Kubernetes那点事儿——k8s安全认证

于 2024-03-04 09:42:27 发布
阅读量797 收藏 11
点赞数 29
分类专栏: Kubernetes 文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liangpangpangyo/article/details/136443858
版权

k8s安全认证

一、K8s安全认证

K8S安全控制框架主要由下面3个阶段进行控制,每一个阶段都支持插件方式,通过API Server配置来启用插件。

  • Authentication(鉴权)
  • Authorization(授权)
  • Admission Control(准入控制)

客户端要想访问K8s集群API Server,一般需要证书、Token或者用户名+密码;如果是Pod访问,则需要ServiceAccount

鉴权(Authentication)

三种客户端身份认证:

  • HTTPS 证书认证:基于CA证书签名的数字证书认证
  • HTTP Token认证:通过一个Token来识别用户
  • HTTP Base认证:用户名+密码的方式认证

授权(Authorization)

RBAC(Role-Based Access Control,基于角色的访问控制):负责完成授权(Authorization)工作。

RBAC根据API请求属性,决定允许还是拒绝。

比较常见的授权维度:

  • user:用户名
  • group:用户分组
  • 资源,例如pod、deployment
  • 资源操作方法:get,list,create,update,patch,watch,delete
  • 命名空间
  • API组

准入控制(Admission Control)

Adminssion Control实际上是一个准入控制器插件列表,发送到API server的请求都需要经过这个列表中的每个准入控制器插件的检查,检查不通过,则拒绝请求。

二、RBAC(Role-Based Access Control)

RBAC(Role-Based Access Control,基于角色的访问控制),允许通过Kubernetes API动态配置策略。
角色:

  • Role:授权特定命名空间的访问权限
  • ClusterRole:授权所有命名空间的访问权限

角色绑定:

  • RoleBinding:将角色绑定到主体(即subject)
  • ClusterRoleBinding:将集群角色绑定到主体

主体(subject):

  • User:用户
  • Group:用户组
  • ServiceAccount:服务账号

三、授权示例

示例:为liang用户授权default命名空间Pod读取权限

第一步,用K8S CA签发客户端证书(需安装cfssl工具)

[root@k8s-master client-ca]# cat cert-liang.sh

cat > ca-config.json <<EOF
{
  "signing": {
    "default": {
      "expiry": "87600h"
    },
    "profiles": {
      "kubernetes": {
        "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ],
        "expiry": "87600h"
      }
    }
  }
}
EOF

cat > liang-csr.json <<EOF
{
  "CN": "liang",
  "hosts": [],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "BeiJing",
      "L": "BeiJing",
      "O": "k8s",
      "OU": "System"
    }
  ]
}
EOF

cfssl gencert -ca=/etc/kubernetes/pki/ca.crt -ca-key=/etc/kubernetes/pki/ca.key -config=ca-config.json -profile=kubernetes liang-csr.json | cfssljson -bare liang

执行cert-liang.sh,生成证书

[root@k8s-master client-ca]# sh cert.sh 
2022/02/18 20:44:12 [INFO] generate received request
2022/02/18 20:44:12 [INFO] received CSR
2022/02/18 20:44:12 [INFO] generating key: rsa-2048
2022/02/18 20:44:12 [INFO] encoded CSR
2022/02/18 20:44:12 [INFO] signed certificate with serial number 203278081164365158013132586960329837099623702313
2022/02/18 20:44:12 [WARNING] This certificate lacks a "hosts" field. This makes it unsuitable for
websites. For more information see the Baseline Requirements for the Issuance and Management
of Publicly-Trusted Certificates, v.1.1.6, from the CA/Browser Forum (https://cabforum.org);
specifically, section 10.2.3 ("Information Requirements").

