kubernetes Authenticating(认证)

最新推荐文章于 2024-08-13 19:27:56 发布
最新推荐文章于 2024-08-13 19:27:56 发布
阅读量724 收藏 1
点赞数
分类专栏: kubetnetes 文章标签: kubernetes auth
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_21816375/article/details/80026430
版权

kubernetes 用户体系

所有Kubernetes集群都有两类用户:由Kubernetes管理的服务帐户和普通用户。

普通用户由外部独立服务管理。 管理员分发私钥,用户存储如Keystone或者用户名和密码列表的文件。 普通用户不能通过API调用添加到群集中。

相反,服务帐户是由Kubernetes API管理的用户。 它们绑定到特定的名称空间,并由API服务器自动创建或通过API调用手动创建。 服务帐户绑定到一系列存储为秘密的凭证,这些凭证安装在容器中,允许群集内进程与Kubernetes API对话。

kubernetes 认证策略

Kubernetes使用客户端证书,bearer tokens,身份验证代理或HTTP基本身份验证来通过身份验证插件对API请求进行身份验证。 由于向API服务器发出HTTP请求,插件会尝试将以下属性与请求关联:

用户名:标识最终用户的字符串。 常用值可能是kube-admin或jane@example.com。
UID:标识最终用户并尝试比用户名更一致和唯一的字符串。
组:一组将用户与一组常用用户关联的字符串。
额外字段:包含附加信息的字符串列表的字符串映射授权人可能会觉得有用。

X509 Client Certs
客户端证书身份验证通过将--client-ca-file = SOMEFILE选项传递给API服务器来启用。 引用的文件必须包含一个或多个证书颁发机构,用于验证呈现给API服务器的客户端证书。 如果提供并验证客户端证书,则使用主题的公用名称作为请求的用户名。 从Kubernetes 1.4开始,客户端证书还可以使用证书的组织字段来指示用户的组成员身份。 要为用户包含多个组成员身份,请在证书中包含多个组织字段。
例如

openssl req -new -key jbeda.pem -out jbeda-csr.pem -subj "/CN=jbeda/O=app1/O=app2"
//该命令行生成了jbeda-csr.pem证书,该证书是给用户jbeda进行颁发证书,该用户属于两个组织app1和app2

Static Token File

当在命令行上提供--token-auth-file = SOMEFILE选项时,API服务器从文件读取承载令牌。 目前,令牌持续无限期,并且无需重新启动API服务器即可更改令牌列表。

令牌文件是一个至少包含3列的csv文件:令牌,用户名,用户uid,后跟可选组名。 请注意,如果您有多个组,则该列必须使用双引号,例如

token,user,uid,"group1,group2,group3"

该认证策略只要是放在HTTP的HEADERS里
例如

Authorization: Bearer 31ada4fd-adec-460c-809a-9e56ceb75269

Bootstrap Tokens
为了允许为新集群提供简化的引导,Kubernetes包括一个名为Bootstrap Token的动态管理的Bearer标记类型。 这些令牌作为秘密存储在kube-system命名空间中,在那里可以动态管理和创建它们。 控制器管理器包含一个TokenCleaner控制器,可在引导令牌过期时删除引导令牌。
该类令牌必须符合正则表达式[a-z0-9]{6}.[a-z0-9]{16},并且由两个部分组成
token ID 和token secret,这种方式也是放在HEADERS里,例如

Authorization: Bearer 781292.db7bc3a58fc5f07e

使用必要条件

  1. 在api-server启动参数加--experimental-bootstrap-token-auth
  2. 在Controller Manager 启动参数添加--controllers=*,tokencleaner

Static Password File
该认证策略启用的方式--basic-auth-file=SOMEFILE,一旦启用密码就不能修改
是cvs文件,组成:password, user name, user id

password,user,uid,"group1,group2,group3"

使用

Authorization:Basic BASE64ENCODED(USER:PASSWORD)

Service Account Tokens

服务帐户是使用签名的承载令牌来验证请求的自动启用的验证器。 该插件需要两个可选标志:

--service-account-key-file包含用于签署持票人令牌的PEM编码密钥的文件。 如果未指定,则将使用API服务器的TLS私钥。
--service-account-lookup如果启用,将从API中删除的令牌将被撤销。

