Kubernetes认证和准入控制

已于 2024-04-14 08:41:19 修改
阅读量811 收藏 15
点赞数 23
分类专栏: kubernetes 文章标签: kubernetes 容器 认证授权准入控制
于 2024-04-13 21:02:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq42004/article/details/137725131
版权

前言

在Kubernetes中,认证(Authentication)、授权(Authorization)和准入控制(Admission Control)是安全性的关键组成部分。在之前部署的StorageClass和fluentd中我们都是用的角色授权,在Namespace中权限控制就是为Namespace设置角色访问控制策略(RBAC)这些都涉及到Kubernetes中的认证->授权->准入控制。在用户访问Kubernetes集群的时候都要经历认证->授权->准入控制。

  • 认证(Authenticating)是对客户端的认证,通俗点就是用户名密码验证
  • 授权(Authorization)授权是确定用户或实体是否具有执行特定操作的权限,是对资源的授权。Kubernetes中的资源无非是容器,最终其实就是容器的计算,网络,存储资源,当一个请求经过认证后,需要访问某一个资源(比如创建一个pod),授权检查都会通过访问策略比较该请求需要的的属性资源,(比如用户,资源和Namespace),根据授权规则判定该资源(比如某Namespace下的Pod)是否是该客户可访问的。
  • 准入控制(Admission Control)是Kubernetes的一种安全机制,用于在资源创建或修改之前对请求进行审查和验证。准入控制可以基于各种条件对请求进行筛选,例如,可以拒绝创建特定类型的资源、修改某些字段的值,或者强制执行特定的安全策略。Kubernetes 提供了一组内置的准入控制器,并允许用户编写自定义的准入控制器来满足特定的需求。

认证

  • kubernetes上的账号
    kubectl explain pods.spec可以看到有一个字段serviceAccountName(服务账号名称),这个就是我们pod连接apiserver时使用的账号,因此整个kubernetes集群中的账号有两类,ServiceAccount(服务账号),User account(用户账号)。

Service Accounts(服务账号)

用于给Pod授权访问Kubernetes API的一种身份标识是一种资源。每个命名空间都有一个默认的服务账号,可以用来控制Pod对集群资源的访问权限。

User Accounts是为人设计的,Service account则是为Pod中的进程调用Kubernetes API而设计的,User account是跨namespace的,而Service account则是仅局限它所在的Namespace;每个Namespace都会自动创建一个default service account;系统会自动在与该pod 相同的 namespace 下为其指派一个default service account。而pod和apiserver之间进行通信的账号,称为serviceAccountName。如下:

在命名空间default下创建Pod查看:    
root@master yaml]# kubectl get pods nginx-dy-6457fcbd6-c2jx9  -o yaml | grep "serviceAccountName"
 serviceAccountName: default

创建sa:

apiVersion: v1
kind: ServiceAccount
metadata:
  name: bwk
  namespace: default 
secrets:
- name: bwk-token
---
apiVersion: v1
kind: Secret
metadata:
  name: bwk-token
  namespace: default
  annotations:
    kubernetes.io/service-account.name: bwk
type: kubernetes.io/service-account-token

查看创建的sa账户

 [root@master ~]# kubectl get secret,sa
NAME               TYPE                                  DATA   AGE
secret/bwk-token   kubernetes.io/service-account-token   3      5h6m

NAME                     SECRETS   AGE
serviceaccount/bwk       1         5h6m
serviceaccount/default   0         33d

 [root@master ~]# kubectl describe sa bwk
Name:                bwk
Namespace:           default
Labels:              <none>
Annotations:         <none>
Image pull secrets:  <none>
Mountable secrets:   bwk-token
Tokens:              bwk-token
Events:              <none>

User Accounts(用户账号)

用于代表真实的用户或实体访问Kubernetes集群(登陆k8s物理机器的用户)。通常由集群管理员管理,并且通常与外部的身份验证和授权系统集成,如 LDAP、OAuth 等。

  • kubeconfig文件

在K8S集群当中,每一个用户对资源的访问都是需要通过apiserver进行通信认证才能进行访问的,那么在此机制当中,对资源的访问可以是token,也可以是通过配置文件的方式进行保存和使用认证信息,可以通过kubectl config进行查看配置(存放位置/root/.kube/)。