目录

[root@k8s-master client-ca]# ll
total 20
-rw-r--r-- 1 root root  292 Feb 18 20:44 ca-config.json
-rw-r--r-- 1 root root  993 Feb 18 20:44 liang.csr
-rw-r--r-- 1 root root  218 Feb 18 20:44 liang-csr.json
-rw------- 1 root root 1679 Feb 18 20:44 liang-key.pem
-rw-r--r-- 1 root root 1277 Feb 18 20:44 liang.pem

第二步,生成kubeconfig授权文件(使用kubectl config 命令)

[root@k8s-master client-ca]# cat kubeconfig.sh 

# 配置集群相关信息
kubectl config set-cluster kubernetes \
  --certificate-authority=/etc/kubernetes/pki/ca.crt \
  --embed-certs=true \
  --server=https://10.7.7.220:6443 \
  --kubeconfig=liang.kubeconfig
 
# 设置客户端认证
kubectl config set-credentials liang \
  --client-key=liang-key.pem \
  --client-certificate=liang.pem \
  --embed-certs=true \
  --kubeconfig=liang.kubeconfig

# 设置默认上下文
kubectl config set-context kubernetes \
  --cluster=kubernetes \
  --user=liang \
  --kubeconfig=liang.kubeconfig

# 设置当前使用配置
kubectl config use-context kubernetes --kubeconfig=liang.kubeconfig

执行kubeconfig.sh,生成liang.kubeconfig

[root@k8s-master client-ca]# sh kubeconfig.sh 
Cluster "kubernetes" set.
User "liang" set.
Context "kubernetes" created.
Switched to context "kubernetes".

liang.kubeconfig与/root/.kube/config文件内容一致,只是具体信息不同

测试配置文件,报错liang用户没有权限访问default命名空间下的pod资源

[root@k8s-master client-ca]# kubectl --kubeconfig=/root/yaml/rbac/client-ca/liang.kubeconfig get pods
Error from server (Forbidden): pods is forbidden: User "liang" cannot list resource "pods" in API group "" in the namespace "default"

第三步,创建RBAC策略(为用户赋权),可参考nfs-client插件中rbac文件

[root@k8s-master ~]# cat rbac.yaml 
---
#Role资源,也就是权限管理资源,实现对default命名空间下的pods资源进行get、watch、list操作
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: default
  name: pod-reader
rules:
- apiGroups: [""] # api组 , 空为核心组
  resources: ["pods"] # 资源
  verbs: ["get", "watch", "list"] # 对资源的操作

---
#RoleBinding资源,也就是将role和用户进行绑定的资源,实现权限绑定到哪些用户
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: read-pods
  namespace: default
roleRef:
  kind: Role
  name: pod-reader # 绑定权限
  apiGroup: rbac.authorization.k8s.io
subjects:
- kind: User
  name: liang # 授权用户,与证书的名称一致:w
  apiGroup: rbac.authorization.k8s.io
  
  
# 执行
[root@k8s-master ~]# kubectl apply -f rbac.yaml 
role.rbac.authorization.k8s.io/pod-reader created
rolebinding.rbac.authorization.k8s.io/read-pods created

第四步,验证权限

[root@k8s-master ~]# kubectl --kubeconfig=/root/yaml/rbac/client-ca/liang.kubeconfig get pods
NAME                                      READY   STATUS    RESTARTS   AGE
configmap-demo-pod                        1/1     Running   0          3h45m
my-pod-empty                              2/2     Running   109        4d3h

四、ClusterRole与ClusterRoleBinding

许多插件组件 在 kube-system 名字空间以 “ServiceAccount” 服务账户运行。 要允许这些插件组件以超级用户权限运行,需要将集群的 cluster-admin 权限授予 kube-system 名字空间中的 “ServiceAccount” 服务账户。比如calico,dashboard等

# 创建sa
# cat ServiceAccount.yaml
apiVersion: v1
kind: ServiceAccount
metadata:
  name: service-admin
  namespace: kube-system


# 创建clusterroles
# cat cluster-admin.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: cluster-admin
  annotations:
    rbac.authorization.kubernetes.io/autoupdate: "true"
  labels:
    kubernetes.io/bootstrapping: rbac-defaults
  - apiVersion: rbac.authorization.k8s.io/v1
    manager: kube-apiserver
rules:
- apiGroups:
  - '*'
  resources:
  - '*'
  verbs:
  - '*'
- nonResourceURLs:
  - '*'
  verbs:
  - '*'


# 创建ClusterRoleBinding
# cat ClusterRoleBinding.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: bind-service-admin
  - apiVersion: rbac.authorization.k8s.io/v1
roleRef:
  name: cluster-admin
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
subjects:
- kind: ServiceAccount
  name: services-admin
  namespace: kube-system

dashbord rbacyaml示例

[root@k8s-master yaml]# cat rbac-dashboard.yaml 
---
#ServiceAccount
apiVersion: v1
kind: ServiceAccount
metadata:
  name: dashboard
  namespace: kubernetes-dashboard

