Kubernetes 集群安全机制详解

最新推荐文章于 2024-04-15 23:57:07 发布
置顶 最新推荐文章于 2024-04-15 23:57:07 发布
阅读量3.3k 收藏 14
点赞数 2
分类专栏: Kubernetes Kubernetes 文章标签: Kubernetes 安全 RBAC k8s 认证授权 k8s 账号 k8s HTTPS 双向认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qianghaohao/article/details/100012855
版权

本文主要介绍 Kubernetes 的安全机制,如何使用一系列概念、技术点、机制确保集群的访问是安全的,涉及到的关键词有:api-server,认证,授权,准入控制,RBAC,Service Account,客户端证书认证,Kubernetes 用户,Token 认证等等。虽然涉及到的技术点比较琐碎,比较多,但是了解整个机制后就很容易将其串起来,从而能很好地理解 Kubernetes 集群安全机制。本文结构如下:

  • Kubernetes api-server 安全访问机制;
  • Kubernetes 认证方式之客户端证书(TLS);
  • Kubernetes 授权方式之 RBAC 介绍;
  • Kubernetes 中两种账号类型介绍;
  • 实践:基于客户端证书认证方式新建 Kubeconfig 访问集群;
  • 实践:Kubeconfig 或 token 方式登陆 Kubernetes dashboard;

Kubernetes api-server 安全访问机制

kube-apiserver 是 k8s 整个集群的入口,是一个 REST API 服务,提供的 API 实现了 Kubernetes 各类资源对象(如 Pod,RC,Service 等)的增、删、改、查,API Server 也是集群内各个功能模块之间交互和通信的枢纽,是整个集群的总线和数据中心。
在这里插入图片描述

由此可见 API Server 的重要性了,我们用 kubectl、各种语言提供的客户端库或者发送 REST 请求和集群交互,其实底层都是以 HTTP REST 请求的方式同 API Server 交互,那么访问的安全机制是如何保证的呢,总不能随便来一个请求都能接受并响应吧。API Server 为此提供了一套特有的、灵活的安全机制,每个请求到达 API Server 后都会经过:认证(Authentication)–>授权(Authorization)–>准入控制(Admission Control) 三道安全关卡,通过这三道安全关卡的请求才给予响应:
在这里插入图片描述

认证(Authentication)

认证阶段的工作是识别用户身份,支持的认证方式有很多,比如:HTTP Base,HTTP token,TLS,Service Account,OpenID Connect 等,API Server 启动时可以同时指定多种认证方式,会逐个使用这些方法对客户请求认证,只要通过任意一种认证方式,API Server 就会认为 Authentication 成功。高版本的 Kubernetes 默认认证方式是 TLS。在 TLS 认证方案中,每个用户都拥有自己的 X.509 客户端证书,API 服务器通过配置的证书颁发机构(CA)验证客户端证书。

授权(Authorization)

授权阶段判断请求是否有相应的权限,授权方式有多种:AlwaysDeny,AlwaysAllow,ABAC,RBAC,Node 等。API Server 启动时如果多种授权模式同时被启用,Kubernetes 将检查所有模块,如果其中一种通过授权,则请求授权通过。 如果所有的模块全部拒绝,则请求被拒绝(HTTP状态码403)。高版本 Kubernetes 默认开启的授权方式是 RBAC 和 Node。

准入控制(Admission Control)

准入控制判断操作是否符合集群要求,准入控制配备有一个“准入控制器”的列表,发送给 API Server 的每个请求都需要通过每个准入控制器的检查,检查不通过,则 API Server 拒绝调用请求,有点像 Web 编程的拦截器的意思。具体细节在这里不进行展开了,如想进一步了解见这里:Using Admission Controllers

Kubernetes 认证方式之客户端证书(TLS)

通过上一节介绍我们知道 Kubernetes 认证方式有多种,这里我们简单介绍下客户端证书(TLS)认证方式,也叫 HTTPS 双向认证。一般我们访问一个 https 网站,认证是单向的,只有客户端会验证服务端的身份,服务端不会管客户端身份如何。我们来大概看下 HTTPS 握手过程(单向认证):

  1. 客户端发送 Client Hello 消息给服务端;
  2. 服务端回复 Server Hello 消息和自身证书给客户端;
  3. 客户端检查服务端证书的合法性,证书检查通过后根据双方发送的消息生成 Premaster Key,然后用服务端的证书里面的公钥加密 Premaster Key 并发送给服务端 ;
  4. 服务端通过自己的私钥解密得到 Premaster Key,然后通过双方协商的算法和交换的消息生成 Session Key(后续双方数据加密用的对称密钥,客户端也能通过同样的方法生成同样的 Key),然后回复客户端一个消息表明握手结束,后续发送的消息会以协商的对称密钥加密。