[root@master .kube]# kubectl config view
	apiVersion: v1
	clusters:
	- cluster:
	    certificate-authority-data: DATA+OMITTED
	    server: https://192.168.0.100:6443 #apiserverurl的地址
	  name: kubernetes                     #集群名称
	contexts:                              #定义 那个用户可以访问那个集群
	- context:
	    cluster: kubernetes
	    user: kubernetes-admin
	  name: kubernetes-admin@kubernetes   #上下文的名字,就是使用kubernetes-admin对k8s集群进行验证
	current-context: kubernetes-admin@kubernetes #当前上下文的名字kubernetes-admin它属于kubernetes集群
	kind: Config
	preferences: {}
	users:                                #定义用户
	- name: kubernetes-admin
	  user:
	    client-certificate-data: DATA+OMITTED
	    client-key-data: DATA+OMITTED

使用kubectl get svc 看到集群名称是kubernetes

[root@master .kube]# kubectl get svc 
NAME         TYPE        CLUSTER-IP   EXTERNAL-IP   PORT(S)   AGE
kubernetes   ClusterIP   10.96.0.1    <none>        443/TCP   33d

clusters、contexts、users为对象列表可以定义多个集群,contexts,users。

授权

授权是确定用户或实体是否具有执行特定操作的权限。在认证通过后,Kubernetes将用户的请求与访问策略(如 RBAC规则)进行匹配,以确定用户是否被授予执行所请求操作的权限。是基于插件形式的,其常用的授权插件有以下几种:Node(节点认证)、ABAC(基于属性的访问控制)、RBAC(基于角色的访问控制)、Webhook(基于http回调机制的访问控制)其中RBAC日常经常用到。

什么是RBAC

让一个用户(Users)扮演一个角色(Role),角色拥有权限,从而让用户拥有这样的权限,随后在授权机制当中,只需要将权限授予某个角色,此时用户将获取对应角色的权限,从而实现角色的访问控制。

当采用RBAC的方式进行授权时,把对对象(k8s的资源一类)的操作权限定义到一个角色当中,再将用户绑定到该角色,从而使用户得到对应角色的权限。如果是通过rolebinding绑定role,只能对rolebingding所在的名称空间的资源有权限,属于名称空间级别的。

Kubernetes还有集群级别的授权机制,就是定义一个集群角色(ClusterRole),对集群内的所有资源都有可操作的权限,从而将User通过ClusterRoleBinding到ClusterRole,从而使User拥有集群的操作权限。Role、RoleBinding、ClusterRole和ClusterRoleBinding都是Kubernetes的资源对象,可以使用kubectl get xxx查看。
在这里插入图片描述

如图用户UserA,UserB都可以通过RoleBinding绑定Role,RoleBinding绑定ClusterRole,ClusterRoleBinding绑定ClusterRole。RoleBinding仅仅对当前名称空间有对应的权限。

ClusterRole就是定义一个ClusterRole(集群级别的角色),对ClusterRole授予所有权限,然后用户通过RoleBinding绑定到ClusterRole,就会拥有自己名称空间的管理员权限了。它就是解决了业务量非常大的时候同样权限的授权问题。

部署授权

我们部署一个Dashboard请参考:https://blog.csdn.net/qq42004/article/details/136763984
初次登录Dashboard我们创建的token登录后是无法操作的没有任何授权。我们创建一个develop的命名空间下的一个ServiceAccount用户develop。yaml文件如下,使用ClusterRoleBinding绑定cluster-admin角色。

apiVersion: v1
kind: Namespace
metadata:
  name: develop
---
apiVersion: v1
kind: ServiceAccount
metadata:
  namespace: develop
  name: develop
secrets:
- name: develop-token
---
apiVersion: v1
kind: Secret
metadata:
  name: develop-token
  namespace: develop
  annotations:
    kubernetes.io/service-account.name: develop
type: kubernetes.io/service-account-token
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: develop-na 
  namespace: develop
roleRef: #kubectl explain ClusterRoleBinding.roleRef 中对roleRef的说明RoleRef只能引用全局命名空间中的ClusterRole。如果
         #无法解析RoleRef,授权人必须返回一个错误。此字段是不可变的。
         #RoleRef包含指向正在使用的角色的信息。kind只能是ClusterRole
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole 
  name: cluster-admin #定义角色,此角色来源kubectl get ClusterRoleBinding。角色可以自己定义。
subjects:  #定义被授权对象列表
- kind: ServiceAccount
  name: develop
  namespace: develop