服务帐户通常由API服务器自动创建,并通过ServiceAccount准入控制器与集群中运行的Pod相关联。 承载令牌被安装到众所周知的位置,并允许群集内进程与API服务器通信。 帐户可以使用PodSpecserviceAccountName字段与Pod进行显式关联。

apiVersion: apps/v1 # this apiVersion is relevant as of Kubernetes 1.9
kind: Deployment
metadata:
  name: nginx-deployment
  namespace: default
spec:
  replicas: 3
  template:
    metadata:
    # ...
    spec:
      serviceAccountName: bob-the-bot
      containers:
      - name: nginx
        image: nginx:1.7.9

可以通过kubectl create serviceaccount (NAME)创建serviceaccount

服务帐户使用用户名系统进行身份验证:serviceaccount:(NAMESPACE):( SERVICEACCOUNT),并分配给组系统:serviceaccountssystem:serviceaccounts:(NAMESPACE)

end 还要更多内容,请前往Authenticating
参考
Authenticating

qinzhao168
关注
专栏目录
Kubernetes 管理员认证 (CKA)
Vic的博客
11-04 4259
概述 认证Kubernetes管理员(CKA)计划由Linux基金会和云原生计算基金会(CNCF)创建,作为他们为帮助开发Kubernetes生态系统而不断努力的一部分。作为速度最快的开源项目之一,Kubernetes的使用正在爆炸式增长。 此考试没有必备条件。 请注意:注册CKA认证考试的考生将有 2 次机会(每次注册的考试)到Killer.sh参加模拟考试。预约方式请参考帮助中心->认证常见问题第10条。 认证一览 考试模式:线上考试 考试时间:2小时 认证有效期:3年 ..
【云原生】kubernetes中的认证、权限设置--RBAC授权原理分析与应用实战
热门推荐
景天科技苑
05-27 1万+
k8s对我们整个系统的认证,授权,访问控制做了精密的设置;对于k8s集群来说, apiserver是整个集群访问控制的唯一入口,我们在k8s集群之上部署应用程序的时候, 也可以通过宿主机的NodePort暴露的端口访问里面的程序, 用户访问kubernetes集群需要经历如下认证过程:认证->授权->准入控制(adminationcontroller)
Kubernetes安全之认证
weixin_38299404的博客
05-19 249
机制说明 Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server是集群内部各个组件通信的中介,也是外部控制的入口。所以Kubernetes的安全机制基本就是围绕保护API Server来设计的。Kubernetes使用了认证Authentication)、鉴权(Authorization)、准入控制(AdmissionControl)三步来保证API Server的安全 Authentication HTTP Token认证:通过一个Token来识别
kubernetes认证和授权(RBAC)
拥抱开源 热爱分享
07-31 981
当然,以上只是k8s中最基础的认证与授权功能,更高阶的也都在此基础之上,如果大家有兴趣请自行探索。在码字的过程中难免会出错,欢迎大家批评指正。我会长期分享K8s、CloudNative方面的知识。
Kubernetes 安全认证
axibazZ的博客
08-31 321
访问控制概述 Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。所谓的安全性就是保证对Kubernetes的各种客户端进行认证和鉴权操作。 客户端 在Kubernetes集群中,客户端通常有两类: User Account:一般是独立于kubernetes之外的其他服务管理的用户账号。 Service Account:kubernetes管理的账号,用于为Pod中的服务进程在访问Kubernetes时提供身份标识。 认证、授权与准入控制 ApiServe.
Kubernetes认证和准入控制
qq42004的博客
04-13 820
让一个用户(Users)扮演一个角色(Role),角色拥有权限,从而让用户拥有这样的权限,随后在授权机制当中,只需要将权限授予某个角色,此时用户将获取对应角色的权限,从而实现角色的访问控制。当采用RBAC的方式进行授权时,把对对象(k8s的资源一类)的操作权限定义到一个角色当中,再将用户绑定到该角色,从而使用户得到对应角色的权限。如果是通过rolebinding绑定role,只能对rolebingding所在的名称空间的资源有权限,属于名称空间级别的。
Kubernetes】身份认证与鉴权
最新发布
meidongyan的博客
08-13 659
身份认证与权限绑定
Kubernetes 认证
隔壁老瓦的专栏
01-09 1572
Kubernetes 认证Kubernetes 账户 2 验证策略 2.1 X509 客户证书 2.2 Static Token File 2.2.1 Putting a Bearer Token in a Request 2.3 Bootstrap Tokens 2.4 Static Password File 2.5 OpenID Connect Toke...
