Kubernetes集群安全:Api Server认证

已于 2022-04-05 15:14:18 修改
阅读量3.4k 收藏 2
点赞数
分类专栏: 云原生/微服务架构/运维 系列课程 文章标签: k8s api server 认证
于 2018-11-11 20:26:13 首次发布
原文链接:https://www.kubernetes.org.cn/4061.html
版权

全栈工程师开发手册 (作者:栾鹏)
架构系列文章

kube api serverd 启动参数解析

https://kubernetes.io/docs/reference/command-line-tools-reference/kube-apiserver/

三种认证方式

Kubernetes提供了三种级别的客户端认证方式:

  • HTTPS证书认证,是基于CA根证书签名的双向数字证书认证方式,是最严格的认证
  • HTTP Token认证,通过Token识别每个合法的用户
  • HTTP Basic认证

HTTP Token认证和Http Basic认证是相对简单的认证方式,Kubernetes的各组件与Api Server的通信方式仍然是HTTPS,但不再使用CA数字证书。

基于CA证书的双向认证方式

kube-apiserver证书配置

使用kubeadm初始化的Kubernetes集群中,kube-apiserver是以静态Pod的形式运行在Master Node上。 可以在Master Node上找到其定义文件/etc/kubernetes/manifests/kube-apiserver.yaml,当/etc/kubernetes/manifests/kube-apiserver.yaml被修改后,kubelet会重启kube-apiserver.

其中启动命令参数部分如下:

 "containers": [
      {
        "name": "kube-apiserver",
        "image": "gcr.io/google_containers/kube-apiserver-amd64:v1.5.2",
        "command": [
          "kube-apiserver",
          "--insecure-bind-address=127.0.0.1",
          "--admission-control=NamespaceLifecycle,LimitRanger,ServiceAccount,PersistentVolumeLabel,DefaultStorageClass,ResourceQuota",
          "--service-cluster-ip-range=10.96.0.0/12",
          "--service-account-key-file=/etc/kubernetes/pki/apiserver-key.pem",
          "--client-ca-file=/etc/kubernetes/pki/ca.pem",
          "--tls-cert-file=/etc/kubernetes/pki/apiserver.pem",
          "--tls-private-key-file=/etc/kubernetes/pki/apiserver-key.pem",
          "--token-auth-file=/etc/kubernetes/pki/tokens.csv",
          "--secure-port=6443",
          "--allow-privileged",
          "--advertise-address=192.168.61.100",
          "--kubelet-preferred-address-types=InternalIP,ExternalIP,Hostname",
          "--anonymous-auth=false",
          "--etcd-servers=http://127.0.0.1:2379"
        ],

我们注意到有如下三个启动参数:

  • --client-ca-file: 指定CA根证书文件为/etc/kubernetes/pki/ca.pem,内置CA公钥用于验证某证书是否是CA签发的证书
  • --tls-private-key-file: 指定ApiServer私钥文件为/etc/kubernetes/pki/apiserver-key.pem
  • --tls-cert-file:指定ApiServer证书文件为/etc/kubernetes/pki/apiserver.pem

说明Api Server已经启动了HTTPS证书认证,此时如果在集群外部使用浏览器访问https://

curl -k https://192.168.61.100:6443/api
Unauthorized

在Master Node上进入/etc/kubernetes/pki/目录:

cd /etc/kubernetes/pki/
ls
apiserver-key.pem  apiserver-pub.pem  ca.pem      sa-key.pem  tokens.csv
apiserver.pem      ca-key.pem         ca-pub.pem  sa-pub.pem

查看CA根证书ca.pem:

openssl x509 -noout -text -in ca.pem
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 0 (0x0)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: CN=kubernetes
        Validity
            Not Before: Jan 12 04:52:08 2017 GMT
            Not After : Jan 12 04:52:08 2027 GMT
        Subject: CN=kubernetes
        Subject Public Key Info:

查看ApiServer的证书apiserver.pem:

openssl x509 -noout -text -in apiserver.pem
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 5846608255968714821 (0x5123533b6de1a045)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: CN=kubernetes
        Validity
            Not Before: Jan 12 04:52:08 2017 GMT
            Not After : Jan 12 04:52:08 2018 GMT
        Subject: CN=kube-apiserver
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
......
        X509v3 extensions:
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            X509v3 Extended Key Usage:
                TLS Web Server Authentication, TLS Web Client Authentication
            X509v3 Subject Alternative Name:
                DNS:kubernetes, DNS:kubernetes.default, DNS:kubernetes.default.svc, DNS:kubernetes.default.svc.cluster.local, IP Address:192.168.61.100
    Signature Algorithm: sha256WithRSAEncryption
......

