K8s 安全访问:ServiceAccount

最新推荐文章于 2024-04-17 10:41:20 发布
最新推荐文章于 2024-04-17 10:41:20 发布
阅读量1.3k 收藏 3
点赞数
分类专栏: k8s 文章标签: kubernetes k8s ServiceAccount 准入控制器 Token管理器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/myle69/article/details/104869403
版权

欢迎访问博客原文
官方:Kubernetes API 访问控制
官方:K8s 认证模块
官方:管理 Service Accounts
官方:使用准入控制插件

本文介绍 ServiceAccount(服务账户,简称sa)的相关内容。

访问 K8s Api Server 需要授权,有几种角色需要访问 apiserver:

  • 运维用户:通过 kubectl 交互,api server 会绑定一个特定用户,一般是admin用户。
  • Pod 内容器进程:一般使用特定的 sa 访问,sa属于namespace级别。
  • 其他客户端:可通过REST API交互。

namespace 与默认 sa

每个namespace都会创建默认的sa,下面是例子:

$ kubectl create namespace demo
namespace/demo created

$ kubectl get sa -n demo
NAME      SECRETS   AGE
default   1         24s

kubectl get sa default -o yaml -n demo 查看 default sa,yaml 如下:

apiVersion: v1
kind: ServiceAccount
metadata:
  creationTimestamp: "2020-03-14T09:13:23Z"
  name: default
  namespace: demo
  resourceVersion: "28056513"
  selfLink: /api/v1/namespaces/demo/serviceaccounts/default
  uid: 9b6b3184-8f8a-4f6a-bd56-8954ac9e4e71
secrets:
- name: default-token-9vcx8

sa 的 secret 长什么样?

可以看出,sa 使用了 default-token-9vcx8 这个 Secret,下面是其yaml数据。

kubectl get secret default-token-9vcx8 -o yaml -n demo

该 secret 属性如下(token、ca.crt属性仅截取了部分)。

apiVersion: v1
# secret 的三个数据属性字段
data:
  ca.crt: LS0tLS1CRUdJTiBDR...
  namespace: ZGVtbw==
  token: ZXlKaGJHY2lPaUpTVXpJ...
kind: Secret
metadata:
  annotations:
    kubernetes.io/service-account.name: default
    kubernetes.io/service-account.uid: 9b6b3184-8f8a-4f6a-bd56-8954ac9e4e71
  creationTimestamp: "2020-03-14T09:13:23Z"
  name: default-token-9vcx8
  namespace: demo
  resourceVersion: "28056512"
  selfLink: /api/v1/namespaces/demo/secrets/default-token-9vcx8
  uid: 6c685b56-66ef-4439-8fd0-1c59092129ff
type: kubernetes.io/service-account-token

几个重要的属性如下:

  • typekubernetes.io/service-account-token

  • token :实际是JWT Token,采用 RS256 非对称算法。

  • ca.crt:证书,通过base64解密后可以看到证书内容。

data 中属性都是base64加密的,可通过 echo 内容 | base64 --decode 解密。

下面通过证书来解密JWT Token,这里采用 jwt.io Debugger 工具在线解密。

将base64解密后的ca.crt内容填入公钥文件位置,JWT Token放入左侧,PAYLOAD就是解密后的内容。

在这里插入图片描述

Pod 与 默认 sa

创建Pod时若未指定sa,将采用当前namespace 的 default sa。

下面创建一个nginx Pod。

kubectl create -n demo -f - <<EOF
apiVersion: v1
kind: Pod
metadata:
  name: nginx
spec:
  containers:
  - name: nginx-container
    image: nginx
EOF

再看看 Pod 的数据。

kubectl describe pod nginx -n demo

下面是数据:

Name:         nginx
Namespace:    demo
Containers:
  nginx-container:
    Mounts:
      /var/run/secrets/kubernetes.io/serviceaccount from default-token-9vcx8 (ro)
Conditions:
Volumes:
  default-token-9vcx8:
    Type:        Secret (a volume populated by a Secret)
    SecretName:  default-token-9vcx8
    Optional:    false
  • default-token-9vcx8 是demo namespace下默认sa中的secret
  • 创建Pod时将该sa的secret自动作为volume挂载到了容器中
  • 挂载的目录下就是 default-token-9vcx8 包含的三个属性,即:JWT token、JWT 公钥、namespace,都已自动通过base64解密,下面是容器中挂载的三个文件:
$ ls -l /var/run/secrets/kubernetes.io/serviceaccount
total 0
lrwxrwxrwx 1 root root 13 Mar 14 09:47 ca.crt -> ..data/ca.crt
lrwxrwxrwx 1 root root 16 Mar 14 09:47 namespace -> ..data/namespace
lrwxrwxrwx 1 root root 12 Mar 14 09:47 token -> ..data/token

