Kubernetes环境鉴权与自动发现

已于 2022-12-08 11:42:48 修改
阅读量168 收藏
点赞数
分类专栏: 说透Kubernetes监控 文章标签: kubernetes 运维 云原生 云计算 后端
于 2022-08-20 17:41:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/n9ecommunity/article/details/126442408
版权

概览文章中提到了k8s的鉴权模式,简单回顾下:

  • RBAC: Role-based access control 是基于角色的访问控制
  • ABAC: Atrribute-based access control 是基于属性的访问控制
  • Node Authorization: 节点鉴权,专门用于kubelet发出的api请求进行鉴权
  • Webhook Authorization: webhook是一种http回调,kube-apiserver配置webhook时, 会设置回调webhook的规则,这些规则中包含了调用的api
    group、version、operation、scope等信息。

有细心的小伙伴指出,RBAC的角色可以作为ABAC的属性来配置。 感谢小伙伴指正,ABAC可以更细粒度的控制权限,相应配置起来也更复杂。

kubernetes 鉴权

选定RBAC模式后,关于角色,有Role和ClusterRole,对应对象的绑定分别为: RoleBinding 和 ClusterRoleBinding。
Role创建后归属于特定的namespace,一般与特定namespace的权限绑定,而ClusterRole 不属于任何namespace,通常与一组权限绑定。

ClusterRole通常用于

  • 定义指定namespace资源的访问权限,并在某个namespace范围内授予访问权限;
  • 定义指定namespace资源的访问权限,并在跨namespace范围内授予访问权限;
  • 定义集群范围内的资源访问权限。

官方文档推荐,如果在单个namespace内定义角色则使用Role,如果是定义集群范围的角色,则使用ClusterRole。
要监控kubernetes组件和集群范围内业务以及为了通用性,所以我们选择ClusterRole 和 ClusterRoleBinding。

权限盘点

我们来盘点需要监控的对象。

  • 组件监控,访问组件metrics接口,需要非资源对象的get/list权限。访问/api/v1/xxx /apis/<group>/<version>/xxx 都属于非资源对象请求。
  • node、pod对象的资源监控, 需要访问kubelet metrics接口,权限同上。
  • serverless场景下,如果不能直接访问kubelet,还需要node/proxy的get权限。
  • node、pod对象的数量监控, 需要资源对象的get/list权限。
  • 自动发现, 需要service、endpoint的get/list+watch权限。
  • 如果要从metrics server 拿数据,还需要metrics.k8s.io 的访问权限。

不论需要多少权限, 一个原则就是按需申请,最小化申请。 指标采集都是读权限,基本都是get、list。自动发现要达到发现及时,需要watch endpoints变化。

如何确定资源对象的api groups和version呢? 可以使用kubectl api-resources -o wide来查看。 新版本的APIVERSION包含了api groups和version信息。

权限配置

基本的权限配置如下

  - apiGroups: [""]
    resources:
      - pods
      - nodes
      - nodes/stats
      - nodes/metrics
      - nodes/proxy
      - services
      - endpoints
    verbs: ["get", "list", "watch"]
  - nonResourceURLs: ["/metrics"]
    verbs: ["get"]

将权限填充到ClusterRole中

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  annotations: {}
  labels:
    app: n9e
    component: categraf
  name: categraf-role
rules:
  - apiGroups: [""]
    resources:
      - nodes
      - nodes/stats
      - nodes/metrics
      - nodes/proxy
      - services
      - endpoints
      - pods
    verbs: ["get", "list", "watch"]
  - nonResourceURLs: ["/metrics"]
    verbs: ["get"]

有了ClusterRole, 创建ClusterRoleBinding之前,还需要一个ServiceAccount,用于存储api的访问凭据,这个凭据可以以token形式挂载到Pod内。
也可以直接解析用于Pod外部使用。

apiVersion: v1
kind: ServiceAccount
metadata:
  annotations: {}
  labels:
    app: n9e
    component: categraf
  name: categraf-serviceaccount
  namespace: ${NAMESPACE}