获取token登录Dashboard:

[root@master ~]# kubectl describe secret develop-token -n develop
Name:         develop-token
Namespace:    develop
Labels:       kubernetes.io/legacy-token-last-used=2024-04-13
Annotations:  kubernetes.io/service-account.name: develop
              kubernetes.io/service-account.uid: 2b80ca2c-8010-4d43-9c96-c73005e5e5a6

Type:  kubernetes.io/service-account-token

Data
====
ca.crt:     1107 bytes
namespace:  7 bytes
token:      eyJhbGciOiJSUzI1NiIsImtpZCI6ImM4ZExJQ0RDQnJfVGxVSFAzMk9NT1FnZkR1Tk5LeXdkbVp1YUxuRjVoVkUifQ.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJkZXZlbG9wIiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZWNyZXQubmFtZSI6ImRldmVsb3AtdG9rZW4iLCJrdWJlcm5ldGVzLmlvL3NlcnZpY2VhY2NvdW50L3NlcnZpY2UtYWNjb3VudC5uYW1lIjoiZGV2ZWxvcCIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VydmljZS1hY2NvdW50LnVpZCI6IjJiODBjYTJjLTgwMTAtNGQ0My05Yzk2LWM3MzAwNWU1ZTVhNiIsInN1YiI6InN5c3RlbTpzZXJ2aWNlYWNjb3VudDpkZXZlbG9wOmRldmVsb3AifQ.qI1LjkMqmxews0OXjCmy_f5dHHa3QRG2onWCCafIBkkAT3fJBYCpyIaMGW-ns1yMHat4U2vEacuIJoz4CVUrQW6bFQegPl86gZADeMx3W8KDPx60bvvGKbmR40bx9pO9mao7w7A5DxjDC0stBZ53r0wl772_3mJ89RnA0CKTQ8RS5NQ0Wdhraww6zbrTqL2Wcd85QFg9okoDGJ6c_dh-SR-BC6qNKVON0EWX_9EZ-vmDM8I1iQH5cMXL9BM7OZwSSuRKO7ddb_oVdobpVKcSmJmodVXioPwM--b7uMyxjTbCG60dhIMZA1orgNBcS87D7a5xiBm97ctfvnG8ASEI3A

部署config文件

创建一个config登录Dashboard。首先创建config文件的关联账户要有操作权限,使用develop账户和/etc/kubernetes/pki/ca.crt证书。

  1. 创建配置文件

    kubectl config set-cluster kubernetes --certificate-authority=./ca.crt --server=“192.168.0.100:6443” --embed-certs=true --kubeconfig=/root/develop-admin.conf

查看cat /root/develop-admin.conf

	[root@master ~]# cat develop-admin.conf 
	apiVersion: v1
	clusters:
	- cluster:
	    certificate-authority-data: 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
	    server: 192.168.0.100:6443  ##apiserverurl的地址
	  name: kubernetes              #集群名称
	contexts: null
	current-context: ""
	kind: Config
	preferences: {

2.添加访问用户

DEF_NS_DEVE_TOKEN=$(kubectl get secret develop-token -n develop  -o jsonpath={.data.token}|base64 -d)
#解密develop的token并赋值给DEF_NS_DEVE_TOKEN
kubectl config set-credentials develop --token=$DEF_NS_DEVE_TOKEN --kubeconfig=/root/develop-admin.conf
#引用解密后的token并关联账户develop添加到配置文件

