rbac——安全机制

最新推荐文章于 2024-09-14 23:40:15 发布
最新推荐文章于 2024-09-14 23:40:15 发布
阅读量495 收藏 10
点赞数 9
文章标签: kubernetes 容器 docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_71178834/article/details/142210072
版权

rbac——安全机制

赋权机制

集群是按照用户名进行登录,按照项目名称进行命名空间的分类。

配电云主站

资源空间

pod数量

k8s的安全机制:

api server ————>集群内部和外部的通信都需要靠api server进行调度,所有的安全机制都是围绕api server展开的。

api server进行通信:

1、认证 Authentication token

2、鉴权 Authorzation 你在集群当中权限的控制

3、准入控制 admission control 能做哪些,在哪里做哪些

认证:

token:http token 是一个很长的特殊编码方式的而且是难以被模仿的特殊字符串,来表达客户端的一种方式。

每一个token都会对应一个用户,存储在api server能够访问的文件中。客户端发起对api server的请求时,在http header当中必须加入token。

http base 认证: 用户名+密码进行认证

https证书认证: 基于ca证书签名的客户端身份认证方式。(最严格的方式)

http token和http base都是服务端对客户端的单向认证,https是双向认证的方式。

认证的资源类型:

kubectl kubelet kube-proxy

kubectl对pod进行管理也需要认证

service Account:是为了方便访问pod中的容器,以及容器访问api server专门创建的。

server Account————>每创建一个pod就会自动创建。

1、token 和api server认证的私钥

2、ca.crt 认证api server的证书

3、namespace server account的命名空间。

[root@master01 opt]# kubectl exec -it nginx1-bd76c7b4-jp445 bash
kubectl exec [POD] [COMMAND] is DEPRECATED and will be removed in a future version. Use kubectl exec [POD] -- [COMMAND] instead.
root@nginx1-bd76c7b4-jp445:/# cd /var/run/secrets/kubernetes.io/serviceaccount/
root@nginx1-bd76c7b4-jp445:/var/run/secrets/kubernetes.io/serviceaccount# ls
ca.crt  namespace  token  ##每个pod都有

鉴权:

认证过后,就到了鉴权。

确定请求方有哪些资源的权限

1.20版本,鉴权统一使用RBAC进行。

角色:

Role:指定命名空间的资源控制权限

ClusterRole:指定所有的命名空间的资源控制权限

角色绑定:

Rolebinding:将角色绑定到主体 用户————subject

clusterRolebinding:将集群角色绑定到主体

主体:

user:用户

service account:服务账号(集群的服务账号)

group:用户组

#rules.verbs有:"get", "list", "watch", "create", "update", "patch", "delete", "exec"
​
#rules.resources有:"services", "endpoints", "pods", "secrets", "configmaps", "crontabs", "deployments", "jobs", "nodes", "rolebindings", "clusterroles", "daemonsets", "replicasets", "statefulsets", "horizontalpodautoscalers", "replicationcontrollers", "cronjobs"

[root@master01 opt]# mkdir rbac
[root@master01 opt]# cd rbac/
[root@master01 rbac]# ls
[root@master01 rbac]# vim rbac.yaml
​
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
kind: Role
metadata:
  name: test1
#创建的角色名称
  namespace: default
#这个是必须要有的字段,只能有一个命名空间
rules:
#定义规则
- apiGroups: [""]
#rbac.authorization.k8s.io/v1,默认就是对apiserver的请求权限
  resources: ["pods","services"]
#给主体也就是用户,可以在指定的命名空间内对哪些资源对象进行>操作。
  verbs: ["get","watch","list"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: test2
#创建的角色名称
  namespace: default
#这个是必须要有的字段,只能有一个命名空间
subjects:
- kind: User
  name: xy102
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: test1
  apiGroup: rbac.authorization.k8s.io
  
[root@master01 rbac]# useradd xy102
​

准入机制:

[root@master01 rbac]# useradd lucky
[root@master01 rbac]# passwd lucky 
[root@master01 rbac]# cd /usr/local/bin/
[root@master01 bin]# rz -E
rz waiting to receive.
[root@master01 bin]# ls
cfssl  cfssl-certinfo  cfssljson  helm
[root@master01 bin]# chmod 777 cfssl*
#apiserver和用户之间连接的认证证书
​
#客户端的证书签名
cat > lucky-csr.json <<EOF
{
  "CN": "lucky",
  "hosts": [],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "BeiJing",
      "L": "BeiJing",
      "O": "k8s",
      "OU": "System"
    }
  ]
}
EOF
​
[root@master01 rbac]# cd /etc/kubernetes/pki/
apiserver.crt                 etcd
apiserver-etcd-client.crt     front-proxy-ca.crt
apiserver-etcd-client.key     front-proxy-ca.key
apiserver.key                 front-proxy-ca.srl
apiserver-kubelet-client.crt  front-proxy-client.crt
apiserver-kubelet-client.key  front-proxy-client.key
ca.crt                        sa.key
ca.key                        sa.pub
ca.srl
​
#客户端的签名证书
[root@master01 pki]# cfssl gencert -ca=ca.crt -ca-key=ca.key -profile=kubernetes /opt/rbac/lucky-csr.json | cfssljson -bare lucky
[root@master01 pki]# ls
apiserver.crt                 front-proxy-ca.crt
apiserver-etcd-client.crt     front-proxy-ca.key
apiserver-etcd-client.key     front-proxy-ca.srl
apiserver.key                 front-proxy-client.crt
apiserver-kubelet-client.crt  front-proxy-client.key
apiserver-kubelet-client.key  lucky.csr
ca.crt                        lucky-key.pem
ca.key                        lucky.pem
ca.srl                        sa.key
etcd                          sa.pub
​
[root@master01 rbac]# vim rbac-config.sh
APISERVER=$1
# 设置集群参数
export KUBE_APISERVER="https://$APISERVER:6443"
kubectl config set-cluster kubernetes \
  --certificate-authority=/etc/kubernetes/pki/ca.crt \
  --embed-certs=true \
  --server=${KUBE_APISERVER} \
  --kubeconfig=lucky.kubeconfig
​
# 设置客户端认证参数
kubectl config set-credentials lucky \
  --client-key=/etc/kubernetes/pki/lucky-key.pem \
  --client-certificate=/etc/kubernetes/pki/lucky.pem \
  --embed-certs=true \
  --kubeconfig=lucky.kubeconfig
​
# 设置上下文参数
kubectl config set-context kubernetes \
  --cluster=kubernetes \
  --user=lucky \
  --namespace=lucky-cloud \
  --kubeconfig=lucky.kubeconfig
​
[root@master01 rbac]# chmod 777 rbac-config.sh 
[root@master01 rbac]# ./rbac-config.sh 192.168.60.110
[root@master01 rbac]# kubectl config use-context kubernetes --kubeconfig=lucky.kubeconfig
[root@master01 rbac]# mkdir /home/lucky/.kube
[root@master01 rbac]# cp lucky.kubeconfig /home/lucky/.kube/config
[root@master01 rbac]# chown -R lucky:lucky /home/lucky/.kube/
​
[root@master01 rbac]# vim rbac.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: test1
#创建的角色名称
  namespace: lucky-cloud
#这个是必须要有的字段,只能有一个命名空间
rules:
#定义规则
- apiGroups: [""]
#rbac.authorization.k8s.io/v1,默认就是对apiserver的请求权限
  resources: ["pods","services","deployments","pods/exec","pods/log"]
#给主体也就是用户,可以在指定的命名空间内对哪些资源对象进行>操作。
  verbs: ["get","watch","list","exec","create"]
kind: Role
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: test2
#创建的角色名称
  namespace: lucky-cloud
#这个是必须要有的字段,只能有一个命名空间
subjects:
- kind: User
  name: lucky
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: test1
  apiGroup: rbac.authorization.k8s.io
​
​
[root@master01 rbac]# kubectl create ns lucky-cloud
[root@master01 rbac]# kubectl apply -f rbac.yaml 
[root@master01 rbac]# kubectl get role,rolebinding -n lucky-cloud 
NAME                                   CREATED AT
role.rbac.authorization.k8s.io/test1   2024-09-13T05:38:13Z
​
NAME                                          ROLE         AGE
rolebinding.rbac.authorization.k8s.io/test2   Role/test1   97s
​
[root@master01 rbac]# kubectl create deployment nginx1 --image=nginx:1.22 --replicas=3 -n lucky-cloud