---
#操作权限
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: kubernetes-dashboard
  name: dashboardrole
rules:
- apiGroups: [""] # api组 , 空为核心组
  resources: ["pods"]
  verbs: ["get", "watch", "list"]
- apiGroups: ["extensions", "apps"]
  resources: ["deployments", "secrets", "namespaces"] # 资源
  verbs: ["get", "list", "watch", "create", "update", "patch", "delete"] # 对资源的操作

---
#角色绑定,权限绑定到哪些用户
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: dashboardrolebind
  namespace: kubernetes-dashboard
roleRef:
  kind: Role
  name: dashboardrole # 绑定权限
  apiGroup: rbac.authorization.k8s.io
subjects:
- kind: ServiceAccount
  name: dashboard # 授权用户
  namespace: kubernetes-dashboard
偷学技术的梁胖胖yo
关注
  • 29
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Kubernetes/K8S CKS安全专家认证实践视频课程
03-28
分享一套课程——《Kubernetes/K8S CKS安全专家认证实践》2023年新课,基于k8s 1.26版本 帮助学员掌握CKS考试所必备的安全相关技能,同时提供考题原题分析,帮助学员轻松拿下CKS认证考试
Kubernetes(K8S)超快速入门视频教程
11-05
Kubernetes(K8S)是Google在2014年发布的一个开源项目,用于自动化容器化应用程序的部署、扩展和管理。Kubernetes通常结合docker容器工作,并且整合多个运行着docker容器的主机集群。 适用人群 零基础以及有一定运维...
k8s安全认证
杨海吉
01-31 487
Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。所谓的安全性其实就是保证对Kubernetes的各种客户端进行认证和鉴权操作。客户端:一般是独立于kubernetes之外的其他服务管理的用户账号。:kubernetes管理的账号,用于为Pod中的服务进程在访问Kubernetes时提供身份标识。认证、授权与准入控制ApiServer是访问及管理资源对象的唯一入口。Authentication(认证):身份鉴别,只有正确的账号才能够通过认证
kubernetes认证-CKA、CKS考试
热门推荐
西京刀客
04-17 2万+
K8s的专业技术认证主要有以下几种: * CKA(Kubernetes 管理员认证) * CKAD(Kubernetes 应用程序开发者认证) * CKS(Kubernetes 认证安全专家。预计2020年11月开放,须先通过CKA认证
k8s - 安全认证(RBAC)
栋院
03-18 2885
api server 是集群访问控制的统一入口 k8s认证过程: 认证 -> 授权 - > 准入控制 (adminationcontroller) 1 认证()是对客户端的认证,简单说就是账户密码 2 授权()是资源的授权,容器、网络、存储资源的权限 3 准入机制 准入控制器位于api server ,在对象被持久化之前,准入控制器拦截对api server 的请求,一般用来做认证和授权。其中包括连个控制器: MutatingAdmissionWebhook 和 Validating
K8S 安全认证
elihe2011的专栏
12-27 3822
1. 安全机制 1.1 认证 (Authentication) 1.1.1 认证方式 HTTP Token:Authorization: Bearer $TOKEN HTTP Basic: Authorization: Basic $(base64encode USERNAME:PASSWORD), HTTPS: 基于CA根证书签名的客户端身份认证方式(推荐) 证书颁发: 手动签发:通过k8s集群的根 ca 进行签发 HTTPS 证书 自动签发:kubelet 首次访问 API Serv
k8s认证和授权
梵修
10-15 2618
Kubernetes中API Server是访问和管理资源对象的唯一入口。所有客户端均要通过API Server访问或者改变集群状态以及完成数据存储,API Server会对每一次请求进行合法性校验,校验包括:用户身份验证、操作权限验证以及操作是否符合全局规范约束等。所有检查均正常完成才能访问或存储数据到etcd。如下图所示:客户端认证操作由API Server配置的一到多个认证插件完成,收到请求后API Server会串行调用这些插件,直到一个插件可以成功识别用户身份为止。
Kubernetes(K8s)安全认证-10