Spark 2.3.0+Kubernetes应用程序部署
段智华的博客
03-05 6634
 Spark2.3.0+Kubernetes应用程序部署Spark可以运行在Kubernetes管理的集群中,利用Native Kubernetes调度的特点已经被加入Spark。目前Kubernetes调度是实验性的,在未来的版本中,Spark在配置、容器映像、入口可能会有行为上的变化。(1)     先决条件。运行在Spark 2.3 或更高版本上。运行Kubernetes cluster  ...
使用aggregation API扩展你的kubernetes API
虚幻私塾
06-23 428
Kubernetes apiserver aggregation AA 是Kubernetes提供的一种扩展API的方法,目前并没有GA众所周知,kubernetes扩展API的方法大概为三种:CRD、AA、手动扩展源码。根据CNCF分享中Min Kim说的AA更关注于实践,而用户无需了解底层的原理,这里使用过 , 的用户是很能体会到这点。官方也给出了CRD与AA的区别要想很好的使用AA,就需要对kubernetes与 AA 之间认证机制进行有一定的了解,这里涉及到一些概念在下面的说明中,所有出现的API
Kubernetes安全机制
weixin_45724795的博客
05-30 1489
文章目录一、kubernetes的安全框架1.框架2.机制二、三大模块1.第一模块:认证1)kubernetes的用户系统一般用户ServiceAccount2)认证Https证书认证Http Token认证Http Basic认证3)认证策略3)CA认证2.第二模块:授权1)Kubernetes的授权模式2)授权模式的设置方法3.第三模块:准入控制1)为什么需要准入控制2)如何运行准入控制插件3)插件推荐版本三、RBAC授权1.RBAC的API资源对象说明2.使用RBAC授权1)创建用户并做限制2)制作证
Certified-Kubernetes-Administrator
03-19
Kubernetes认证管理员(CKA) 2021.03.10 -자료- 공인Kubernetes자리자: ://www.cncf.io/certification/cka/ 커리큘럼(주제): : 후보자핸드북: ://www.cncf.io/certification/candidate-handbook 팁http: ://training.linuxfoundation.org/go//Important-Tips-CKA-CKAD Udemy秘诀 Yaml방법방법방법방법 中备忘录 容器编排-https: POD- ReplicaSet -
Certified-kubernetes-administrator-cka-kata:一组Vagrant盒子,用于培训以获得CKA认证
02-06
Kubernetes认证管理员(CKA) 截至2018年4月24日在ubuntu 16上发布,提示文件显示为1.11.1 带有链接的考试的一些信息: 学习期间我将在哪里复制笔记: 问题: 我将场景放置在何处,您可以将此回购用于: 脚步 kubectl自动完成 kubectl别名(k,kg,ka,kc) 清除别名 在记事本上复制jsonpath 要求 流浪汉 虚拟箱 可选:Make,rubocop,shellcheck 约1.5GB的RAM 跑 旋转它: make up 停止/销毁: make down 登录 要登录控制器: vagrant ssh controller 要
certified-kubernetes-administrator-course
04-06
Kubernetes认证管理员(CKA)课程 这些是托管的Kubernetes注释。 栏目 09-库伯代理 10荚 11实践测试介绍 12个实践测试POD 13个副本集 14-练习测试-副本集 15-部署 16-实践-测试-部署 17-命名空间 18-实践-测试-命名空间 19-服务 20-服务-ClusterIP 21实践测试服务 22个带有Kubectl的命令 23个实践测试命令 24-附件 03-排程 01调度部分简介 02-手动排程 03-实践-测试-手动计划 04标签和选择器 05-实践测试计划 06污点与容忍 07-实践测试污点和容忍 08-节点选择器 09节点亲和力 10-实践-测试-节点亲和力 11,污点和容忍度与节点亲和度 12个资源限制 13实践测试资源限制 14个守护程序集 15个实践测试守护程序集 16个静态豆荚 17-实践-测试-静态分组 18个多计划 19
【k8s】9、安全认证
努力充实,远方可期
06-20 434
第九章 安全认证 本章节主要介绍Kubernetes的安全认证机制。 访问控制概述 ​ Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。所谓的安全性其实就是保证对Kubernetes的各种客户端进行认证和鉴权操作。 客户端 在Kubernetes集群中,客户端通常有两类: User Account:一般是独立于kubernetes之外的其他服务管理的用户账号。 Service Account:kubernetes管理的账号,用于为Pod中的服务进程在访问K
kubernetes认证授权
班婕妤
04-15 2217
