【kubernetes】安全机制

已于 2024-09-10 09:38:08 修改
阅读量507 收藏 10
点赞数 24
分类专栏: Kubernetes 云计算运维 文章标签: kubernetes 安全 容器 运维
于 2024-09-10 09:16:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18296979/article/details/142083448
版权

一.安全机制

安全机制说明

Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介, 也是外部控制的入口。所以 Kubernetes 的安全机制基本就是围绕保护 API Server 来设计的。 在 Kubernetes (k8s) 中,认证、鉴权和准入控制构成了确保集群安全的三大核心机制,它们分别在不同的阶段执行,以确保只有经过验证的请求才能对资源执行允许的操作。它们的关系如下:

1. 认证 (Authentication)
  • 作用:认证是用来确认请求的身份,即识别发起请求的用户或服务。
  • 认证方式
    • X.509 证书:Kubernetes 常用的认证方式之一是通过客户端提供的证书进行认证,证书由集群管理员签发。
    • Bearer Tokens(持有者令牌):常见于使用 kubectl 连接 API Server 的场景。
    • 外部认证系统:Kubernetes 支持通过集成 OIDC、LDAP 等外部系统进行认证。
  • 过程:当用户发送请求时,Kubernetes API Server 会通过这些认证方法验证请求者的身份,确保它是可信用户。
2. 鉴权 (Authorization)
  • 作用:在通过认证后,鉴权用于决定经过认证的用户是否有权对某个资源执行请求的操作(如创建、删除、更新等)。
  • 授权方式
    • RBAC (Role-Based Access Control):Kubernetes 主要使用基于角色的访问控制机制。管理员通过定义 RoleClusterRole 来指定权限,然后将这些角色绑定到用户或组上,控制他们对资源的访问。
    • ABAC (Attribute-Based Access Control):Kubernetes 也支持通过自定义的策略文件来基于属性控制访问。
    • Webhook Authorization:允许通过调用外部服务来决定是否允许某个请求。
  • 过程:认证通过后,API Server 会检查用户是否有足够权限执行请求,通过 RoleBindingClusterRoleBinding 来确定是否允许该请求继续。
3. 准入控制 (Admission Control)

  • 作用:准入控制是在认证和授权后进一步对请求进行检查和修改,决定是否允许请求继续。准入控制可以动态修改请求或拒绝不合规的请求。

  • 准入控制器

    • Mutating Admission Controllers(可变准入控制器):

      • 职责:它们的作用是在对象被创建或更新时,允许修改该对象的配置。常见的 Mutating Admission Controllers 包括 PodPresetDefaultTolerationSeconds,它们可以在请求被接受之前自动填充一些默认值或对配置进行修改。

        作用流程:在对象创建时,先经过 Mutating Admission Controllers 进行修改操作,比如为 Pod 自动添加某些标签、容忍度等配置。

    • Validating Admission Controllers(验证准入控制器):

      • 职责:这些控制器的主要作用是在资源创建或更新前进行验证,确保其符合集群的安全和策略要求。如果资源不符合要求,则请求会被拒绝。例如,PodSecurity 就是一个 Validating Admission Controller,它可以验证 Pod 是否符合特定的安全策略。

        作用流程:在 Mutating Admission Controllers 之后,Validating Admission Controllers 会检查请求是否符合策略要求。如果不符合,则拒绝该操作。

  • 常见的准入控制器

    • ResourceQuota:检查命名空间是否超过资源配额。
    • PodSecurityPolicy(k8s1.25之后被替换为PodSecurity):检查 Pod 是否符合安全策略。
    • LimitRanger:确保创建的资源符合资源限制。

  • 过程:准入控制器在授权通过后执行,确保集群的安全策略、资源限制等被正确应用。

认证、鉴权和准入控制的执行顺序:
  1. 认证:首先通过认证,确认请求来自于合法的用户或服务。
  2. 鉴权:接着,通过 RBAC 等机制判断该用户是否有权限执行该请求。
  3. 准入控制:最后,准入控制器执行,确保请求符合集群的策略要求,才最终允许该请求对资源生效。
三者的关系:
  • 认证决定了"你是谁"。
  • 鉴权决定了"你是否有权限做这件事"。
  • 准入控制决定了"这件事是否合规,是否符合集群的策略"。

每个步骤都是互相关联的,只有通过了前面的步骤,才能进入后续的流程。

举例:

假设一个用户使用 kubectl 尝试创建一个 Pod:

  1. 认证:API Server 通过用户的证书验证其身份。
  2. 鉴权:RBAC 确认该用户是否有权限创建 Pod。
  3. 准入控制:准入控制器检查创建的 Pod 是否符合集群的安全策略,如 Pod 安全策略或资源限制等。

这样 Kubernetes 能够确保只有合法、授权并且符合集群策略的请求才能对集群进行操作。

APIGroup

APIGroup 是 Kubernetes 中为了扩展性而引入的一种概念,它将 API 功能按逻辑分类和组织。例如,核心的 Kubernetes API 资源(如 PodService)属于默认的核心 API 组,而像 DeploymentIngress 等扩展资源则属于自定义的 API 组。每个 API 组可以包含一个或多个版本,如 v1v1beta1