注意,ServiceAccount需要指定namespace,需要跟categraf即将部署的namespace保持一致。
利用ClusterRoleBinding 将ClusterRole和ServiceAccount关联起来

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  annotations: {}
  labels:
    app: n9e
    component: categraf
  name: categraf-rolebinding
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: categraf-role
subjects:
- kind: ServiceAccount
  name: categraf-serviceaccount
  namespace: ${NAMESPACE}

现在ClusterRoleBinding 已经将权限和票据关联起来了。
备注:创建完成后,ServiceAccount会自动创建一个secret,这个secret 会自动挂载到后续创建的categraf pod内。

可以通过 kubectl get secrets -n monitoring categraf-serviceaccount-token-frqc5 -o jsonpath={.data.token} | base64 -d
获得token内容,这样通过curl -s -k -H "Authorization: Bearer $TOKEN" 即可访问apiserver,用来调试。

kubernetes 组件的服务发现

1. 监控对象部署在pod内

当创建service(带选择符)时,k8s会自动为pod创建endpoint,这样service和pod就关联起来了。利用这个特性,我们可以及时发现pod的变化。
如果组件是部署在pod内,我们就可以直接利用这个特性进行采集。比如kubeadm部署的集群,apiserver 本身就已经创建了对应的service。

...
  - job_name: "apiserver"
    metrics_path: "/metrics"
    kubernetes_sd_configs:
      - role: endpoints # 看这里
    scheme: https
    tls_config:
      insecure_skip_verify: true
    authorization:
      credentials_file: /var/run/secrets/kubernetes.io/serviceaccount/token
    relabel_configs:
      - source_labels:
          [
            __meta_kubernetes_namespace,
            __meta_kubernetes_service_name,
            __meta_kubernetes_endpoint_port_name,
          ]
        action: keep
        regex: default;kubernetes;https
...

2. 监控对象部署在物理机 (文件服务发现)

如果组件是以二进制方式部署在物理机,又没有其他服务发现的手段。那可以利用prometheus类似的文件服务发现,当组件有变更时,直接在目录中添加删除包含目标信息的文件就好了。
这里多提一点,之前有小伙伴提出,categraf提供一个注册接口,服务向categraf注册,然后categraf去拉注册目标指标。categraf本身的定位是一个采集器,没有服务发现的功能。
提一个最简单的问题,如果categraf挂了重启,但是采集目标没有发现,这里就会有很多数据不能被采集了。再有就是集中式拉取方式,提供push接口,会把业务和采集器耦合更深了。
这种方式 并不可取。

....
  - job_name: 'coredns'
    file_sd_configs:
    - files:
      - /home/work/prometheus/file_sd_config/*.json
...

在file_sd_config目录下放一个json文件,如下:

[
  {
    "labels": {
      "job": "coredns"
    },
    "targets": [
      "172.16.6.160:9153"
    ]
  }
]

等增加新的coredns后,只需要再增加一份json配置(这里只是为了举例说明,直接修改coredns.json效果一样)。不需要再做任何其他操作

[
  {
    "labels": {
      "job": "coredns"
    },
    "targets": [
      "172.16.0.85:9153"
    ]
  }
]

3. 其他服务发现方式

采集器categraf集成了prometheus的agent mode模式, 如果你使用了其他服务发现方式, 例如consul,则可以和categraf无缝对接了。
除此之外,还支持docker_swarm_sd_configs,docker_sd_config, dns_sd_configs, http_sd_configs等prometheus所支持的服务发现方式。