关于 HTTPS 握手详细过程见之前文章:「Wireshark 抓包理解 HTTPS 协议

HTTPS 双向认证的过程就是在上述第 3 步的时候同时回复自己的证书给服务端,然后第 4 步服务端验证收到客户端证书的合法性,从而达到了验证客户端的目的。在 Kubernetes 中就是用了这样的机制,只不过相关的 CA 证书是自签名的:
在这里插入图片描述

Kubernetes 授权方式之 RBAC 介绍

基于角色的访问控制(Role-Based Access Control, 即 RBAC),是 k8s 提供的一种授权策略,也是新版集群默认启用的方式。RBAC 将角色和角色绑定分开,角色指的是一组定义好的操作集群资源的权限,而角色绑定是将角色和用户、组或者服务账号实体绑定,从而赋予这些实体权限。可以看出 RBAC 这种授权方式很灵活,要赋予某个实体权限只需要绑定相应的角色即可。针对 RBAC 机制,k8s 提供了四种 API 资源:Role、ClusterRole、RoleBinding、ClusterRoleBinding。
在这里插入图片描述

  • Role: 只能用于授予对某一单一命名空间中资源的访问权限,因此在定义时必须指定 namespace;
    以下示例描述了 default 命名空间中的一个 Role 对象的定义,用于授予对 pod 的读访问权限:
    kind: Role
apiVer
最低0.47元/天 解锁文章
qhh0205
关注
  • 2
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kubernetes-----安全机制
qq_42761527的博客
05-24 684
一.kubernetes安全框架 管理kubernetes的有kubectl、api、UI界面 如下是k8s的安全框架图 安全认证流程:kubectl请求api资源,然后通过三层安全机制。 第一层是认证(Authentication),验证身份、用户名和密码或者token; 第二层是授权(Authorization)角色绑定(RBAC),以获得权限; 第三层是准入控制(Admission Control,资源使用限定)。 请求只有通过这三层安全机制,才会被k8s响应请求,创建资源。
Kubernetes中的证书工作机制详解
11-29
Kubernetes 是一个强大的容器编排系统,其内部的证书工作机制对于确保集群安全至关重要。Kubernetes 使用证书进行组件间的身份验证,以确保网络通信的安全性和可靠性。以下是对标题和描述中涉及的知识点的详细说明:...
Kubernetes 集群安全
果子哥丶的博客
10-07 629
Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介,也是外部控制的入口。所以Kubernetes安全机制基本就是围绕保护API Server来设计的。Kubernetes使用了认证(Authentication)、鉴权(Authorization)、准入控制(Admission Control)三步来保证API Server的安全
Kubernetes】k8s的安全管理详细说明【k8s框架说明、token验证和kubeconfig验证详细说明】
最新发布
罗斯洛夫韩
04-15 911
先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前阿里P7深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年最新网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。 既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上网络安全知识点,真正体系化!由于文件比较多,这里只是将部分目录截图出来,全套包含大厂
13. 集群安全
木易进
04-19 480
文章目录K8S安全机制说明Authentication 认证HTTPS 证书需要认证的节点两种类型安全性说明证书颁发KubeconfigServiceAccountSecret 与 SA 的关系Authorization 鉴权RBAC 授权模式RBAC 的 API 资源对象说明Role and ClusterRoleRoleBinding and ClusterRoleBindingResourcesto Subjects==实践:创建一个名为devuser的用户,只能管理 dev namespace下的
集群安全模式
youif的博客
08-16 4508
概述 1、NameNode启动 NameNode启动时,首先将镜像文件(Fsimage)载入内存,并执行编辑日志(Edits)中的各项操作。一旦在内存中成功建立文件系统元数据的映像,则创建一个新的Fsimage文件和一个空的编辑日志。此时,NameNode开始监听DataNode请求。这个过程期间,NameNode一直运行在安全模式,即NameNode的文件系统对于客户端来说是只读的。 2、DataNode启动 系统中的数据块的位置并不是由NameNode维护的,而是以块列表的形式存储在DataNode.
kubernetes调度原理详解
04-19
Limit Range 是 Kubernetes 集群中的一种资源限制机制,允许管理员限制容器的资源消耗。通过 Limit Range,可以限制容器的 CPU 和内存使用,以避免某些容器占用过多的资源,影响集群的整体性能。 在 Limit Range 中...
在centos 7中安装配置k8s集群的步骤详解
01-20
kubernetes是google开源的容器集群管理系统,提供应用部署、维护、扩展机制等功能,利用kubernetes能方便管理跨集群运行容器化的应用,简称:k8s(k与s之间有8个字母) 为什么要用kubernetes这么复杂的docker集群...
tftp-monitor:该脚本将通过电子邮件通知管理员,有人试图强行运行在Kubernetes集群节点上的TFTP服务。 该单品部署在Kubernetes
04-01