1.APIGroup 的作用:
  • 通过分组,Kubernetes 可以轻松扩展 API,支持更多的资源对象,而不影响核心功能。
  • 允许同一 API 组的不同版本并存,便于开发者在新旧 API 之间进行平滑迁移。
  • 清晰地区分核心 Kubernetes 资源与扩展资源。
2. APIGroup 的组成

每个 API 组通常包含以下几部分:

  • Group 名称:API 组的名称,如 appsbatchnetworking.k8s.io
  • 版本:每个 API 组可能包含多个版本的 API,如 v1v1beta1。每个版本代表一组特定的资源和行为。
  • 资源:API 组中的实际资源对象,如 DeploymentStatefulSetIngress 等。
3. APIGroup 的使用示例

在 Kubernetes 的 yaml 文件中,你经常会看到 apiVersion 字段,其格式为:<APIGroup>/<Version>,例如:

apiVersion: apps/v1
kind: Deployment

其中 apps 是 APIGroup,v1 是版本,Deployment 是资源类型。

常见的 APIGroup:
  • core

    :这是 Kubernetes 的核心 API 组,不需要显式指定(也就是没有 APIGroup 部分),例如

    apiVersion: v1
    • 包含资源:PodServiceConfigMapSecret 等。
  • apps

    :用于处理与应用相关的资源。

    • 版本:v1
    • 包含资源:DeploymentStatefulSetDaemonSet 等。
  • batch

    :用于批处理任务。

    • 版本:v1v1beta1
    • 包含资源:JobCronJob
  • networking.k8s.io

    :与网络相关的 API 组。

    • 版本:v1
    • 包含资源:IngressNetworkPolicy
划过手的泪滴t
关注
  • 24
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kubernetes安全机制--Admission Control准入控制
江晓龙的博客
04-20 717
kubernetes安全机制–Admission Control准入控制 通过了认证和授权之后,还需要经过准入控制处理之后,apiserver才会处理请求。 准入控制是一个可配置的控制器列表,可以通过在apiserver上使用命令行设置执行哪些准入控制器 用于拦截请求的一种方式,运行在认证,授权之后,是权限认证链上的最后一环,对请求API资源对象进行修改和校验 --admission-control=NamespaceLifecycle,LimitRanger,ServiceAccount,Persiste
kubernetes安全机制
Drw_Dcm的博客
11-14 2603
kubernetes安全机制
Kubernetes安全机制
weixin_45724795的博客
05-30 1469
文章目录一、kubernetes安全框架1.框架2.机制二、三大模块1.第一模块:认证1)kubernetes的用户系统一般用户ServiceAccount2)认证Https证书认证Http Token认证Http Basic认证3)认证策略3)CA认证2.第二模块:授权1)Kubernetes的授权模式2)授权模式的设置方法3.第三模块:准入控制1)为什么需要准入控制2)如何运行准入控制插件3)插件推荐版本三、RBAC授权1.RBAC的API资源对象说明2.使用RBAC授权1)创建用户并做限制2)制作证
Kubernetes——安全机制
一坨小橙子的博客
06-05 906
Kubernetes安全机制(认证、鉴权、准入控制)
学习kubernetes安全机制流程一篇就够!!!
下一个艺术家
01-30 1156
k8s的安全控制框架主要由以上3个阶段进行控制,每一个阶段都支持插件方式,通过APIServer配置来启用插件方式,通过APiserver配置来启用插件。 普通用户想要安全的访问集群APIServer,往往需要证书、token或者是用户名+密码 pod访问需要ServiceAccount
Kubernetes安全加固
武天旭的博客
04-09 518
X.509客户端证书是目前用户最常用的认证安全配置方式,其也可称作HTTPS证书认证,是基于CA根证书签名的双向数字证书认证方式,默认情况下Kubernetes开启此参数配置。与X.509客户端证书相关的三个kube-apiserver启动参数为:⬤ client-ca-file:指定CA根证书文件为/etc/kubernetes/pki/ca.pem,内置CA公钥,用于验证某证书是否为CA所签发。
Kubernetes安全机制与权限控制
## 一、Kubernetes安全机制概述 Kubernetes作为当今最流行的容器编排系统之一,为了保障集群的安全性,提供了一系列完善的安全机制。本章将介绍Kubernetes安全机制的基本概念和重要性,以及其基本原则。 ### 1.1 ...
Kubernetes安全机制:认证、授权和网络策略的最佳实践
Kubernetes安全概述 Kubernetes是当前最流行的容器编排平台之一,但是随之而来的安全问题也是不可忽视的。本章节将介绍Kubernetes安全性的重要性以及相关的挑战和威胁。 ### 1.1 为什么Kubernetes安全性很重要 ...
K8S中部署MySQL高可用工具Orchestrator
sozee910的博客
09-05 1109