Pod 中 sa 自动处理机制(准入控制器)

Pod 未指定 sa 时,Admission Controller (准入控制器) 会自动进行处理,准入控制器属于 apiserver 的一部分,当 pod 被创建或更新时,它会同步地修改 pod。

该插件默认激活,当Pod创建or更新时,会执行如下策略:

  • 若 Pod 未设置 sa,自动将其 sa 设置为 default
  • 若 Pod 未设置 ImagePullSecrets,自动将 sa 中ImagePullSecrets 添加到Pod
  • 将 sa 的 secret 中用于API访问的token以 volume形式挂载到容器中

其中第二点非常重要,可以用于自动处理 Docker Registry 的安全凭证。

sa 中的 Secret 来自何方(Token管理器)?

sa 属于一种安全凭证,其中包含Secret,那Secret又是如何添加到sa中的?先演示效果。

下面创建一个sa.

kubectl create -f - <<EOF
apiVersion: v1
kind: ServiceAccount
metadata:
  name: demo-sa
EOF

kubectl get sa demo-sa -o yaml 拿到yaml如下:

apiVersion: v1
kind: ServiceAccount
metadata:
  creationTimestamp: "2020-03-14T12:30:19Z"
  name: demo-sa
  namespace: default
  resourceVersion: "28078771"
  selfLink: /api/v1/namespaces/default/serviceaccounts/demo-sa
  uid: 83b4c80f-ef7d-4ccc-83dc-b88ca3230bcf
secrets:
- name: demo-sa-token-qsz5d

Secret demo-sa-token-qsz5d 是自动创建的,kubernetes.io/service-account-token 类型。

各namespace 中 kubernetes.io/service-account-token 类型的 Secret 中的公钥都是一样的

给sa创建secret是由 Token Manager(Token 管理器) 以异步的方式完成,处理策略如下:

  • sa 创建时,自动为其创建 secret 以支持API访问
  • sa 删除时,自动删除关联的 secret
  • 删除 sa 中的 secret 时,自动为其创建新的 secret

利用 sa 自动处理 ImagePullSecret

当Pod未指定 ImagePullSecrets时,会自动使用sa的secret,从而替Pod统一屏蔽掉拉取镜像的 Secret。

为sa添加 imagePullSecrets 即可,当然也可以动态变更namespace的 default sa,添加后后续创建的所有Pod就会自动添加 imagePullSecrets 策略。

kubectl create -f - <<EOF
apiVersion: v1
kind: ServiceAccount
metadata:
  name: demo-sa
imagePullSecrets:
- name: registry-tecent-secret
EOF

下面创建Pod演示,需指定 spec.serviceAccountName 为上面的 demo-sademo-sa 中的 registry-tecent-secret 用于拉取镜像。

kubectl create -f - <<EOF
apiVersion: v1
kind: Pod
metadata:
  name: nginx
spec:
  serviceAccountName: demo-sa
  containers:
  - name: nginx-container
    image: nginx
EOF

查看Pod的yaml数据,仅保留sa相关内容后如下:

apiVersion: v1
kind: Pod
spec:
  containers:
  - image: nginx
    name: nginx-container
    # 使用了 demo-sa 中的 secret 并挂载到容器中
    volumeMounts:
    - mountPath: /var/run/secrets/kubernetes.io/serviceaccount
      name: demo-sa-token-qcpns
      readOnly: true
  # Token Manager 自动将sa中secret设置到了Pod中    
  imagePullSecrets:
  - name: registry-tecent-secret
  serviceAccount: demo-sa
  serviceAccountName: demo-sa

