K8s集群安全设置,CA签名?HTTP Base/Token?

最新推荐文章于 2022-10-15 15:16:54 发布
最新推荐文章于 2022-10-15 15:16:54 发布
阅读量350 收藏 1
点赞数
文章标签: 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30407229/article/details/109068882
版权

k8s的集群安全设置

k8s提供了基于CA签名的双向数字证书认证方式和简单的基于HTTP Base或Token的认证方式,其中CA证书方式的安全性最高。

基于CA签名的双向数字证书认证方式

基于CA签名的双向数字证书认证方式如下:
1)为kube-apiserver生成一个数字证书,并用CA证书签名。
2)为kube-apiserver生成进程配置证书相关的启动参数,包括CA证书(用于验证客户端证书的签名真伪)、自己的经过CA签名的证书及私钥。
3)为每个访问kubernetes API Server的客户端(如kube-controller-manager、kube-scheduler、kubelet、kube-proxy及调用API Server的客户端程序等)进程都生成自己的数字证书,也都用CA签名,在相关启动程序的启动参数里增加CA证书、自己的证书等相关参数。

基于HTTP Base或Token的简单认证方式

采用HTTPBase或Token认证时,API Server对外暴露HTTPS端口,客户端提供用户名、密码或token的方式来完成认证过程。
比较特殊的时,kubectl命令行工具比较特殊,它同时支持CA双向认证和简单认证两种模式与API Server通信,其它客户端组件只能配置为双向安全认证或非安全模式与API Server通信。