“tftp-monitor”是一个脚本,它被设计用来监控Kubernetes集群节点上可能被强行启动的TFTP服务。TFTP(Trivial File Transfer Protocol)是一种简单文件传输协议,通常用于网络设备配置或系统恢复。当有人尝试在不...
k8s集群安全机制
rabies的博客
10-29 542
1、概述: (1)访问k8s集群的时候,需要经过三个步骤完成具体操作 第一步:认证操作 第二步:鉴权(授权) 第三步:准入控制 (2)进行访问时候,过程中都需要经过apiserver,apiserver做统一协调,比如门卫。 访问过程中需要证书、token、或者用户名+密码 如果访问Pod,需要serviceAccount 第一步认证 传输安全 * 传输安全: 对外不暴露8080端口,只能内部访问,对外使用端口6443 * 认证 ...
(9):集群安全机制
Jason的博客
07-25 110
任何访问k8s集群资源的操作(比如创建Pod、访问controller、service等),都需要首先经过3个步骤:认证、鉴权(授权)、准入控制。 一、认证 传输安全 集群对外不暴露8080端口,8080只能内部访问,对外使用的是6443端口。 客户端认证 https证书认证,基于CA证书 http token认证,通过token识别用户 http基本认证,用户名+密码认证 二、鉴权 基于RBAC模式:基于角色的访问控制,用户绑定角色,角色有的权限,用户就可以做相应的操作。除了k8s,在jav.
Kubernetes集群的安全配置
大树叶 技术专栏
11-25 4267
使用kubernetes/cluster/kube-up.sh脚本在装有Ubuntu操作系统的bare metal上搭建的Kubernetes集群并不安全,甚至可以说是“完全不设防的”,这是因为Kubernetes集群的核心组件:kube-apiserver启用了insecure-port。insecure-port背后的api server默认完全信任访问该端口的流量,内部无任何安全机制
#yyds干货盘点# Kubernetes 如何保障集群安全?(21)
wangzan18的博客
02-27 196
Kubernetes 作为一个分布式集群的管理工具,提供了非常强大的可扩展能力,可以帮助你管理容器,实现业务的高可用性和弹性能力,保障业务的规模。现在也有越来越多的企业正在逐步将核心应用部署到 Kubernetes 集群中。 但是当业务规模扩大,集群的承载能力变大的时候,Kubernetes 平台自身的安全性...
HDFS(八):集群安全模式及其应用场景
05-07 144
集群安全模式操作 1.概述 Namenode启动流程:首先将映像文件(fsimage)载入内存,并执行编辑日志(edits)中的各项操作。一旦在内存中成功建立文件系统元数据的映像,则创建一个新的fsimage文件和一个空的编辑日志。此时,namenode开始监听datanode请求。但是此刻,namenode运行在安全模式,即namenode的文件系统对于客户端来说是只读的。 系统中的数据块...
深入分析集群安全机制
ljran0612的专栏
12-20 323
kubernetes通过一系列机制来实现集群的安全控制,其中包括API Server的认证授权、准入控制机制及保护敏感信息的Secret机制等。集群的安全性必须考虑如下几个目标:1、保证容器与其所在宿主机的隔离2、限制容器给基础设施或其他容器带来的干扰3、最小权限原则—合理限制所有组件的权限,确保组件只执行它被授权的行为,通过限制单个组件的能力来限制它的权利范围4、明确组件间边界的划分5、划分普通用户和管理员的角色6、在必要时允许将管理员权限赋予给普通用户。
kubernetes 集群安全机制
vito
05-15 953
一、概述 kubernetes通过一系列安全机制来实现集群的安全控制,以下从几个方面来保证集群安全 Authentication: API Server认证管理 Authorization:API Server授权管理 Admission Control 准入控制 Service Account Secret 二、逐个安全机制总结 1、Authentication ...
kubernetes集群部署
09-15
Kubernetes集群部署可以分为以下几个步骤: 1. 安装Kubernetes集群:可以使用kubeadm工具来安装Kubernetes集群。在每台服务器上执行以下命令来安装必需的软件包和启用kubelet服务: ```shell swapoff -a yum install --setopt=obsoletes=0 kubelet-1.27.2-0 kubeadm-1.27.2-0 kubectl-1.27.2-0 -y systemctl enable kubelet && systemctl start kubelet ``` 2. 创建集群资源:根据配置文件,使用kubectl apply命令来创建集群所需的资源,比如Pod、Service等: ```shell kubectl apply -f xxxx.yaml ``` 3. 查看集群状态:使用kubectl get命令可以查看集群的节点信息和部署的应用: ```shell kubectl get nodes kubectl get pod -A ``` 4. 解决DNS解析问题:如果在集群中的Pod无法解析到Service的DNS,请进入某一个Pod,并执行以下命令来检查DNS解析情况: ```shell nslookup DNS-name ``` 如果无法正常解析,可以尝试重启kube-proxy来解决: ```shell kubectl get pod -n kube-system | grep kube-proxy | awk '{print $1}' | xargs kubectl delete pod -n kube-system ``` 总结一下,部署Kubernetes集群的步骤包括安装Kubernetes软件包、创建集群资源、查看集群状态和解决DNS解析问题。通过这些步骤,您可以成功部署和管理Kubernetes集群。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值