查看cat /root/develop-admin.conf

[root@master ~]# cat develop-admin.conf 
apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: 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
    server: 192.168.0.100:6443
  name: kubernetes
contexts: null
current-context: ""
kind: Config
preferences: {}
users:     #定义develop用户
- name: develop
  user:
    token: eyJhbGciOiJSUzI1NiIsImtpZCI6ImM4ZExJQ0RDQnJfVGxVSFAzMk9NT1FnZkR1Tk5LeXdkbVp1YUxuRjVoVkUifQ.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJkZXZlbG9wIiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZWNyZXQubmFtZSI6ImRldmVsb3AtdG9rZW4iLCJrdWJlcm5ldGVzLmlvL3NlcnZpY2VhY2NvdW50L3NlcnZpY2UtYWNjb3VudC5uYW1lIjoiZGV2ZWxvcCIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VydmljZS1hY2NvdW50LnVpZCI6IjJiODBjYTJjLTgwMTAtNGQ0My05Yzk2LWM3MzAwNWU1ZTVhNiIsInN1YiI6InN5c3RlbTpzZXJ2aWNlYWNjb3VudDpkZXZlbG9wOmRldmVsb3AifQ.qI1LjkMqmxews0OXjCmy_f5dHHa3QRG2onWCCafIBkkAT3fJBYCpyIaMGW-ns1yMHat4U2vEacuIJoz4CVUrQW6bFQegPl86gZADeMx3W8KDPx60bvvGKbmR40bx9pO9mao7w7A5DxjDC0stBZ53r0wl772_3mJ89RnA0CKTQ8RS5NQ0Wdhraww6zbrTqL2Wcd85QFg9okoDGJ6c_dh-SR-BC6qNKVON0EWX_9EZ-vmDM8I1iQH5cMXL9BM7OZwSSuRKO7ddb_oVdobpVKcSmJmodVXioPwM--b7uMyxjTbCG60dhIMZA1orgNBcS87D7a5xiBm97ctfvnG8ASEI3A

  1. 关联上下文

    kubectl config set-context develop@kubernetes --cluster=kubernetes --user=develop --kubeconfig=/root/develop-admin.conf
    #上下文的名字,使用develop对k8s集群进行验证
    kubectl config use-context develop@kubernetes --kubeconfig=/root/develop-admin.conf
    #当前上下文的名字develop它属于kubernetes集群

查看cat /root/develop-admin.conf

[root@master ~]# cat develop-admin.conf 
apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: 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
    server: 192.168.0.100:6443
  name: kubernetes
contexts:
- context:
    cluster: kubernetes
    user: develop
  name: develop@kubernetes  #上下文的名字,使用develop对k8s集群进行验证
current-context: develop@kubernetes #当前上下文的名字develop它属于kubernetes集群
kind: Config
preferences: {}
users:
- name: develop
  user:
    token: eyJhbGciOiJSUzI1NiIsImtpZCI6ImM4ZExJQ0RDQnJfVGxVSFAzMk9NT1FnZkR1Tk5LeXdkbVp1YUxuRjVoVkUifQ.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJkZXZlbG9wIiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZWNyZXQubmFtZSI6ImRldmVsb3AtdG9rZW4iLCJrdWJlcm5ldGVzLmlvL3NlcnZpY2VhY2NvdW50L3NlcnZpY2UtYWNjb3VudC5uYW1lIjoiZGV2ZWxvcCIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VydmljZS1hY2NvdW50LnVpZCI6IjJiODBjYTJjLTgwMTAtNGQ0My05Yzk2LWM3MzAwNWU1ZTVhNiIsInN1YiI6InN5c3RlbTpzZXJ2aWNlYWNjb3VudDpkZXZlbG9wOmRldmVsb3AifQ.qI1LjkMqmxews0OXjCmy_f5dHHa3QRG2onWCCafIBkkAT3fJBYCpyIaMGW-ns1yMHat4U2vEacuIJoz4CVUrQW6bFQegPl86gZADeMx3W8KDPx60bvvGKbmR40bx9pO9mao7w7A5DxjDC0stBZ53r0wl772_3mJ89RnA0CKTQ8RS5NQ0Wdhraww6zbrTqL2Wcd85QFg9okoDGJ6c_dh-SR-BC6qNKVON0EWX_9EZ-vmDM8I1iQH5cMXL9BM7OZwSSuRKO7ddb_oVdobpVKcSmJmodVXioPwM--b7uMyxjTbCG60dhIMZA1orgNBcS87D7a5xiBm97ctfvnG8ASEI3A