验证apiserver.pem由ca.pem签发:

openssl verify -CAfile ca.pem apiserver.pem
apiserver.pem: OK

生成客户端私钥和证书

客户端要通过HTTPS证书双向认证的形式访问Api Server需要生成客户端的私钥和证书,其中客户端证书的在生成时-CA参数要指定为Api Server的CA根证书文件/etc/kubernetes/pki/ca.pem-CAkey参数要指定为Api Server的CA key /etc/kubernetes/pki/ca-key.pem。 具体操作可参考Creating Certificates

下面生成客户端私钥和证书:

cd /etc/kubernetes/pki/
openssl genrsa -out client.key 2048
openssl req -new -key client.key -subj "/CN=192.168.1.3" -out client.csr
openssl x509 -req -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out client.crt -days 3650

openssl req -x509 -new -nodes -key ca.key -subj "/CN=192.168.1.3" -days 10000 -out ca.crt

其中/CN设置客户端所在Node的IP地址

查看生成的证书:

openssl x509 -noout -text -in client.crt

openssl verify -CAfile ca.pem client.crt
client.crt: OK

kubectl使用生成的客户端私钥和证书访问ApiServer:

cd /etc/kubernetes/pki/


kubectl --server=https://192.168.61.100:6443 \
--certificate-authority=ca.pem  \
--client-certificate=client.crt \
--client-key=client.key \
get nodes

NAME      STATUS         AGE
cent0     Ready,master   7d
cent1     Ready          7d
cent2     Ready          7d

如果你想添加更多的认证内容可以使用 openssl 手动地为集群生成证书。

生成密钥位数为 2048 的 ca.key:

openssl genrsa -out ca.key 2048

依据 ca.key 生成 ca.crt (使用 -days 参数来设置证书有效时间):

openssl req -x509 -new -nodes -key ca.key -subj "/CN=192.168.1.3" -days 10000 -out ca.crt

生成密钥位数为 2048 的 server.key:

openssl genrsa -out server.key 2048

创建用于生成证书签名请求(CSR)的配置文件。将其保存至文件(如csr.conf)之前将尖括号标记的值 替换为你想使用的真实值。 这里面的值你可以先cd到/etc/kubernetes/pki查看openssl x509 -noout -text -in apiserver.pem

[ req ]
default_bits = 2048
prompt = no
default_md = sha256
req_extensions = req_ext
distinguished_name = dn

[ dn ]
C = TW
ST = Taipei
L = New Taipei city
O = Kubernetes
OU = Kubernetes-ansible
CN = kube-apiserver

[ req_ext ]
subjectAltName = @alt_names

[ alt_names ]
DNS.1 = kubernetes
DNS.2 = kubernetes.default
DNS.3 = kubernetes.default.svc
DNS.4 = kubernetes.default.svc.cluster
DNS.5 = kubernetes.default.svc.cluster.local
IP.1 = 192.168.1.3
IP.2 = 10.96.0.1
IP.3 = 127.0.0.1
IP.4 = 139.159.206.232

[ v3_ext ]
authorityKeyIdentifier=keyid,issuer:always
basicConstraints=CA:FALSE
keyUsage=keyEncipherment,dataEncipherment
extendedKeyUsage=serverAuth,clientAuth
subjectAltName=@alt_names

基于配置文件生成证书签名请求:

openssl req -new -key server.key -out server.csr -config csr.conf

使用 ca.key、ca.crt 和 server.csr 生成服务器证书:

openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key \
-CAcreateserial -out server.crt -days 10000 \
-extensions v3_ext -extfile csr.conf