Orchestrator 可以部署在物理机、虚拟机或 Kubernetes 集群中,笔者发现目前针对k8s集群部署的方式介绍较少,现通过示例详细阐述Orchestrator 这一功能强大且灵活的工具部署方式,希望学习mysql和k8s的同学提供帮助
k8s API资源对象
巧克力人生的博客
09-06 603
如果想直接通过k8s节点的IP直接访问到service对应的资源,可以使用NodePort,Nodeport对应的端口范围:30000-32767。这种方式,需要配合公有云资源比如阿里云、亚马逊云来实现,这里需要一个公网IP作为入口,然后来负载均衡所有的Pod。该方式为默认类型,即,不定义type字段时(如上面service的示例),就是该类型。说明:Taint叫做污点,如果某一个节点上有污点,则不会被调度运行pod。使用yaml文件来配置、部署资源对象。作用:对外提供访问端口。
kubeadm方式安装k8s
最新发布
m0_72009757的博客
09-10 321
本次以⼆进制⽅式安装⾼可⽤ k8s 1.28.0 版本,但在⽣产环境中, 建议使⽤⼩版本⼤于 5 的 Kubernetes 版本,⽐如 1.19.5 以后。
k8s控制器
qq_67442238的博客
09-05 1004
已经搭好的harbor仓库scp ca.crt root@172.25.250.120:/etc/docker/certs.d/bwmis.org/ ##发送证书##禁止swap磁盘的使用[k8s]name=k8sgpgcheck=0。
Kubernetes】K8s 的安全框架和用户认证
书山有路,学海无涯。记录成长,追逐梦想
09-08 860
Kubernetes 作为一个分布式的虚拟化集群管理工具,保证其集群的安全性就显得非常重要。由于 API Server 是访问集群资源的唯一入口,因此 Kubernetes安全机制都是围绕保护 API Server 来设计的。
Kubernetes】K8s 的鉴权管理(二):基于属性 / 节点 / Webhook 的访问控制
书山有路,学海无涯。记录成长,追逐梦想
09-10 717
基于属性的访问控制(Attribute-Based Access Control,ABAC)通过将属性组合在一起来定义用户可以访问的范围。其策略文件是一个具有多行 JSON 格式的文件,该文件中的每一行都是一个策略(即一个 JSON 对象)。
day43(9/4)——k8s
wh992610的博客
09-05 894
imageRepository: registry.cn-hangzhou.aliyuncs.com/google_containers # 指定了Kubernetes使用的镜像仓库的地址,阿里云的镜像仓库。net.bridge.bridge-nf-call-ip6tables = 1 # ⽤于控制⽹络桥接(bridge)的IP6tables过滤规则。net.ipv4.conf.all.route_localnet = 1 # 允许本地⽹络上的路由。
K8s的Pv和Pvc就是为了pod数据持久化
Alone8046的博客
09-05 1100
2.pvc:用户对存储资源的请求,定义了需要存储的空间大小,以及对存储空间的访问模式,有了pvc请求之后,再和pv进行匹配,匹配到了之后进行绑定,绑定成功之后就可以使用pv的存储空间。Retain:默认策略(手动),就是保留,虽然pvc被删除,但是pv还是处于released的状态,及时恢复到available状态,上一个挂载的数据也不会丢失。1.配置定义pvc请求的详细情况--------->匹配pv-------->绑定-------->使用------->释放------>回收pv。
k8s的应用
m0_73671133的博客
09-05 1535
root@k8s-master ~]# kubeadm init --config /root/new.yaml --upload-certs //内存必须大点,4。设置为0表示不产生panic,设置为1表示产生panic。设置为0表示不产生panic,设置为1表示产生panic。image-endpoint: unix:///run/containerd/containerd.sock # 指定了镜像运⾏时的地址为:unix://...
培训第九周(部署k8s基础环境)
weixin_70693880的博客
09-07 1338
添加sandbox_image = "registry.cn-hangzhou.aliyuncs.com/google_containers/pause:3.9"(第128行)之前采⽤初始化安装⽅式,所有的系统组件均以容器的⽅式运⾏ 并且在 kube-system 命名空间内,此时可以查看 Pod(容器 组)状态。overlay # ⽤于⽀持Overlay⽹络⽂件系统的模块,它可以在现有的⽂件系统之上创建叠加层,以实现虚拟化、隔离和管理等功能。设置为0表示不产⽣panic,设置为1表示产⽣panic。
kubernetes】配置管理中心Configmap运用
meidongyan的博客
09-07 907
Configmap(简写 cm)是k8s中的资源对象,用于保存非机密性的配置的,数据可以用key/value键值对的形式保存,也可通过文件的形式保存。
Kubernetes集群安全:深入理解RBAC授权
"Kubernetes集群安全鉴权机制详解" 在Kubernetes集群中,安全措施是至关重要的,其中鉴权是确保只有具有相应权限的实体才能访问特定资源的关键环节。本节将详细探讨Kubernetes的鉴权机制,特别是基于角色的访问控制...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值