qq_30407229_lily
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
K8s签名的支持
SHELLCODE_8BIT的博客
05-07 195
安装K8s 安装签名 Installation - sigstore documentation
K8S应用笔记 —— 签发自签名证书用于Ingress的https配置
热门推荐
gmHappy
08-18 3万+
在本地签发自命名证书,用于`K8S`集群的`Ingress`的https配置。
K8s 集群上运行ca机制
码农崛起
08-19 1321
https://my.oschina.net/u/3874284/blog/3167230 现在我们上微博、或者网购,操作的其实不是眼前这台设备,而是一个又一个集群。通常,这样的集群拥有成百上千个节点,每个节点是一台物理机或虚拟机。集群一般远离用户,坐落在数据中心。为了让这些节点互相协作,对外提供一致且高效的服务,集群需要操作系统。Kubernetes 就是这样的操作系统。 比较 Kubernetes 和单机操作系统,Kubernetes 相当于内核,它负责集群软硬件资源管理,并对外提供统一的入口,用户
单节点k8s—自签名证书—四层负载均衡—helm安装rancher
qq_53980494的博客
09-13 1378
HTTPS 其实就是 HTTP over SSL,也就是让 HTTP 连接建立在 SSL 安全连接之上。不想通过 CA 购买证书,或者仅是用于测试等情况,可以生成自签名证书。我们将使用 NGINX 作为我们的四层负载均衡器(TCP),NGINX 将所有连接转发到您的 Rancher 节点之一。
k8s 安全认证 CA证书双向认证 客户端 服务端 你认证我 我也要认证你
面朝大海,春暖花开
03-23 886
apiserver是访问及管理资源对象的唯一入口 任何访问apiserver,都要经过三个流程 认证 授权 准入控制 认证管理 httpbase 用户名:密码 base64加密 http token 拿着一个很长且难以模仿的token,去访问apiserver https证书:最安全的一种方式,但是操作起来也最麻烦,基于CA 根证书的双向数字证书及认证方式 CA机构 ...
部署一套单Master的K8s集群(kubeadm-V1.21)
05-09
部署单Master的K8s集群(kubeadm-V1.21) 在本文中,我们将部署一个单Master的Kubernetes集群K8s),使用kubeadm-V1.21版本。Kubernetes是一款流行的容器编排系统,提供了自动部署、扩展、管理容器的功能。 1. ...
kubeadm 生成的k8s集群token过期后,集群增加或删除节点—详细文档
06-21
kubeadm 生成的 k8s 集群 token 过期后,集群增加或删除节点 在 kubernetes 集群中,当使用 kubeadm 生成的 token 过期后,集群增加或删除节点需要重新生成 token 并进行相应的配置。下面是详细的解决方法: 1. ...
K8s集群离线安装说明.docx
09-14
K8s集群离线安装说明 本文档旨在指导用户在虚拟机环境中安装K8s集群,涵盖了从环境配置到Master节点和Worker节点的安装配置。通过本文档,用户可以轻松地安装和配置K8s集群。 一、环境配置 1. 虚拟机安装JDK环境...
正式环境K8S集群部署文档.docx
07-19
【Kubernetes(K8S)集群部署详解:使用kubeadm】 Kubernetes(简称K8S)是一个开源的容器编排系统,它允许用户管理和部署容器化的应用。本篇文档将详细阐述如何使用kubeadm工具在正式环境中搭建K8S集群。kubeadm是...
部署一套完整的K8s高可用集群(kubeadm-V1.21)
05-09
部署一套完整的 K8s 高可用集群(kubeadm-V1.21) Kubernetes 作为容器集群系统,通过健康检查+重启策略实现了 Pod 故障自我修复能力,通过调度算法实现将 Pod 分布式部署,并保持预期副本数,根据 Node 失效状态...
kubernetes使用basic认证
qq_25934401的博客
03-06 266
验证成功:https://blog.csdn.net/zhangoic/article/details/81174151 说明: kubectl create clusterrolebinding cluster-test2 --clusterrole=cluster-admin --user=admin cluster-test2是自己命名创建的 clusterrolebinding语法 kub...
HBase原理之HBase Token实现机制
ShuYunBIGDATA的博客
08-26 417
linux12k8s -->14安全认证
明日之星
08-10 252
二、 安全认证 本章节主要介绍Kubernetes的安全认证机制。 1、访问控制概述 ​ Kubernetes作为一个分布式集群的管理工具,保证集群安全性是其一个重要的任务。所谓的安全性其实就是保证对Kubernetes的各种客户端进行认证和鉴权操作。 客户端 ...
k8s登陆token获取命令
m0_48038376的博客
04-15 5546
kubectl -n kube-system describe $(kubectl -n kube-system get secret -n kube-system -o name | grep namespace) | grep token
K8s系列之:基于HTTP BASE的简单认证方式
zhengzaifeidelushang的博客
01-25 1018
K8s系列之:基于HTTP BASE的简单认证方式一、创建用户名、密码和UID文件basic_auth_file二、设置kube-apiserver的启动参数--basic-auth-file三、使用kubectl通过指定的用户名和密码来访问API Server 采用基于HTTP BASE的简单认证方式时,API Server对外暴露HTTPS端口,客户端提供用户名、密码来完成认证过程。 kubectl命令行工具比较特殊,同时支持CA双向认证与简单认证两种模式与apiserver通信。 一、创建用户名、密码
k8s认证和授权
梵修
10-15 2683