查看证书:

openssl x509  -noout -text -in ./server.crt

最后将下面的命令加入到开始的yml文件中

--client-ca-file=/srv/kubernetes/ca.crt
--tls-cert-file=/srv/kubernetes/server.crt
--tls-private-key-file=/srv/kubernetes/server.key

master node核心组件与ApiServer的认证方式

接下来我们来看一下master node上其他核心组件与ApiServer通信的认证方式。 /etc/kubernetes/manifests下的kube-controller-manager.json和kube-scheduler.json说明Controller Manager和Scheduler都是以静态Pod的形式运行在Master Node上,注意到这两个文件里的启动参数--master=127.0.0.1:8080,说明它们直接通过insecure-port 8080和ApiServer通信。 而前面ApiServer的--insecure-bind-address=127.0.0.1,因此他们之间无需走secure-port

HTTP Token认证

我们继续注意一下Master Node下的/etc/kubernetes/manifests/kube-apiserver.json文件:

 "command": [
          "kube-apiserver",
          "--insecure-bind-address=127.0.0.1",
          "--admission-control=NamespaceLifecycle,LimitRanger,ServiceAccount,PersistentVolumeLabel,DefaultStorageClass,ResourceQuota",
          "--service-cluster-ip-range=10.96.0.0/12",
          "--service-account-key-file=/etc/kubernetes/pki/apiserver-key.pem",
          "--client-ca-file=/etc/kubernetes/pki/ca.pem",
          "--tls-cert-file=/etc/kubernetes/pki/apiserver.pem",
          "--tls-private-key-file=/etc/kubernetes/pki/apiserver-key.pem",
          "--token-auth-file=/etc/kubernetes/pki/tokens.csv",
          "--secure-port=6443",
          "--allow-privileged",
          "--advertise-address=192.168.61.100",
          "--kubelet-preferred-address-types=InternalIP,ExternalIP,Hostname",
          "--anonymous-auth=false",
          "--etcd-servers=http://127.0.0.1:2379"
        ],

--token-auth-file=/etc/kubernetes/pki/tokens.csv指定了静态Token文件,说明已经开启了Http Token认证。 这个文件的格式是token,user,uid,"group1,group2,group3"

cat /etc/kubernetes/pki/tokens.csv
792c62a1b5f2b07b,kubeadm-node-csr,ab47c6cb-f403-11e6-95a3-0800279704c8,system:kubelet-bootstrap

请求Api时只要在Authorization头中加入Bearer Token即可:

curl -k --header "Authorization: Bearer 792c62a1b5f2b07b" https://192.168.61.100:6443/api
{
  "kind": "APIVersions",
  "versions": [
    "v1"
  ],
  "serverAddressByClientCIDRs": [
    {
      "clientCIDR": "0.0.0.0/0",
      "serverAddress": "192.168.61.100:6443"
    }
  ]
}

kubectl使用Bearer访问Api Server:

kubectl --server=https://192.168.61.100:6443 \
--token=792c62a1b5f2b07b \
--insecure-skip-tls-verify=true \
cluster-info

Http Basic认证

kubeadm初始化的集群没有开启Http Basic认证。实践中不建议使用,这里简单体验一下。在Master Node上创建/etc/kubernetes/baisc_auth文件,文件中每行的格式为password,user,uid,"group1,group2,group3"。 这里简单写入如下内容:

1234,admin,1

/etc/kubernetes/manifests/kube-apiserver.json文件Container的command中加入:

--basic_auth_file=/etc/kubernetes/basic_auth

因为静态Pod直接被kubelet管理,所以我们需要重启一下kubelet使上面的配置生效:

systemctl restart kubelet

请求时使用请求头Authorization Basic BASE64ENCODED(USER:PASSWORD)

curl -k --header "Authorization:Basic YWRtaW46MTIzNA==" https://192.168.61.100:6443/api
{
  "kind": "APIVersions",
  "versions": [
    "v1"
  ],
  "serverAddressByClientCIDRs": [
    {
      "clientCIDR": "0.0.0.0/0",
      "serverAddress": "192.168.61.100:6443"
    }
  ]
}


kubectl --server=https://192.168.61.100:6443 \
--username=admin \
--password=1234 \
--insecure-skip-tls-verify=true \
cluster-info