如何抓取pod的包

1、describe pod 查询容器的container ID

2、到pod部署的节点,根据container ID获取容器在节点上的进程号

3、根据进程号进入容器的网络命名空间

4、tcpdump -i 网卡

星殇曦落
关注
构建微服务云原生应用——安全框架设计和实践.zip
10-25
在构建微服务云原生应用的过程中,安全框架的设计与实践是至关重要的环节。这涉及到多个层面的安全考虑...通过阅读“构建微服务云原生应用——安全框架设计和实践.pdf”,你将能深入理解并掌握这些关键概念和最佳实践。
30分钟学MongoDB系列 ——MongoDB的安全机制和高级管理篇
03-04
本篇将重点介绍MongoDB的安全机制和高级管理功能,包括数据复制、异常处理、进程控制等。 数据复制是分布式数据库系统的基础特性之一,它确保了数据的高可用性和故障恢复能力。MongoDB通过副本集(replica sets)来...
密码学和网络安全原理与实践,第七版William Stallings
04-01
6. **身份验证与访问控制**:讲述身份验证机制(如Kerberos、OAuth、OpenID)和访问控制模型(如RBAC、ABAC)。 7. **密钥管理**:密钥的生成、存储、分发、更新和撤销等过程,以及密钥服务器和密钥管理协议的作用...
PHP.zip_php后台_thinkPHP rbac_前端框架
09-19
在ThinkPHP框架中,RBAC是一种常用的身份验证和授权机制。通过定义角色(Role)、权限(Permission)和角色与权限的关系,我们可以灵活地控制不同用户对系统的访问权限。RBAC模型不仅降低了权限管理的复杂度,还使得...
k8s环境搭建
m0_72009757的博客
09-11 700
yum clean all && yum makecachevim /etc/selinx/config
金钥匙系列:Kubernetes (K8s) 服务集群技术栈学习路线
百锦再的博客
09-14 1790
维护 Kubernetes 服务集群是一项技术含量高且复杂的工作,需要多方面的知识与技能,包括 Linux 基础、网络、容器化技术、Kubernetes 核心概念与实践、集群管理、安全、高可用性、监控、日志、CI/CD 集成等。通过扎实的基础学习和大量的实践操作,你可以逐步掌握这些技术栈,并在企业级 Kubernetes 集群维护中发挥重要作用。学习 Kubernetes 不仅仅是为了掌握一项技术,更是为了理解云原生架构背后的思维方式和工作流,这对未来的职业发展也具有非常重要的意义。
kubeadm方式安装k8s
m0_72009757的博客
09-10 634
本次以⼆进制⽅式安装⾼可⽤ k8s 1.28.0 版本,但在⽣产环境中, 建议使⽤⼩版本⼤于 5 的 Kubernetes 版本,⽐如 1.19.5 以后。
9.11-kubeadm方式安装k8s
qq_70752758的博客
09-11 546
配置pod的yaml文件和docker-compose.uaml文件相似。
k8s的基础
weixin_70752007的博客
09-14 376
7.在node01和node02节点上引入tar包,并使用ctr指令将tar包导入到containerd的镜像中。5.使用ctr指令将tar包导入到containerd的镜像中。4.使用docker save指令打包镜像。8.使用kubectl run创建pod。6.查看containerd镜像列表。10.监控容器运行的5个切入点。2.加载启动docker服务。9.使用配置文件创建pod。
k8s防火墙networkPolicy,的核心是“自己”
2401_84019227的博客
09-11 849
xxx.xxx.xx.x/32 # 允许某个网段,但除了这个ip。2. 从哪个名称空间进来的,就设置namespaceSelector,k8s的防火墙,考虑如何配置,就是从“自己”出发,去看待流量的流向。4. 从哪些标签的pod来的,就设置podSelector。是允许哪些流量来访问我,就是ingress from,1. 从哪个端口进来的,就设置ports,3. 从哪些ip来的,就设置ipBlock。那么,没有说明的,就是不让ingress。写了规则的,是允许进入和出去的流量。
