企业级容器技术 k8s api server访问控制

最新推荐文章于 2023-12-19 05:00:00 发布
置顶 最新推荐文章于 2023-12-19 05:00:00 发布
阅读量540 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/passnetY/article/details/104640869
版权

访问控制需要如下三点
1.认证,针对用户,分别可以进入的用户,认证方式有8种,只要通过一种就不再进行其他方式认证。
2.授权 ** <-决定可以使用哪些东西
3.准入控制

认证

认证信息我们一般会写在yaml文件中,但是这种方法是很不安全的,因为普通用户可以直接查看到这个文件,

kubectl create secret docker-registry myregistrykey --docker-server=passyt.com --docker-username=admin --docker-password=aekhg777 --docker-email=passyt@passyt.com  ##首先创建一个secret
kubectl describe sa admin  ##接着创建一个用户
kubectl edit sa admin ##修改这个用户的Image pull secrets的信息。
imagePullSecrets:##将这个加入
- name: myregistrykey
##在需要认证信息的yaml文件中加入sa的名字即可。
  serviceAccountName: admin

创建这个admin也会生成一个文件。文件位置在*/etc/kubernetes/admin.conf*,直接使用这个saName就可以进行认证,说白了就是直接拷贝了这个文件到部署的节点。

用户认证

进入/etc/kubernetes/pki目录,这个目录存在所有的证书,在这个目录中创建一个证书。

[root@server1 pki]# openssl genrsa -out test.key 2048
[root@server1 pki]# openssl req -new -key test.key -out test.csr -subj "/CN=test" ##创建一个证书请求
[root@server1 pki]# openssl x509 -req -in test.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out test.crt -days 365  ##通过证书请求让k8s搬一个有效期一年的证书
[root@server1 pki]# openssl x509 -in test.crt -text -noout
Certificate:
    Data:
        Version: 1 (0x0)
        Serial Number:
            f8:f8:8a:45:a7:80:d5:f5
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: CN=kubernetes
        Validity
            Not Before: Mar  2 15:00:45 2020 GMT
            Not After : Mar  2 15:00:45 2021 GMT
        Subject: CN=test
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:c1:fc:ee:07:b8:0f:92:4e:68:d5:ba:03:80:21:
                    e3:1a:35:90:d6:89:af:d2:7e:74:c3:78:65:ad:4d:
                    cf:65:fb:d2:00:d3:a5:bb:ce:b0:a6:63:d9:bc:39:
                    e6:b7:f3:de:42:56:74:b0:9b:bf:a4:cf:a6:f1:3c:
                    f4:ea:ba:d1:26:0b:f3:5c:4e:ae:6f:b8:2f:c9:0e:
                    82:00:c3:18:ee:59:b4:b4:57:1e:2f:0d:3d:cf:ec:
                    2c:e6:ec:7d:ce:2d:44:d2:28:42:47:22:8c:96:d2:
                    d4:f9:21:20:80:3e:ba:23:ce:a3:35:16:98:14:53:
                    78:87:0c:71:f3:37:4b:b4:80:be:b8:09:be:f1:63:
                    13:a1:fd:ae:f4:2f:eb:d2:19:3d:8a:85:22:6d:49:
                    5e:0b:13:66:dc:74:e3:db:c1:53:fb:6b:7c:8f:b3:
                    db:f0:cc:54:f3:91:4c:e9:fd:06:bc:6b:47:9a:f6:
                    7e:de:f5:13:b9:52:80:93:2a:b5:5f:96:9b:2e:68:
                    d1:ac:69:b9:59:9d:6e:58:a9:d5:17:12:a4:27:7b:
                    41:0e:47:32:e0:b9:8d:96:cf:40:83:02:d5:d2:17:
                    ea:82:e2:8d:c5:34:7d:02:a1:30:06:6e:00:c9:87:
                    ac:4f:14:17:d5:7d:1f:9e:57:b9:b9:f8:4c:06:d3:
                    8c:83
                Exponent: 65537 (0x10001)
    Signature Algorithm: sha256WithRSAEncryption
         4c:0c:83:05:65:44:9a:6e:22:dc:f6:58:2f:96:73:a7:ca:ae:
         86:96:50:ba:4c:74:cd:32:47:4b:82:74:6f:aa:d1:7e:fe:c3:
         47:06:1c:81:c8:4f:4c:56:e1:c0:27:32:db:f5:ee:12:f2:35:
         93:91:ba:1a:7f:59:aa:99:13:14:28:50:a5:e2:70:4e:35:0c:
         cc:b4:72:38:6d:c3:f2:4b:40:95:34:fc:59:a8:80:f6:8f:fc:
         09:1d:1b:0f:e7:1f:f1:72:04:af:4b:ea:91:40:c5:c6:e8:36:
         4b:65:e2:b1:30:c5:3c:e0:93:b7:21:7d:79:73:c9:da:e6:a4:
         87:4c:6d:39:7d:b5:b7:7c:d3:7f:cb:98:37:aa:e1:c3:c4:6b:
         36:35:34:ce:34:36:83:d8:18:5b:68:1e:d1:18:c9:60:0d:79:
         6b:75:b5:71:e6:85:1a:d6:8e:4e:25:7d:48:77:ff:f2:f8:9f:
         8a:6e:14:19:a8:9a:87:e5:89:42:d9:07:93:53:52:80:98:9d:
         e1:9d:cf:af:32:a8:f3:af:f4:62:f1:38:f7:5f:37:9a:a7:e9:
         d0:d3:76:06:f3:32:93:2e:ca:27:c8:c9:80:ae:57:8c:c6:5a:
         58:66:ba:40:49:a2:02:21:f5:fc:1d:34:f9:20:a8:1b:59:cf:
         79:c8:c8:9c