链接:https://blog.frognew.com/2017/01/kubernetes-api-server-authc.html#%E5%9F%BA%E4%BA%8Eca%E8%AF%81%E4%B9%A6%E7%9A%84%E5%8F%8C%E5%90%91%E8%AE%A4%E8%AF%81%E6%96%B9%E5%BC%8F

腾讯AI架构师
关注
专栏目录
Kubernetes apiserver更换证书
江晓龙的博客
09-13 1228
Kubernetes apiserver更换证书 文章目录Kubernetes apiserver更换证书1.更换证书适用场景2.以新增master节点为例更换kube-apiserver证书文件2.1.重新生成kube-apiserver证书2.2.将证书文件拷贝至各个master节点对应路径2.3.重启master和node上面的组件2.4.部署新的master节点观察能否成功加入集群 1.更换证书适用场景 kubernetes更换证书的场景: 当集群要增加新的master/node节点,此时ap
记一次kubernetes集群异常:kubelet连接apiserver超时
小米云技术
06-11 4986
本文通过记录kubelet连接apiserver超时问题的原因及修复办法。 上篇文章回顾:一文读懂HBase多租户 背 景 kubernetes是master-slave结构,master node是集群的大脑,当master node发生故障时整个集群都"out of control"。master node中最重要的当属apiserver组件,它负责处理所有请求,并持久化状态到etc...
Kubernetes Api Server未授权访问漏洞
最新发布
weixin_71053667的博客
08-05 233
Kubernetes 的服务在正常启动后会开启两个端口:Localhost Port (默认8080)、Secure Port (默认6443)。这两个端口都是提供 Api Server 服务的,一个可以直接通过 Web 访问,另一个可以通过 kubectl 客户端进行调用。如果运维人员没有合理的配置验证和权限,那么攻击者就可以通过这两个接口去获取容器的权限。步骤二:在打开的网页中直接访问 8080 端口会返回可用的 API 列表。步骤一:使用以下Fofa语法搜索Kubernetes产品。
apiserver启动证书认证
国产-达芬奇
01-13 448
- --etcd-cafile=/etc/kubernetes/pki/etcd/ca.crt - --etcd-certfile=/etc/kubernetes/pki/apiserver-etcd-client.crt - --etcd-keyfile=/etc/kubernetes/pki/apiserver-etcd-client.key - --tls-cert-file=/etc/kubernetes/pki/apiserver.crt - --tls-private-key-file...
kubernetes apiserver认证
mark's technic world
02-12 2733
kubernetes认证Kubernetes集群的操作可以通过apiserver来进行操作,kubectl命令最终也是调用的apiserver,如果想要获取对apiserver进行操作,需要先通过其认证api-server认证方式:基本认证:basic-auth--basic-auth-file=/path/to/basic-auth.csv在basic-auth.csv中拥有以列为单位的认证信...
Kubernetes_APIServer_证书_02_K8S内部交互架构和所有证书
毛毛的专栏
03-12 2598
所有证书作用
修改apiserver证书
栋院
04-14 1186
问题: k8s集群增加了新的虚拟IP和网址,默认的证书包含的名称不能满足我们的要求重新更新证书。 解决: Kubernetes APIServer 使用数字证书来加密 APIServer 的相关流量以及验证到 APIServer 的连接。所以如果我们想使用命令行客户端(比如 kubectl)连接到 APIServer,并且使用的主机名或者 IP 地址不包括在证书的 subject 的备选名称(SAN)列表中的话,访问的时候可能会出错,会提示对指定的 IP 地址或者主机名访问证书无效。要解决这个问题就需
kubernetes-barge:带有游民的驳船上的Kubernetes集群
02-06
Vagrant会自动处理所有必要的软件安装,包括Docker、Kubernetes控制平面组件(如etcd、kube-apiserver、kube-controller-manager和kube-scheduler)以及Kubernetes工作节点所需的服务。 通过这种方式,用户可以快速...
2、Kubernetes 集群安全 - 认证1
08-04