下载develop-admin.conf上传到Dashboard登录

安的木偶游戏
关注
专栏目录
Kubernetes 认证准入控制详解
悦分享
01-28 47
让一个用户(Users)扮演一个角色(Role),角色拥有权限,从而让用户拥有这样的权限,随后在授权机制当中,只需要将权限授予某个角色,此时用户将获取对应角色的权限,从而实现角色的访问控制。如图:在k8s的授权机制当中,采用RBAC的方式进行授权,其工作逻辑是,把对对象的操作权限定义到一个角色当中,再将用户绑定到该角色,从而使用户得到对应角色的权限。
浅识k8s中的准入控制
weixin_40418457的博客
07-04 1671
背景 在 k8s中各组件和kube apiserver通信时的认证和鉴权 中提到"NodeRestriction准入插件",实际上它是一个"准入控制器"。 "准入控制器"是一个重要的概念,在istio、apisix、某些安全产品中都有用到。 本文简要记录一下以下内容: "准入控制器"是什么 怎么开启"准入控制器" 从源码浅析"准入控制器" 本文使用的k8s集群是用kubekey搭建,
Kubernetes】身份认证与鉴权
最新发布
meidongyan的博客
08-13 654
身份认证与权限绑定
kubernetes视频教程笔记 (32)-安全-准入控制Admission Control
软件工程小施同学 的专栏
12-15 357
准入控制 准入控制是API Server的插件集合,通过添加不同的插件,实现额外的准入控制规则。甚至于API Server的一些主 要的功能都需要通过 Admission Controllers 实现,比如 ServiceAccount 官方文档上有一份针对不同版本的准入控制器推荐列表,其中最新的 1.14 的推荐列表是: NamespaceLifecycle,LimitRanger,ServiceAccount,DefaultStorageClass,DefaultTolerationSe.
Kubernetes准入控制
南宫乘风-Linux运维-虚拟化容器-Python编程 ownit.top
03-07 396
一、什么是K8S之准入控制 就是在创建资源经过身份验证之后,kube-apiserver在数据写入etcd之前做一次拦截,然后对资源进行更改、判断正确性等操作。 一个LimitRange(限制范围)对象提供的限制能够做到: 在一个命名空间中实施对每个 Pod 或 Container 最小和最大的资源使用量的限制。 在一个命名空间中实施对每个 PersistentVolumeClaim 能申请的最小和最大的存储空间大小的限制。 在一个命名空间中实施对一种资源的申请值和限制值的比值的控制。..
kubernetes Authorization
xiaomin1991222的专栏
03-09 158
kubernetes授权设置 在kubernetes授权认证是各自独立的部分。认证部分参见 kubernetes认证授权操作适用于所有面向于kubernetes api的http请求。 授权 将会针对每一个请求,根据访问策略来检查对比请求中的属性信息(比如 用户,资源,namespace等)。一个API请求必须满足指定的策略才能继续执行。 有如下几种策略方式: --autho...
kubernetes API 访问控制之:准入控制
看,未来的博客
06-02 751
可以使用kubectl、客户端库方式对REST API的访问,Kubernetes的普通账户和Service帐户都可以实现授权访问API。API的请求会经过多个阶段的访问控制才会被接受处理,其中包含认证授权以及准入控制(Admission Control)等。如下图所示: 需要注意:认证授权过程只存在HTTPS形式的API中。也就是说,如果客户端使用HTTP连接到kube-apiserver,是不会进行认证授权的。所以说,可以这么设置,在集群内部组件间通信使用HTTP,集群外部就使用HTTPS,这样既增加
4、Kubernetes 集群安全 - 准入控制1
08-04
准入控制是一组插件机制,它在API Server处理任何资源操作之前进行干预,从而增强了Kubernetes的安全性和一致性。这些插件允许管理员定义额外的验证和修改规则,以确保只有符合特定条件的资源请求才能被接受。 首先...
理清 Kubernetes 中的准入控制(Admission Controller)
k8s 生态
11-30 633
大家好,我是张晋涛。在我之前发布的文章 《云原生时代下的容器镜像安全》(系列)中,我提到过 Kubernetes 集群的核心组件 -- kube-apiserver,它允许来自终端用户或...
kubernetes(k8s):访问控制认证+授权+准入控制
weixin_43936969的博客
05-24 4241
文章目录1. kubernetes API 访问控制2. 认证 Authentication1 访问k8s的API Server的客户端2 UserAccount 与 serviceaccount2.1 创建serviceaccount:2.2 添加secrets到serviceaccount中2.3 把serviceaccount和pod绑定起来2.4 创建useraccount3. 授权 Authorization3.1RBAC基于角色访问控制授权3.2 RoleBinding角色绑定3.3Cluste