切换到kubeadm用户中查看k8s的信息。

[kubeadm@server1 ~]$ kubectl config view
    cluster: kubernetes  ##集群是k8s
    user: kubernetes-admin   ##用户只有一个

下来需要再添加一个用户。

[kubeadm@server1 pki]$ kubectl config set-credentials test --client-certificate=/etc/kubernetes/pki/test.crt --client-key=/etc/kubernetes/pki/test.key --embed-certs=ture  ##添加一个test用户

将认证信息进行添加,最后的参数是将路径隐藏,更为安全。
创建完成之后

[kubeadm@server1 pki]$ kubectl config view 
- name: test
  user:

里面会多一个用户
用户创建完成下面就需要进行用户的切换。
首先将用户进行添加

[kubeadm@server1 pki]$ kubectl config set-context test@kubernetes --cluster=kubernetes --user=test 
[kubeadm@server1 pki]$ kubectl config use-context test@kubernetes  ##用户切换
Switched to context "test@kubernetes".
[kubeadm@server1 pki]$ kubectl config current-context 
test@kubernetes   ##切换完成

这个时候我们查看pod

[kubeadm@server1 pki]$ kubectl get pod
Error from server (Forbidden): pods is forbidden: User "test" cannot list resource "pods" in API group "" in the namespace "default"

下面的提示为Forbidden被拒绝掉了,原因在于认证已经通过但是没有做授权。

授权

我们切换回去,使用kubernetes-admin进行授权。
RBAC基于角色访问控制权。
RBAC只有授权,没有拒绝授权,只用定义允许做什么
创建一个角色

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: myrole
  namespace: default
rules:  ##规则
- apiGroups: [""]  ##子资源
  resources: ["pods"]  ##专门针对pod
  verbs: ##给的权限 ["get","watch","list","create","update","patch","delete"]

使用这个文件创建一个角色

[kubeadm@server1 rbac]$ kubectl get role
NAME     AGE
myrole   8s
这样就多了一个角色,角色创建完成下来就需要进行绑定。
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: test-read-pods
  namespace: default
subjects:
- kind: User
  name:test  ##用户test
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: myrole  ##绑定角色
  apiGroup: rbac.authorization.k8s.io

这样就将之绑定到test用户上了。之后我民进行用户的切换,这样操作就不会被拒绝了。

[kubeadm@server1 rbac]$ kubectl config use-context test@kubernetes 
Switched to context "test@kubernetes".
[kubeadm@server1 rbac]$ kubectl get pod
NAME    READY   STATUS    RESTARTS   AGE
mypod   1/1     Running   1          22h

但是这种操作只限于pod,其余任何东西还是会被拒绝。

[kubeadm@server1 rbac]$ kubectl get sa
Error from server (Forbidden): serviceaccounts is forbidden: User "test" cannot list resource "serviceaccounts" in API group "" in the namespace "default"

同时这个权限只能在当前pod中使用,如果我们需要一片的权限那么就需要集群调用了,或者设置更多的api
创建用户

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole  ##类型
metadata:
  name: myclusterrole
  namespace: default
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get","watch","list","create","update","delete"]  
- apiGroups: ["extensions","apps"] ##子api类型
  resources: ["deployment"]
  verbs: ["get","watch","list","create","update","patch","delete"]

创建完成后只是一个角色,不能使用,想要使用那么先要进行绑定。

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: rolebind-myclusterrole
  namespace: default
subjects:
- kind: User
  name: test
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: myclusterrole
  apiGroup: rbac.authorization.k8s.io
[kubeadm@server1 rbac]$ kubectl get rolebindings.rbac.authorization.k8s.io 
NAME                     AGE
rolebind-myclusterrole   22s
test-read-pods           124m