本次主要介绍kubernete权限和服务自动发现。感谢大家持续关注,欢迎各位批评指正, 欢迎各位点赞 转发和收藏。

关于作者

本文作者是孔飞,来自快猫星云( https://flashcat.cloud ),资深Kubernetes专家

夜莺开源监控
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Prometheus之kubernetes-sd自动发现
简云的博客
08-20 686
kubernetes_sd_config 从Kubernetes的REST API上,Kubernets SD配置检索和获取目标,并且始终保持与集群状态同步。 下面是role类型中的任何一个都能在发现目标上配置: 节点node 这个node角色发现带有地址的每一个集群节点一个目标,都指向Kublelet的HTTP端口。这个目标地址默认为Kubernetes节点对象的第一个现有地址,地址类型为NodeInernalIP, NodeExternalIP, NodeLegacyHostIP和NodeHost.
Nightingale-k8s组件监控实践(上)
zs11234的博客
05-22 294
创建一个sa名为categraf,绑定resources的verbs限,让categraf有足够的限来获取k8s的各个组件的指标。创建一个namespace来做夜莺监控采集指标。更改的bind-address。
api k8s restful 创建pods_【大强哥-k8s从入门到放弃10】RBAC详解
weixin_36339157的博客
01-01 238
一、何为RBAC在Kubernetes中,授有ABAC(基于属性的访问控制)、RBAC(基于角色的访问控制)、Webhook、Node、AlwaysDeny(一直拒绝)和AlwaysAllow(一直允许)这6种模式RBAC全称基于角色的访问控制。Service Account为服务提供了一种方便的认证机制,但它不关心授的问题。可以配合RBAC来为Service Account从1.6版起,...
夜莺(Flashcat)V6监控(五):夜莺监控k8s组件(上)
m0_61323675的博客
05-14 2894
是一个bool类型的参数,如果为true,表示跳过对服务器端证书的验证。不过指标数据实在没必要做这么强的安全管控,整的挺麻烦,实际上,ETCD 也确实提供了另一个端口来获取指标数据,无需走这套证书认证机制。目录下,为 curl 命令指定相关证书,是可以访问的通的。跟上面的操作一样,在configmap下面添加名为kubelet的job字段即可,然后重新加载configmap的yaml文件。: 指定了认证信息的来源,这里使用了默认的kubernetest服务账号的Token。这里我们定义的是夜莺的地址。
【prometheus】-02 一张图彻底搞懂Prometheus服务发现机制
god_86的专栏
08-18 531
【prometheus】- 01 云原生时代的监控系统入门2021-08-16 【定时调度】- 01 quartz的基础你真的了解吗2021-03-25 【RabbitMQ分析】01 Si...
17+18+19+20、认证++准入控制+HEML-V2.pdf
最新发布
10-11
Kubernetes集群中,安全是至关重要的,因为它保护了应用程序和服务免受未经授的访问和攻击。...通过理解并正确配置这些机制,可以有效地保护Kubernetes环境,防止未经授的访问和潜在的安全威胁。
7.K8S存储原理剖析与实践1
08-03
2. **HTTP JSON-RPC接口**:Docker与插件通过HTTP JSON-RPC协议进行通信,确保了跨环境的兼容性。 3. **容器化和非容器化部署**:插件可以以容器或者独立服务的形式运行,增加了灵活性。 4. **插件生命周期管理**:...
美团外卖架构升级与多端复用技术.pdf
10-17
4. **Kubernetes(K8s)集群管理**:为了更好地管理和调度这些服务,美团外卖引入了Kubernetes作为容器编排平台,K8s提供了自动化的服务发现、负载均衡、容错恢复和扩展等功能,确保了服务的高可用性和弹性伸缩。...
prometheus-docker-sd:Docker容器的Prometheus服务发现
05-07
prometheus-docker-sd Docker容器的Prometheus服务发现。 如何使用这张图片 样本docker-compose.yml : version: ' 2 ' services: # ============================================================================== # prometheus # ------------------------------------------------------------------------------ prometheus: image: " prom/prometheus:v2.25.0 " restart: unless-stopped networks: - monitoring_ext