在Kubernetes中API Server是访问和管理资源对象的唯一入口。所有客户端均要通过API Server访问或者改变集群状态以及完成数据存储,API Server会对每一次请求进行合法性校验,校验包括:用户身份验证、操作权限验证以及操作是否符合全局规范约束等。所有检查均正常完成才能访问或存储数据到etcd。如下图所示:客户端认证操作由API Server配置的一到多个认证插件完成,收到请求后API Server会串行调用这些插件,直到一个插件可以成功识别用户身份为止。
K8s爬坑系列】之解读kubernetes的认证原理&实践
Vic的博客
08-16 699
对于访问kube-apiserver模块的请求来说,如果是使用http协议,则会顺利进入模块内部得到自己想要的;但是如果是用的是https,则能否进入模块内部获得想要的资源,他会首先要进行https自有的tls握手,进而进入kube-apiserver的三大控制,接下来,就让我一起研究下..... 一,对Kubernetes API访问的三大控制 Authentication:认证,确认“你是不是你",包括多种方式,如Client Certificates, Password, and ...
Kubernetes 忘记token解决方案
专注基础架构领域
07-29 4681
平常工作中我们可能会忘记加入 k8s 集群所需要的token,这个时候我们两种解决方案。 1、永久token生成 通过生成永久token来保证它不会过期,不安全不推荐 $ kubeadm token create --ttl 0 2、临时token生成 个人推荐这种生成一个临时token的方式,可以保证集群安全性 $ kubeadm token create 我们...
K8S证书认证--基于CA签名的双向数字证书认证方式
chaishi1991的博客
07-16 3372
kubernetes 提供了多种安全认证机制, 其中对于集群通讯间可采用 TLS(https) 双向认证机制,也可采用基于 Token 或用户名密码的单向 tls 认证。k8s一般在内网部署,采用私有 IP 地址进行通讯,权威CA只能签署域名证书,我们这里采用自建CA。环境:Master:172.20.103.1Node:172.20.103.2基于CA签名的双向数字证书的生...
在 CentOS 7 中搭建 K8S 集群的步骤是什么?
最新发布
08-26
### 回答1: 在 CentOS 7 中搭建 K8S 集群的步骤如下: 1. 安装 Docker: K8S 需要使用 Docker 作为容器引擎, 因此需要在每个节点上安装 Docker。 2. 安装 kubeadm, kubelet 和 kubectl: kubeadm 是用于在 CentOS 上安装和管理 K8S 集群的工具, kubelet 是 K8S 的主要组件, 用于在节点上运行容器, kubectl 是 K8S 的命令行工具, 用于管理集群。 3. 初始化集群: 使用 kubeadm 初始化集群, 在一个节点上运行 kubeadm init 命令。 4. 加入节点: 使用 kubeadm join 命令在其他节点上加入集群。 5. 安装网络插件: 为了使容器之间可以通信, 还需要安装一个网络插件, 常用的有 Flannel 和 Calico。 6. 部署应用: 可以使用 kubectl 命令在集群中部署应用, 或者使用其他工具如 Helm。 希望这些信息能够帮助你。 ### 回答2: 在CentOS 7中搭建K8S集群的步骤如下: 1. 首先,确保所有节点上的操作系统为CentOS 7,并且所有节点之间能够互相通信。 2. 在所有节点上安装Docker并启动Docker服务。可以通过以下命令进行安装: $ sudo yum install -y docker $ sudo systemctl start docker $ sudo systemctl enable docker 3. 配置Docker的系统参数以支持Kubernetes。通过编辑/etc/docker/daemon.json文件,添加以下内容: { "exec-opts": ["native.cgroupdriver=systemd"] } 4. 配置Kubernetes的YUM源,并安装Kubernetes所需的软件包。可以通过以下命令进行安装: $ sudo vi /etc/yum.repos.d/kubernetes.repo 添加以下内容: [kubernetes] name=Kubernetes baseurl=https://packages.cloud.google.com/yum/repos/kubernetes-el7-x86_64 enabled=1 gpgcheck=1 repo_gpgcheck=1 gpgkey=https://packages.cloud.google.com/yum/doc/yum-key.gpg https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg $ sudo yum install -y kubelet kubeadm kubectl 5. 配置Kubernetes集群的Master节点。在Master节点上执行以下命令: $ sudo kubeadm init 6. 完成Kubernetes集群的Master节点配置后,按照命令输出的指引,将所需的配置文件拷贝到合适的位置,并设置kubectl的配置文件。例如: $ mkdir -p $HOME/.kube $ sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config $ sudo chown $(id -u):$(id -g) $HOME/.kube/config 7. 启动Kubernetes集群的网络插件。可以选择任何支持的网络插件,例如Calico、Flannel等。执行以下命令以安装Calico插件: $ kubectl apply -f https://docs.projectcalico.org/v3.14/manifests/calico.yaml 8. 加入其他节点到Kubernetes集群。按照输出的命令在其他节点上执行以加入集群,例如: $ sudo kubeadm join <Master节点IP>:<Master节点端口> --token <Token值> --discovery-token-ca-cert-hash <CA证书哈希值> 9. 检查Kubernetes集群的状态。执行以下命令以查看集群中节点的状态: $ kubectl get nodes 10. 完成以上步骤后,Kubernetes集群的搭建就完成了。您现在可以开始使用Kubernetes来部署和管理容器应用程序了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值