这样再切换用户也是可以查询更多的,但是这个不能跳出ns,否则还是没有权限的。
创建集群角色绑定

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding  ##集群
metadata:
  name: clusterrolebinding-myclusterrole##这里不设置ns因为面对所有的ns
subjects:
- kind: User
  name: test
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: myclusterrole
  apiGroup: rbac.authorization.k8s.io

使用这种方式可以访问整个ns不受限制。

passnetY
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring-cloud-kubernetes 远程访问k8s apiserver
li_a_long的博客
05-09 758
k8s集群apiserver访问方式 1、通过证书认证 2、通过token认证 本地开发spring-cloud-k8s时使用token访问apiserver 1、获取token kubectl get secret `kubectl get secret -n kube-system |grep cluster |awk '{print $1}'` -n kube-system -o json | jq .data.token |sed 's/"//g'| base64 -d 2、项目情况可以看上篇博
k8s流控平台apiserver详解
最新发布
m0_51586984的博客
06-28 1322
panic处理,不会因为某个携程panic干掉进程audit 审计的必要性impersonation暂时理解为一大堆k8s集群, 开始做数据传输是http协议,header过来的时候加一点信息,集群联邦过来的时候改一点信息max-in-flight:做限流的,多少在路上,上限是多少,是否拒绝鉴权kube-aggregator&crds这里是判断request是不是标准的k8s对象,是的话,判断不是的话json做反序列化为go的对象做conversion。
实战:prometheus监控k8s集群里的容器和apiserver-2022.5.2(测试成功)
weixin_39246554的博客
05-02 879
目录 文章目录目录实验环境实验软件前置条件实践1:容器监控基础知识1、使用node的服务发现实现对kubelet进行监控2、方法1:直接配置`__metrics_path`选项3、方法2:使用`relabel`功能4、标签查询实践2:监控 apiserver基础知识1、查看集群apiserver2、在 ConfigMap 对象中添加上一个 Endpoints 类型的服务的监控任务3、使用relabel_configs里的`keep动作`4、验证关于我最后 实验环境 k8s:v1.22.2(1 master.
通过k8s访问mysql数据库
fxtxz2的专栏
08-13 5670
问题 想要通过k8s的pod节点访问mysql数据库,前提是k8s集群与mysql在同一个网络之中。 访问mysql kubectl run mysql-client -it --rm --image=mysql -- mysql -u root -h rds.com -p 说明: 这一行命令的意思就是通过mysql的镜像创建一个pod,然后通过这个pod运行mysql命令行客户端来访问内网中的mysql数据库。等待一回,输入数据库账号密码即可。 导出数据 kubectl run mysql-client
开发apiserver实现一个容器镜像白名单的 K8S 准入控制器
m0_51445191的博客
06-03 245
在这一步之前需要创建secret,接着需要创建validatingwebhookconfigurations,mutatingwebhookconfigurations。我们使用go编写validate和mutate。我们把认证作为pod运行在集群中。dockerfile如下。
Kubernetes学习笔记,K8S学习
02-01
总的来说,Kubernetes是一个强大的工具,用于构建、管理和扩展微服务架构,它通过丰富的控制器、服务发现机制和自动化流程,为企业级容器化应用提供了强大支持。学习Kubernetes不仅可以提升运维效率,也是适应现代云...
容器适配经验分享-V2.1(已脱敏)-第1节-K8S容器入门.pptx
02-24
1. API Server:提供RESTful API,用于处理容器化应用程序的请求和响应。 2. Scheduler:负责容器化应用程序的调度,能够根据应用程序的需求自动分配资源和调整配置。 3. Controller Manager:管理控制中心,负责...
阿里Kubernetes(k8s)详解
09-02
4.3 CSE(云服务网格):构建企业级微服务架构,提供服务发现、治理、可观测性等能力。 五、Kubernetes扩展与生态 5.1 Ingress:提供外部访问Pod的路由规则,通常结合Ingress Controller实现。 5.2 Operator:用于...
k8s和kubesphere安装所需的yml文件
11-04
**KubeSphere**是基于Kubernetes构建的企业级多租户容器平台,它提供了更高级别的服务和功能,如工作负载管理、服务网格、DevOps、监控、日志、告警等。KubeSphere的YAML文件可能会包含一些额外的配置,以实现其特有...
kubeadm初始化k8s证书过期解决方案