qq_36255346的博客
12-05 403
Kubernetes(K8s)安全认证
k8skubernetes)相关重要知识点——详细文档
06-21
k8skubernetes)相关重要知识点——详细文档
k8s-auto-kubernetes/k8s一键安装
12-15
kubernetes/k8s自动安装程序,版本对应:v1.18.2,linux环境 使用kubeadm安装,改程序若环境不符合要求,是不能一键安装的,需按照程序指示分布安装,该程序是为了搭建测试环境时,简化繁琐的配置时所用,不能用作...
k8s API Server 中的认证、鉴权、准入、限流总结分享
奔跑的蜗牛的博客
02-11 2353
API Server 是 k8s 中非常重要的一个控制组件之一,承担着 k8s 的门神的作用,所有的外部请求以及节点间的交互都需要经过它。它的核心作用就是对请求进行认证、鉴权、准入、限流。同时它还承担着缓冲的作用,将一些资源对象缓存,大大减少了 etcd 的压力,保证了集群的稳定性。 因此 API Server 的稳定运行是非常重要的。 本文章主要对API Server 中的核心流程做了总结,并且进行了一些实践,记录与之分享。
Kubernetes学习之路(十八)之认证、授权和准入控制
Richardlygo的博客
08-29 24
API Server作为Kubernetes网关,是访问和管理资源对象的唯一入口,其各种集群组件访问资源都需要经过网关才能进行正常访问和管理。每一次的访问请求都需要进行合法性的检验,其中包括身份验证、操作权限验证以及操作规范验证等,需要通过一系列验证通过之后才能访问或者存储数据到etcd当中。如下图: 一、ServiceAccount Service account是为了方便Pod里面的进...
K8s安全认证与DashBoard
llg___的博客
05-17 1530
Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是必要的。安全性就是让所有的Kubernetes客户端以一个合法的身份和合法的步骤来访问我们的系统。
Kubernetes_认证授权_初识认证授权
毛毛的专栏
03-12 562
UserAccount、ServiceAccount、RBAC的关系
K8S-安全(认证、授权、准入控制)
迷雾总会解
08-26 1271
RoleBinding 同样可以引用 ClusterRole 来对当前 namespace 内用户、用户组或 ServiceAccount 进行授权,这种操作允许集群管理员在整个集群内定义一些通用的 ClusterRole,然后在不同的 namespace 中使用 RoleBinding 来引用。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。...
kubernetes视频教程笔记 (30)-安全-鉴权Authorization
软件工程小施同学 的专栏
12-10 390
一、Authentication 1. HTTP Token 认证: 通过一个 Token 来识别合法用户 HTTP Token 的认证是用一个很长的特殊编码方式的并且难以被模仿的字符串 - Token 来表达客户的一种方式。 Token 是一个很长的很复杂的字符串,每一个 Token 对应一个用户名存储在 API Server 能访问的文件中。 当客户端发起 API 调用请求时,需要在 HTTP Header 里放入 Token 2. HTTP Base 认证: 通过 用户名+密码 的.
K8S 集群中的认证、授权与kubeconfig
weixin_38320674的博客
04-07 6867
两种用户k8s中的客户端访问有两类用户:普通用户(Human User),一般是集群外访问,如 kubectl 使用的证书service account: 如集群内的 Pod有什么区别呢?...
kubernetesk8s cka 认证实战班下载
最新发布
02-02
kubernetes是一种开源的容器编排平台,用于自动化应用程序的部署、扩展和操作。而k8s cka认证实战班是为了帮助对kubernetes技能有需求的人士提供专业的培训课程。在这个认证实战班中,学习者将了解kubernetes的核心概念、架构和基本操作,同时也会深入学习k8s的高级用法和最佳实践。 要下载k8s cka认证实战班,首先需要找到权威的培训机构或官方网站,选择适合自己需求的课程。然后注册并付费购买,一般会提供在线学习的方式。在课程结束后,学习者还可以通过相关的考试获取官方认证,以证明自己对kubernetes技能的掌握程度。 在实战班的学习过程中,学习者将深入理解kubernetes的各种概念和技术,并且通过实际的操作和案例练习来加深对k8s的理解。这将帮助学习者在实际工作中更好地应用kubernetes,提升工作效率和竞争力。 总的来说,k8s cka认证实战班的下载及学习是一次系统学习kubernetes的机会,可以帮助学习者快速掌握kubernetes的核心知识和技能,对于提升自己在云计算和容器技术领域的竞争力是非常有帮助的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

偷学技术的梁胖胖yo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值