欢迎关注公众号 [陈一乐],一起学习,一起成长

cyjrun
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
k8sServiceAccount
weixin_37337210的博客
01-17 1万+
导读 上一篇说了k8s的RBAC授权模式,今天就来简单看一下其中涉及到的ServiceAccount。 简介 k8s创建两套独立的账号系统,原因如下: (1)User账号给用户用,Service Account是给Pod里的进程使用的,面向的对象不同 (2)User账号是全局性的,Service Account则属于某个具体的Namespace (3)User账号是与后端的用户数据库同步的,创建一个新用户通常要走一套复杂的业务流程才能实现Service Account的创建则需要极轻量级的实现
Cloud Native Lives 课程八:K8S安全1
08-03
"Cloud Native Lives 课程八:K8S安全1"聚焦于K8S的认证、鉴权和准入控制这三个关键环节,确保只有授权的实体能够访问和操作集群资源。 **认证(Authorization)**是K8S安全的第一道防线,它验证用户或服务的身份。K8...
k8sservice account
fengcai_ke的博客
07-11 3420
k8s service account分析
Kubernetes - 实战:访问控制ServiceAccount、UserAccount、RBAC、服务账户的自动化
最新发布
qq_33240556的博客
04-17 941
每个Namespace都有一个默认的ServiceAccount,如果没有明确指定,Pod将会使用默认的ServiceAccountK8s会自动为每个ServiceAccount创建相应的Secret(通常是ServiceAccount Token),并在Pod启动时挂载到Pod的文件系统中。综上所述,通过合理的ServiceAccount创建、RBAC规则设置和自动化流程,可以有效地在Kubernetes集群中实现细粒度的访问控制管理。如上面所示,将角色绑定到ServiceAccount或User。
k8sServiceAccount权限详解、RBAC 详解(基于角色的访问控制),常用操作指令
mingqing的博客
11-29 4778
文章目录Service Account应用示例RBAC 详解(基于角色的访问控制)创建一个角色(role)---权限实验二常用操作指令 Service Account应用示例 概念图权限关系 我自己的理解就是,Service Account就是pod的权限 1、创建serviceaccount [root@kub-k8s-master ~]# kubectl create serviceaccount mysa serviceaccount/mysa created 2、查看mysa [root@kub
kubernetes系列】KubernetesServiceAccount
margu_168的博客
07-12 1795
默认的service account 仅仅只能获取当前Pod自身的相关属性,无法观察到其他名称空间Pod的相关属性信息。如果想要扩展Pod,假设有一个Pod需要用于管理其他Pod或者是其他资源对象(例如dashboard),是无法通过自身的名称空间的default service account进行获取其他Pod的相关属性信息的,此时就需要进行手动创建一个serviceaccount,并在创建Pod时进行定义使用。
K8sService Account和RBAC
l1727377的博客
12-16 2176
①.ServiceAccount(服务账户)是Kubernetes集群中的一种资源对象,用于为Pod或其他资源提供身份验证和授权,以便它们能够与Kubernetes API进行交互。②.ServiceAccountKubernetes中用于管理Pod身份验证和授权的重要资源,它使得Pod能够在集群中具有独立的身份,从而实现更精细的权限控制和安全策略。③. Service Account它并不是给kubernetes集群的用户使用的,而是给pod里面的进程使用的,它为pod提供必要的身份认证。
k8s-gke-service-account-assigner:为在Kubernetes上运行的Pod提供不同的Google服务帐户和范围
02-03
k8s-gke-service-account-assigner 根据注释为在kubernetes集群中运行的容器提供Google服务帐户令牌。 受到启发并 语境 服务帐户已附加到实例,并且服务可以通过Google实例元数据API的google-cloud-sdk透明使用而...
k8s入门介绍,k8s多master多noede安装部署教程
07-28
是整个系统的对外接口,提供资源操作的唯一入口,供客户端和其它组件调用,提供了k8s各类资源对象(pod,deployment,Service等)的增删改查,是整个系统的数据总线和数据中心,并提供认证、授权、访问控制、API注册和...
k8s全自动离线按照下载链接.txt
03-22
3、授权serviceAccount:dashboard账户获取最大访问权限,满足dashboardUI操作需要 4、安装完成界面,增加dashboard访问URL提示,以及登录dashboard门户的账户token 历史-----------------------------------------...