Kubernetes集群中,安全是至关重要的,特别是对于认证机制,它是确保只有授权的实体能够访问和操作资源的关键。本文将详细阐述Kubernetes集群安全中的认证机制,主要关注HTTP Base认证、HTTP Token认证以及HTTPS...
kubernetes-nagios:Kubernetes集群的基本运行状况检查
05-07
Kubernetes集群进行一些检查,这些集群可以与Nagios,Zabbix,Icinga或可以配置为使用外部Shell脚本的任何其他监视系统一起使用。 它已经在MacOS,Ubuntu和Debian上使用bash进行了测试。 依赖项相对较少,但是...
如何设置Kubernetes集群中的APIserver
05-17
Kubernetes集群中,API Server是控制平面中最重要的组件之一,它是所有组件的入口点,用于管理整个集群API Server对外提供RESTful API接口,供客户端和其他组件访问和操作集群中的资源。因此,正确地配置API ...
Kubernetes API Server集群安全认证
weixin_45710286的博客
11-06 554
kubernetes API Serverkubernetes 集群的统一访问入口,它的核心功能就是提供 kubernetes 各类的资源对象(例如:Pod、Deployment、RC、Service 等)的增、删、改、查及 watch 等 HTTP REST 接口,成为集群中各个功能模块之间数据交互和通信的中心枢纽,是整个系统的数据总线和数据中心。并且它还是整个集群管理的 API 入口,资源配额控制的入口,提供了完整的安全机制。
Kubernetes API Server 认证机制
小楼一夜听春雨,深巷明朝卖杏花
07-11 1564
开启 TLS时,所有的请求都需要首先认证Kubernetes支持多种认证机制,并支持同时开启多个认证插件(只要有一个认证通过即可)。如果认证成功,则用户的 username 会传入授权模块做进一步授权验证;而对于认证失败的请求则返回 HTTP 401。当apiserver启动的时候,其实有两个和安全相关的配置,一个叫insecure-port,一个叫secure-port,早期大家很习惯的将insecure-port打开,经过insecure-port端口所有的请求其实是没有做任何的安全校验的,也就是认证
kubectl 连接 apiServer
海贼懒懒
12-10 3259
前提:现在已经有一个K8s集群,我们需要在本地(非master节点上)运行kubectl 步骤: 1 本地安装kubectl sudo apt-get update && sudo apt-get install -y apt-transport-https curl -s https://packages.cloud.google.com/apt/doc/apt-key....
kubernetes 源码安装1.18.3 (4)制作apiserver证书
默子昂
12-10 617
1. 自签证书颁发机构(CA) cd ~/TLS/k8s/ 添加证书配置 cat > ca-config.json<< EOF { "signing": { "default": { "expiry": "87600h" }, "profiles": { "kubernetes": { "expiry": "87600h", "usages": [ "signing",
使用抓包软件(WireShark、Charles)查看kubectl访问apiserver的请求信息
kingu_crimson的博客
05-23 1135
在进行运维 paas 平台开发时,我们会经常接触到需要调 Kuberenetes api 的情况。因为云厂商只封装了部分的 Kuberenetes api 提供接口访问,部分 API 如获取 event ,云厂商还是建议使用原生的 Kuberenetes api 去做请求,这就要求我们对 k8s api 有相当的熟悉度,这可能需要详细阅读官方的 API 文档。本文提供一种方式,通过探查 kubectl 请求时与 apiserver 的交互数据,来熟悉这些相关接口。 Kuberenetes客户端和服务端交互
云原生|kubernetes|kubeadm部署高可用集群(一)使用外部etcd集群
zsk_john的技术分享专用博客
10-24 1684
工作节点加入(在20和21服务器上都执行)
部署Kubernetes kube-apiserver启动失败
热门推荐
山东梅长苏
05-11 3万+
systemctl restart kube-apiserver启动失败 [root@centos-master yum.repos.d]# systemctl status kube-apiserver.service ● kube-apiserver.service - Kubernetes API Server Loaded: loaded (/usr/lib/systemd/syst...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值