访问控制 Kubernetes API的每个请求都会经过多阶段的访问控制之后才会被接受,这包括认证、授权以及准入控制(Admission Control)等。 认证->授权->准入控制(adminationcontroller) 认证kubernetes中,在集群开启TLS后,客户端发往Kubernetes的所有API请求都需要进行认证, 以验证用户的合法性。 Kubernetes支持多种认证机制,并支持同时开启多个认证插件(只要有一个认证通过即可)。如果认证成功,则用户的us
Kubernetes那点事儿——k8s安全认证
liangpangpangyo的博客
03-04 1184
要允许这些插件组件以超级用户权限运行,需要将集群的 cluster-admin 权限授予 kube-system 名字空间中的 “ServiceAccount” 服务账户。Adminssion Control实际上是一个准入控制器插件列表,发送到API server的请求都需要经过这个列表中的每个准入控制器插件的检查,检查不通过,则拒绝请求。RBAC(Role-Based Access Control,基于角色的访问控制),允许通过Kubernetes API动态配置策略。
Kubernetes认证和授权简介
weixin_56561688的博客
05-04 364
作为一个Kubernetes用户,我们需要定期审查和更新RBAC策略,限制kubelet端口的访问权限,添加认证和授权的插件以及使用TLS加密通信等措施来保障集群安全。另外,我们还强调了安全意识的重要性,并希望通过本文的介绍,能够增强大家对Kubernetes安全的重视,更加注重集群的安全性。在本文中,我们将简要介绍Kubernetes认证和授权,并提供一些常见的安全问题和对策。在这个快速发展的云时代,Kubernetes因其强大的功能和可靠的性能,成为了越来越多企业所选择的容器编排平台。
Kubernetes服务商认证简介
weixin_34233679的博客
06-03 732
为什么80%的码农都做不了架构师?>>> ...
authenticating mongocredential
09-07
在MongoDB中,验证MongoCredential是指使用用户名和密码来验证用户身份以访问MongoDB数据库。 要验证MongoCredential,需要使用MongoClient对象和MongoCredential对象。首先,我们需要创建一个MongoCredential实例,该实例需要指定验证方法、数据库名称、用户名和密码。验证方法可以是从MongoCredential类的静态方法中选择,如MONGODB-CR、SCRAM-SHA-1、SCRAM-SHA-256等。然后,我们可以使用MongoClient对象的withCredential()方法来设置验证凭据。 接下来,我们可以通过调用MongoClient对象的connect()方法来建立与MongoDB的连接。当使用验证凭据时,如果用户名和密码与数据库中的凭据匹配,连接将成功建立。否则,将抛出错误,表示身份验证失败。 以下是使用Java语言进行MongoCredential验证的示例代码: ```java import com.mongodb.*; import org.bson.codecs.configuration.CodecRegistry; import org.bson.codecs.pojo.PojoCodecProvider; public class MongoDBAuth { public static void main(String[] args) { String host = "localhost"; int port = 27017; String database = "mydatabase"; String username = "myuser"; String password = "mypassword"; MongoClientSettings settings = MongoClientSettings.builder() .codecRegistry(CodecRegistry.DEFAULT) .applyToClusterSettings(builder -> builder.hosts(Arrays.asList(new ServerAddress(host, port)))) .credential(MongoCredential.createCredential(username, database, password.toCharArray())) .build(); MongoClient mongoClient = MongoClients.create(settings); // 连接成功执行其他操作 System.out.println("连接成功!"); mongoClient.close(); } } ``` 在这个例子中,我们使用MongoClientSettings.Builder类来设置MongoClient的配置。我们指定了主机和端口号,并创建了一个MongoCredential对象。然后,我们使用这些设置来创建一个MongoClient实例并建立与MongoDB的连接。最后,我们在连接成功后执行其他操作,并在结束时关闭连接。 总之,通过验证MongoCredential,我们可以使用用户名和密码来验证用户身份以访问MongoDB数据库。这是确保MongoDB数据库安全性的重要措施之一。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值