05-23
对于生产环境中的k8s集群,建议使用更专业的企业级证书管理方案,如使用Vault或Let's Encrypt等自动化的证书管理服务,以实现证书的自动化管理和续订,避免手动干预带来的风险。 4. **安全性和权限**: 在处理...
Kubernetes之kuberconfig--普通用户授权kubernetes集群
saynaihe的博客
10-10 1343
背景: 是这样的一个事情:服务运行于kubernetes集群(腾讯云tke1.20.6)。日志采集到了elasticsearch集群and腾讯的cls日志服务中。小伙伴看日志觉得还是不太方便,还是想看控制台输出的。给他们分配过一台服务器(加入到集群中,但是有污点标签的节点)。为了方便他们测试一下东西。现在想让他们通过此work节点可以在控制台查看日志。正常的就是把master节点的/root/.kube/目录下的config配置文件copy过来就可以了。但是这权限也太大了!重新复习一遍kubeconfig配
Kubernetes 容器编排(4)
m0_68695491的博客
12-19 2162
用于在容器中获取 POD 的基本信息,kubernetes原生支持Downward API提供了两种方式用于将 POD 的信息注入到容器内部:1.环境变量:用于单个变量,可以将 POD 信息直接注入容器内部。2.Volume挂载:将 POD 信息生成为文件,直接挂载到容器内部中去。
k8s登录_kubernetes 登陆为空解决办法
weixin_39940425的博客
12-21 881
创建一个群集管理服务帐户在此步骤中,我们将为仪表板创建服务帐户并获取其凭据。运行以下命令:此命令将在默认名称空间中为仪表板创建服务帐户kubectl create serviceaccount dashboard -n default将集群绑定规则添加到您的仪表板帐户kubectl create clusterrolebinding dashboard-admin -n default --cl...
已解决——cannot get resource ‘pods‘ in API group ‘‘ in the namespace ‘namespace-name‘ (K8s)问题
GoCloudNative - 云原生技术的探索者。
10-04 1192
您好,云原生的探险者们!猫头虎博主🐯在这里带来了一则关于Kubernetes的探讨——那就是面临的问题时,我们应该怎样挑战并且解决它呢?🚀在云原生领域中,我们经常会遇到Kubernetes的权限和资源管理问题。不过,不要担心,我们将一起深入研究这个问题的原因,解决方法,以及预防措施。🛡️在这次的探讨中,我们不仅解决了这个问题,还进一步了解了Kubernetes的权限和资源管理机制。🌈 这些知识和经验将成为我们云原生之旅中的宝贵财富,帮助我们在未来更好地应对挑战!🚀。
弹性架构设计之运维技术栈 (Docker基础技能【上】)
Coder_Boy_的博客
10-03 795
Docker与K8s基础 前提:安装 【虚拟机、CentOS 7.6】 Docker 概述 一个开源的应用容器引擎,可以轻松的为任何应用创建一个轻量级、可移植、自给自足的容器。 Docker平台就一个软件集装箱化的平台,将应用及其依赖一起打包到容器内,然后这个容器很容易运输到其他机器平台上,方便装载、复制、移除操作,非常适合软件的弹性架构。利于在开发、测试、部署生产 环境之间进行高效的应用程序生命周期的管理 背景 DevOps 微服务(Microservice) 云原生 物联网 敏捷开发 混合云
Kubernetes引入外部服务与外部数据源
专注基础架构领域
08-19 1502
Kubernetes中如何使用外部有状态服务,如mysql。
kubernetes(k8s):访问控制(认证+授权+准入控制)
weixin_43936969的博客
05-24 3983
文章目录1. kubernetes API 访问控制2. 认证 Authentication1 访问k8sAPI Server的客户端2 UserAccount 与 serviceaccount2.1 创建serviceaccount:2.2 添加secrets到serviceaccount中2.3 把serviceaccount和pod绑定起来2.4 创建useraccount3. 授权 Authorization3.1RBAC基于角色访问控制授权3.2 RoleBinding角色绑定3.3Cluste
Linux企业运维——Kubernetes(十三)访问控制
weixin_44310047的博客
08-23 363
Linux企业运维——Kubernetes(十三)访问控制 文章目录Linux企业运维——Kubernetes(十三)访问控制1、基本概念2、API Server认证2.1、ServiceAccount(SA)2.2、UserAccount(UA)3、授权 1、基本概念 kubernetes API 访问控制过程:认证、授权、准入控制 Authentication(认证) 认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。通常启用X509 Client C
K8S容器入门与Docker技术解析
"本次分享主要围绕K8S容器入门,由浅入深地介绍Docker容器技术和Kubernetes(K8S)容器编排引擎的基础知识,包括它们的技术架构、工作原理以及如何将应用部署到K8S平台。" 在当前的云计算环境中,容器技术已经成为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值