Kube-apiserver 认证插件Authenticator和Authorizer
u014152978的博客
06-24 1950
Kube-apiserver 认证插件Authenticator和Authorizer 原文链接:https://note.youdao.com/ynoteshare1/index.html?id=9d0b804336ce5f4009d35848bc3acded&type=note 一、初始化入口 cmd/kube-apiserver/app/server.go中的BuildAuthenticator函数初始化kube-apiserver的认证插件,这个函数又调用了pkg/kubeapis
给 K8s 中的 Operator 添加 Webhook 功能【保姆级】
m0_73257876的博客
09-13 1025
准入控制器是在对象持久化之前用于对 Kubernetes API Server 的请求进行拦截的代码段,在请求经过身份验证和授之后放行通过。准入控制器可能正在 validating、mutating 或者都在执行,Mutating 控制器可以修改他们处理的资源对象,Validating 控制器不会,如果任何一个阶段中的任何控制器拒绝了请求,则会立即拒绝整个请求,并将错误返回给最终的用户。时序图如下所示:如果我们想为 CRD 实现 admission webhook,我们唯一要做的就是实现。
k8s-身份认证与限 认证准入控制- 各种方式带例子-推荐-2023
yuezhilangniao的博客
07-03 4979
k8s中的有两类型的用户:被k8s集群管理的服务账号 ( Service Account Pod 对象)和常规用户 (User Account 现实中的“人”)。认证 准入控制 访问控制列表
kubernetes安全控制认证与授(一)
热门推荐
程序源234的专栏
07-22 2万+
kubernetes 对于访问 API 来说提供了两个步骤的安全措施:认证和授。认证解决用户是谁的问题,授解决用户能做什么的问题。通过合理的限管理,能够保证系统的安全可靠。通俗的讲,认证就是验证用户名密码,授就是检查该用户是否拥有限访问请求的资源。
prometheus基于文件的自动服务发现配置file_sd_configs
空山新雨后,天气晚来秋
07-09 2544
prometheus.yml中static_configs字段是静态配置,将要监控的目标加进来。基于实践基础和工作情况需要,本次采用文件发现则需要配置file_sd_configs字段,如下: 即,将被监控机作为一个群组加入一个json文件,从targets目录读取该文件,json文件如下: 如果你的业务想细分,则可定义多个json文件来划分不同的集群或组,比如可创建 模块1.json模块2.json 等多个文件,将按组划分。 启动服务,看看效果如何: 可以看到都被发现了,...
【prometheus】-03 轻松搞定Prometheus文件服务发现
god_86的专栏
08-23 350
【prometheus】-02 一张图彻底搞懂Prometheus服务发现机制2021-08-18 【prometheus】- 01 云原生时代的监控系统入门2021-08-16 【定时调...
Categraf - 夜莺监控发布新轮子
Go中国
06-11 4108
简介Categraf 是夜莺监控的默认数据采集 Agent,主打开箱即用和all-in-one,同时支持对metrics、log、trace 的收集,由夜莺监控核心开发团队开发。Categraf的代码托管在两个地方:中国计算学会确实开源平台:https://www.gitlink.org.cn/flashcat/categrafGithub:https://github...
监控之美--prometheus配置文件动态管理
weixin_33802505的博客
09-13 859
Prometheus是一套开源的监控、报警解决方案,是由SoundCloud公司开发的,从 2012 年开始编写代码,再到 2015 年 开源以来,该项目有非常活跃的社区和开发人员,目前在全世界最大的男×××友社区上已经有了1.1w多star;2016 年 Prometheus 成为继 k8s 后,成为第二名 CNCF(Cloud Native Computing Fou...
kubernetes
08-24
Kubernetes提供了多种方式来保护集群中的资源和操作。下面是几种常见的方式: 1. RBAC(Role-Based Access Control):RBAC是Kubernetes中最常用的机制之一。它基于角色和角色绑定,通过定义角色和为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

夜莺开源监控

您的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值