetes-认证、鉴权、准入控制
刘某的博客
01-30 1313
Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介,也是外部控制的入口。所以 Kubernetes 的安全机制基本就是围绕保护 API Server 来设计的。Kubernetes 使用了认证Authentication)、鉴权(Authorization)、准入控制(Admission Control)三步来保证API Server的安全,称为3A服务。
kuberneteskubernetes中的安全和认证
追寻梦想的青春
10-02 1165
时,返回了百度的证书,为了得到并验证百度的公钥,又必须有签发给百度证书的GlobalSign Organization Validation CA机构的公钥,因此,客户端又必须有GlobalSign Organization Validation CA机构的证书,从而可以从中提取出百度的公钥。kubernetes中的所有组件通信时都采用HTTPS双向认证,而部署时不可能为他们申请证书,因此,在部署kuberentes时通常都是先生成自签名证书,然后用该证书作为根证书,后续的证书都通过它签发。
kubernetes认证授权
班婕妤
04-15 2283
访问控制 Kubernetes API的每个请求都会经过多阶段的访问控制之后才会被接受,这包括认证授权以及准入控制(Admission Control)等。 认证->授权->准入控制(adminationcontroller) 认证kubernetes中,在集群开启TLS后,客户端发往Kubernetes的所有API请求都需要进行认证, 以验证用户的合法性。 Kubernetes支持多种认证机制,并支持同时开启多个认证插件(只要有一个认证通过即可)。如果认证成功,则用户的us
【k8s】9、安全认证
努力充实,远方可期
06-20 440
第九章 安全认证 本章节主要介绍Kubernetes的安全认证机制。 访问控制概述 ​ Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。所谓的安全性其实就是保证对Kubernetes的各种客户端进行认证和鉴权操作。 客户端 在Kubernetes集群中,客户端通常有两类: User Account:一般是独立于kubernetes之外的其他服务管理的用户账号。 Service Account:kubernetes管理的账号,用于为Pod中的服务进程在访问K
Kubernetes_认证授权_初识认证授权
毛毛的专栏
03-12 755
UserAccount、ServiceAccount、RBAC的关系
kubenetes认证授权、准入控制
xianmingsu的博客
11-05 203
kube-apiserver是 Kubernetes 最重要的核心组件之一,主要提供以下的功能:提供集群管理的REST API接口,包括认证授权、数据校验以及集群状态变更等;提供其他模块之间的数据交互和通信的枢纽(其他模块通过API Server 查询或修改数据,只有API Server才直接操作etcd)。Kubernetes API的每个请求都会经过多阶段的访问控制之后才会被接受,这包括认证授权以及准入控制(Admission Control)等。
Kubernetes的核心特性:自动化部署与容器管理
"Kubernetes(K8s)是开源的容器编排平台,其关键特性如下: 1. 自动化部署:Kubernetes的核心功能之一是简化容器应用的部署流程。通过声明式配置,管理员可以定义一个应用的期望状态,K8s会自动处理应用的创建、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值