k8s1.63+dashboard2.0搭建完整版.docx
04-14
确保先创建ServiceAccount并赋予适当的RoleBinding,以允许Dashboard访问资源。 - **访问**:通常通过设置Ingress或端口转发来访问Dashboard,确保安全设置,如使用HTTPS和身份验证。 **6. 后续步骤** - **部署Pods...
k8s权限配置(ServiceAccount、Role、ClusterRole)
热门推荐
lihongbao80的专栏
09-12 2万+
基于RBAC配置User权限,包括操作(get、create、list、delete、update、edit、watch、exec)资源: Pods PV ConfigMaps Deployments Nodes Secrets Namespaces 资源与api group关联(如pods属于core api group,deployments属于apps api group)。 在RBAC中的几个概念: Rules:规定一组可以在不同api group上的资源执行的规则(verbs) Role与Clus
k8s学习笔记-认证(Serviceaccount)
weixin_30274627的博客
05-09 626
可以使用kubectl、客户端库方式对REST API的访问Kubernetes的普通账户和Service帐户都可以实现授权访问API。API的请求会经过多个阶段的访问控制才会被接受处理, 其中包含认证、授权以及准入控制(Admission Control)等。如下图所示: 需要注意:认证授权过程只存在HTTPS形式的API中。也就是说,如果客户端使用HTTP连接到kube-apiser...
spring-cloud-kubernetes k8s环境下微服务调试
06-29 3672
安装 Windows Subsystem for Linux 安装适用于 Linux 的 Windows 子系统 注:一定要升级到19041 内核以后版本 winver 用易升升级要是购买的激活码不影响升级 以管理员身份打开 PowerShell C:\WINDOWS\System32\WindowsPowerShell\v1.0 或者shift + 右键桌面选择 执行 dism.exe /online /enable-feature /featurename:Microsoft-Windows-Sub
ServiceAccount深度解析
qq_61039408的博客
08-07 860
这里在default名称空间创建了一个serviceaccount为admin,可以看到已经自动生成了一个Tokens:admin-token-j7n8j,下面展示如何使用自定义的serviceaccountK8S集群当中,每一个用户对资源的访问都是需要通过apiserver进行通信认证才能进行访问的,那么在此机制当中,对资源的访问可以是token,也可以是通过配置文件的方式进行保存和使用认证信息,kubectl命令行工具使用kubeconfig文件来查找选择群集并与群集的APIserver进行通信。
KubernetesServiceAccount+Secret(超详细汇总)
BigData_Mining的博客
03-13 1万+
第一章、前言 每一个用户对API资源进行操作都需要通经过以下三个步骤: 第一步:对客户端访问进行认证操作,确认是否具有访问k8s权限 token(共享秘钥) SSL(双向SSL认证) ....通过任何一个认证即表示认证通过,进入下一步 第二步:授权检查,确认是否对资源具有相关的权限 ABAC(基于属性的访问控制) RBAC(基于角色的访问控制) NODE(基...
Kubernetes & ServiceAccount
来啊 快活啊
02-22 3001
ServiceAccount 每个namespace下有一个名为default的默认的ServiceAccount对象,这个ServiceAccount里有一个名为Tokens的可以作为Volume一样被Mount到Pod里的Secret,当Pod启动时这个Secret会被自动Mount到Pod的指定目录下,用来协助完成Pod中的进程访问API Server时的身份鉴权过程。 如果一个Pod在...
K8S认证以及serviceaccount
weixin_45483207的博客
03-22 592
APIServer对用户访问的认证,用户提供账号密码 授权检查,准入控制(级联操作), 2.1. Token 预共享密钥(对称密钥) 2.2.ssl认证 2.2.1.客户端要求服务端发送签署的证书,客户端需要进行证书验证。 2.2.2.服务器需要对客户端进行证书认证,这个证书同样得是服务端认可的CA证书,然后进行ssl会话。 认证插件只要通过一个即可 在本地启动8080端口的代理 列出集群的名称空间 映射关系 K8S认证一共分为两类 1.用户账号 2.pod内应用程序访问APIServer所用到的.
k8s serviceaccount
03-16
K8s ServiceAccountKubernetes中的一种对象,用于授权Pod或其他Kubernetes对象访问Kubernetes API。它是一种自动化的身份验证机制,可以为Pod提供访问Kubernetes API的令牌。通过使用ServiceAccount,可以更好地管理Pod的安全性和访问权限。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值