【从问题中去学习k8s】k8s中的常见面试题(夯实理论基础)(二十九)
zerotoall的博客
09-11 345
思考一下问题: 97、您认为公司如何处理服务器及其安装? 考虑一家拼车公司希望通过同时扩展其平台来增加服务器数量。 您认为公司如何处理服务器及其安装? 参考答案:
K8s 简介以及详细部署步骤
最新发布
TYM121380的博客
09-14 994
1、在Docker 作为高级容器引擎快速发展的同时,在Google内部,容器技术已经应用了很多年2、Borg系统运行管理着成千上万的容器应用。3、Kubernetes项目来源于Borg,可以说是集结了Borg设计思想的精华,并且吸收了Borg系统中的经验和教训。3、Kubernetes对计算资源进行了更高层次的抽象,通过将容器进行细致的组合,将最终的应用服务交给用户。kubernetes的本质是一组服务器集群,它可以在集群的每个节点上运行特定的程序,来对节点中的容器进行管理。
k8s防火墙networkPolicy,其他规则和端口规则ports的匹配顺序,进站策略ingress和出站策略egress中,ports规则的常用方法。
2401_84019227的博客
09-11 485
有了这个先后顺序,相对就容易理解其他规则和ports规则的匹配关系。看ip报文里面封装的TCP/UDP报文中的端口号。因为端口信息是在打开ip包之后才能看到的。如果不接收,就不会有检测端口号的操作,端口策略和其他策略的顺序关系是什么。ports这个策略,和前面三个不同。ingress.from进站策略中。如果要求,只能访问什么端口,就是与。而是说,能访问所有主机的什么端口。egress.to出站策略中。如果没有强调只能访问什么端口。B接收到数据包是先看ip。各个规则和端口号的关系。各个规则和端口号的关系。
95、k8s之rancher可视化
m0_74149099的博客
09-14 387
图形化界面进行k8s集群的管理rancher自带监控----普罗米修斯。
k8s的环境配置
weixin_70693880的博客
09-11 1166
找到第63行修改为sandbox_image = "registry.cn-hangzhou.aliyuncs.com/google_containers/pause:3.9"# 添加sandbox_image = "registry.cn-hangzhou.aliyuncs.com/google_containers/pause:3.9"(第128行)# 修改第12行、24行、29行的ip地址为自己本机的ip地址。# 修改第12行、24行、29行的ip地址为自己本机的ip地址。
k8s的安装
weixin_70752007的博客
09-11 1011
9.下载yaml文件,从gitee上下载,配置的pod的yaml文件和docker-compose.yaml文件相似,等我的k8s架构搭建起来以后,在添加功能性pod的时候使用。Active: active (running) since 三 2024-09-11 11:40:38 CST;--在k8s-node01和k8s-node02上,先systemctl stop kubelet。--四个源镜像 aliyun ,epel, kubernetes,docker-ce。
【从问题中去学习k8s】k8s中的常见面试题(夯实理论基础)(二十八)
zerotoall的博客
09-10 407
思考一下问题: 96、考虑一家拥有非常分散的系统的跨国公司,期待解决 整体代码库问题。您认为公司如何解决他们的问题? 考虑一家拥有非常分散的系统的跨国公司,期待解决整体代码库问题。 您认为公司如何解决他们的问题? 参考答案:
【从问题中去学习k8s】k8s中的常见面试题(夯实理论基础)(三十)
zerotoall的博客
09-12 311
思考一下问题: 98、考虑一种情况,公司希望向具有各种环境的客户提供所有必需的分发。 您认为他们如何以动态的方式实现这一关键目标? 参考答案:
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值