18.准入控制
LQ的博客
10-22 324
18.准入控制器 Admission Controller准入控制器作为把手kubernetes系统安全的最后一道关卡,对已知且有权限用户的操作合规性验证是缺一不可的! 1.什么是准入控制器? 准入控制器(Admission Controller)位于API Server中,在对象被持久化之前,准入控制器拦截对API Server的请求,一般用来做身份验证和授权。 其中包含两个特殊的控制器钩子: MutatingAdmissionWebhook和ValidatingAdmissionWebhook 1
Kubernetes 准入控制
RAB
11-07 266
Kubernetes 准入控制 - LimitRange/StorageQuota。
kubernetes Authenticating(认证)
纵横四海的博客
04-21 722
kubernetes 用户体系 所有Kubernetes集群都有两类用户:由Kubernetes管理的服务帐户和普通用户。 普通用户由外部独立服务管理。 管理员分发私钥,用户存储如Keystone或者用户名和密码列表的文件。 普通用户不能通过API调用添加到群集中。 相反,服务帐户是由Kubernetes API管理的用户。 它们绑定到特定的名称空间,并由API服务器自动创建或通过API调用...
Kubernetes 准入控制器详解!
weixin_44100171的博客
02-04 693
**Kubernetes 控制平面由几个组件组成。其中一个组件是 kube-apiserver,简单的 API server。**它公开了一个 REST 端点,用户、集群组件以及客户端应用程序可以通过该端点与集群进行通信。总的来说,它会进行以下操作: 从客户端应用程序(如 kubectl)接收标准 HTTP 请求。 验证传入请求并应用授权策略。 在成功的身份验证中,它能根据端点对象(Pod、Deployments、Namespace 等)和 http 动作(Create、Put、Get、Dele
Kubernetes安全之认证
weixin_38299404的博客
05-19 246
机制说明 Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server是集群内部各个组件通信的中介,也是外部控制的入口。所以Kubernetes的安全机制基本就是围绕保护API Server来设计的。Kubernetes使用了认证(Authentication)、鉴权(Authorization)、准入控制(AdmissionControl)三步来保证API Server的安全 Authentication HTTP Token认证:通过一个Token来识别
Kubernetes authorization
zhixingheyi_tian的博客
07-05 280
Service Account A service account provides an identity for processes that run in a Pod. When you create a pod, if you do not specify a service account, it is automatically assigned the default service...
Kubernetes 安全认证
axibazZ的博客
08-31 318
访问控制概述 Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。所谓的安全性就是保证对Kubernetes的各种客户端进行认证和鉴权操作。 客户端 在Kubernetes集群中,客户端通常有两类: User Account:一般是独立于kubernetes之外的其他服务管理的用户账号。 Service Account:kubernetes管理的账号,用于为Pod中的服务进程在访问Kubernetes时提供身份标识。 认证授权准入控制 ApiServe.
k8s 准入控制器【1】-介绍
爱死亡机器人
01-05 1342
文章目录1. 背景2. 什么是准入控制器插件3. 为什么需要准入控制器?4. 如何启用一个准入控制器?5. 怎么关闭准入控制器?6. 哪些插件是默认启用的?每个准入控制器的作用是什么?AlwaysAdmitAlwaysPullImagesAlwaysDenyCertificateApprovalCertificateSigningCertificateSubjectRestrictionsDefaultStorageClassDefaultTolerationSecondsDenyExecOnPrivile
认证 鉴权 准入控制Kubernetes 集群安全认证机制说明及https证书认证
作为一个文件,"17 18 19 20、认证 鉴权 准入控制 HEML-V2.pdf"是关于Kubernetes集群安全中认证的内容。该文件总结了认证机制的说明和Authentication认证的细节。其中提到了三种认证介绍,包括HTTPS证书认证和需要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值