k8s系列-04-k8s的认证、授权和准入控制

最新推荐文章于 2024-07-16 03:49:17 发布
最新推荐文章于 2024-07-16 03:49:17 发布
阅读量747 收藏 1
点赞数
分类专栏: k8s 文章标签: mysql mongodb 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ouyangzhenxin/article/details/123345295
版权

声明:本文乃“运维家”原创,转载请注明出处,更多内容请关注公众号“运维家”。

图片

主旨

本节主要介绍一下,k8s客户端如何经过认证访问到apiserver,以及k8s如何授权,是怎么判定访问者拥有什么权限等内容。

认证

1、客户端认证

客户端认证也称为TLS双向认证,为什么这么说呢,是因为kubectl在访问apiserver的时候,apiserver也要认证kubectl是否正确,他们都会访问CA来进行验证,如下图:

图片

2、Bearertoken

Bearertoken的方式,可以理解为apiserver将一个密码通过了非对称加密的方式告诉了kubectl,然后通过该密码进行相互访问,和TLS类似,但是少了CA,如下图:

图片

3、Serviceaccount

上面客户端证书认证和Bearertoken的两种认证方式,都是外部访问apiserver的时候使用的方式,那么我们这次说的Serviceaccount是内部访问pod和apiserver交互时候采用的一种方式。

Serviceaccount包括了,namespace、token、ca,且通过目录挂载的方式给予pod,当pod运行起来的时候,就会读取到这些信息,从而使用该方式和apiserver进行通信。如下图:

图片

授权-RBAC

认证我们介绍完了,不过仅仅是认证是不够的,认证只能确定访问者没有问题,那么访问者有什么权限呢?他能访问哪些东西呢?这时候我们就需要授权了。在k8s中的授权模式采用的是RBAC,即:基于角色的访问控制,分为以下三种类型来进行:

剩余内容请转至VX公众号 “运维家” ,回复 “112” 查看。

运维家
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
k8s之RBAC 详解(基于角色的访问控制)
qfyangsheng的博客
08-19 1593
一个实验搞定RBAC RBAC基于角色的访问控制--全拼Role-Based Access Control ​ Service Account为服务提供了一种方便的认证机制,但它不关心授权的问题。可以配合RBAC来为Service Account鉴权 ​ 在Kubernetes中,授权有ABAC(基于属性的访问控制)、RBAC(基于角色的访问控制)、Webhook、Node、AlwaysDeny(一直拒绝)和AlwaysAllow(一直允许)这6种模式。 ​ 在RABC API中,通过如下的步骤进行授权
k8s-身份认证与权限
Mclaughling的博客
10-28 4556
k8s-身份认证与权限 K8s中的用户 k8s中的有两类型的用户:被k8s集群管理的服务账号 ( Service Account Pod 对象)和常规用户 (User Account 现实中的“人”)。 **User Account(用户账号):**一般是指由独立于Kubernetes之外的其他服务管理的用户账号,例如由管理员分发的密钥、Keystone一类的用户存储(账号库)、甚至是包含有用户名和密码列表的文件等。Kubernetes中不存在表示此类用户账号的对象, 因此不能被直接添加进 Kubernet
【Kubernetes运维篇】RBAC认证授权详解(一)
秦子腾
07-08 1万+
RBAC是一种基于角色访问控制方式,它将权限和角色相关联,用户加入到角色中,就会拥有角色中的权限,RBAC的核心思想是,将权限赋予给角色,角色中加入多个用户,加入进来的用户会具有角色的权限,如果修改权限也是针对角色进行操作,而不是针对每个用户进行权限操作,这样效率太低了。官方中文参考文档在K8S准入控制器的模块有很多,其中比较常用的有LimitRanger、ResourceQuota、ServiceAccount,也是K8S默认启用的准入模块(具体看K8S版本),我们只需要定义对应的规则即可。
Kubernetes APIServer 几种基本认证方式
最新发布
weixin_40721803的博客
07-16 13
"认证",形象地理解就是"你是谁"。在上文中,用户A在发起API请求时,管理员如何道该请求是用户A发起的呢?所以,客户端在发起API请求时,必须要携带一个身份信息来表明"我是谁",Apiserver在收到请求后,需要对这个身份信息进行认证(“不是你说你是谁,你就是谁,而是我核实你是谁,你才是谁”)在认证授权中,有两个重要...
prometheus监控k8s集群
fengge55的博客
04-14 8911
prometheus监控k8s集群 实现思路 pod性能: 使用cadvisor进行实现,监控容器的CPU、内存利用率 Node性能: 使用node-exporter实现,主要监控节点CPU、内存利用率 K8S资源对象: 使用kube-state-metrics实现,主要用于监控pod、deployment、service k8s基础环境准备 IP 角色 192.128.232.11 k8s-master,nfs 192.128.232.12...
kubernetes安全控制认证授权(一)
热门推荐
程序源234的专栏
07-22 2万+
kubernetes 对于访问 API 来说提供了两个步骤的安全措施:认证授权认证解决用户是谁的问题,授权解决用户能做什么的问题。通过合理的权限管理,能够保证系统的安全可靠。通俗的讲,认证就是验证用户名密码,授权就是检查该用户是否拥有权限访问请求的资源。
K8s-cks进阶技能攻略
02-07
Kubernetes准入控制器(Admission Controllers)是一段代码,它会在请求通过认证授权之后、对象被持久化之前,拦截到达API服务器的请求。Mutating控制器可以修改他们所处理的对象,而Validating则不会。如果验证的...
k8s-ingress-claim:一种可以防止对HostsDomain进行意外重复声明的准入控制策略
05-02
k8s-ingress-claim提供了一种准入控制策略,可防止现有入口已经声明的入口意外重复请求主机/域。 执行 这被实现为 ,其中k8s-ingress-claim服务作为部署在每个集群上运行。 Webhook配置为将对ingress资源的CREATE和...
k8s-namespace-guard:K8s-用于保护名称空间的准入控制
05-18
k8s-namespace-guard k8s-namespace-guard提供了一种准入控制策略,可防止意外删除集群名称空间。执行这是作为实施的,其中k8s-namespace-guard服务作为部署在每个集群上运行。 Webhook配置为将对namespace资源上的...
最新版K8S cks 1.24 EXAM练习备考必备
11-03
K8S CKS 1.24 EXAM 练习备考必备 Kubernetes Security Specialist certification is a highly respected certification in the field of container orchestration and cloud computing. This certification aims to...
k8s架构浅析
02-24
Kubernetes具备完善的集群管理能力,包括多层次的安全认证准入机制、多租户应用支撑能力、透明的服务注册和服务发现机制、内建负载均衡器、故障发现和自我修复能力、服务滚动升级和在线扩容、可扩展的资源自动调度...
Kubernetes_认证授权_UserAccount_用户账号各种认证方式
毛毛的专栏
10-23 1422
梳理出UserAccount用户账号一条线
k8s基础11——安全控制之RBAC用户授权、RBAC用户组授权、SA程序授权
百慕卿君博客
05-14 1776
1、K8s安全框架和基本概念。 2、RBAC用户授权、用户组授权、sa程序授权
Kubernetes基础:Token方式使用Restful API
知行合一 止于至善
09-03 5982
这篇文章结合curl命令介绍一下使用token方式访问Restful API的方式。
Kubernetes-认证
好记性不如烂笔头
05-02 8215
https://kubernetes.io/docs/admin/authentication/Kubernetes中的用户所有Kubernetes集群有两类用户:由Kubernetes管理的服务帐户和正常用户。正常用户是假定被外部或独立服务管理的。管理员分配私钥,用户像Keystone或google账号一样,被存储在包含用户名和密码列表的文件里。在这点上,Kubernetes没有代表正常用户帐户的
k8s https 认证部署配置相关总结
qianggezhishen的专栏
05-22 1万+
在创建pod时,经常会出现如下问题: E0522 15:22:33.202410 7 authentication.go:64] Unable to authenticate the request due to an error: [invalid bearer token, [invalid bearer token, crypto/rsa: verification error]] ...
k8s 认证 token 生成
weixin_30307921的博客
05-18 2946
接着上面的博客写   pwd   /etc/kubernetes   echo "`head -c 16 /dev/urandom | od -An -t x | tr -d ' '`,kubelet-bootstrap,10001,\"system:kubelet-bootstrap\"" > token.csv   cat token.csv 也可以使用上面的命令在工作中生成随...
k8s使用token连接集群
运维求生之路
02-23 1182
创建dashboard-admin SA并绑定ClusterRole:cluster-admin apiVersion: v1 kind: ServiceAccount metadata: name: dashboard-admin namespace: kube-system --- kind: ClusterRoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: name: dashboard-admin subjects
K8S 中的webhook
03-06
它可以用于验证、修改或拒绝Kubernetes API请求。Webhook可以与Kubernetes的...使用Webhook可以实现更灵活和定制化的访问控制策略,同时也可以将认证授权的逻辑外置到独立的服务中,提高了系统的可维护性和扩展性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

运维家

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值