k8s集群安全机制

最新推荐文章于 2024-08-15 23:22:41 发布
最新推荐文章于 2024-08-15 23:22:41 发布
阅读量551 收藏
点赞数
分类专栏: Kubernetes 文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34276797/article/details/109360758
版权

1、概述:

(1)访问k8s集群的时候,需要经过三个步骤完成具体操作 

       第一步:认证操作

       第二步:鉴权(授权)

       第三步:准入控制

(2)进行访问时候,过程中都需要经过apiserver,apiserver做统一协调,比如门卫。

访问过程中需要证书、token、或者用户名+密码

如果访问Pod,需要serviceAccount

 

第一步认证 传输安全

*  传输安全: 对外不暴露8080端口,只能内部访问,对外使用端口6443

* 认证

客户端身份认证常用方式

  * https证书认证,基于ca证书

 * http token认证,  通过token识别用户

* http 基本认证,用户名+密码认证

第二步 鉴权(授权)

 * 基于RBAC进行鉴权操作

 * 基于角色的访问控制

第三步 准入控制

  * 就是准入控制器的列表,如果列表有请求内容通过,没有拒绝

2、 RBAC

基于角色的访问控制

* 角色

** role:特定命名空间访问权限

** ClusterRole:所有命名空间访问权限

*角色绑定

** roleBinding:角色绑定到主体

** ClusterRoleBinding:集群角色绑定到主体 

* 主体

user:用户

group:用户组

serviceAccount:服务账号

1、创建命名空间

kubectl create ns 命名空间名

2、在新创建的命名空间中创建一个Pod

kubectl run nginxNS --image=nginx -n nsdemo

3、创建角色

kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: nsdemo
  name: pod-reader
rules:
- apiGroups: [""] # "" indicates the core API group
  resources: ["pods"]
  verbs: ["get", "watch", "list"]

4、创建角色绑定

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: read-pods1
  namespace: nsdemo
subjects:
- kind: User
  name: mary
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role # this must be Role or ClusterRole
  name: pod-reader # this must match the name of the Role or ClusterRole you wish to bind to
  apiGroup: rbac.authorization.k8s.io

部署的时候有问题:❓

<-->
关注
专栏目录
Kubernetes ---集群安全机制
weixin_43273856的博客
06-15 142
k8s 中,所有资源的访问和变更都是围绕 APIServer 展开的。比如说 kubectl 命令、客户端 HTTP RESTFUL 请求,都是去 call APIServer 的 API 进行的。上面这张图,描述了用户在访问或变更资源的之前,需要经过 APIServer 的认证机制、授权机制以及准入控制机制。这三个机制可以这样理解,先检查是否合法用户,再检查该请求的行为是否有权限,最后做进一步的验证或添加默认参数。k8s 中有两种用户,一种是内置“用户” ServiceAccount,另一种我称之为自
K8S二进制部署详解,一文教会你部署高可用K8S集群
景天科技苑
02-07 4077
虽然kubeadm方式搭建K8S比较简单,但是对里面的原理都不清楚的话,生产中使用功能可能不便于排查故障。二进制方式部署的k8s集群比较稳定。 二进制方式搭建:在官网下载相关组件的二进制包,如果手动安装,对kubernetes理解也会更全面。 Kubeadm和二进制都适合生产环境,在生产环境运行都很稳定,具体如何选择,可以根据实际项目进行评估。
k8s-集群安全机制
weixin_43025075的博客
11-18 201
1、概述 (1)访问k8s集群时候,需要经过三个步骤完成具体操作 认证 鉴权(授权) 准入控制 (2)进行访问时候,过程中都需要经过apiserver, apiserver做统一协调,比如门卫。 访问过程中需要证书、token、或者用户名+密码 如果访问pod需要serviceAccount 第一步 认证 传输安全 传输安全:对外不暴露8080端口,只能内部访问,对外使用端口6443 认证 客户端身份认证常用方式: HTTPS证书认证,基于ca证书 http token认证,通过token识别
kubernetesk8s安全机制
最新发布
qq_54188720的博客
08-15 1037
客户端若想要发送请求给apiserver操作管理K8S资源对象,需要先通过三关安全验证:认证(Authentication)、鉴权(Authorization)、准入控制(Admission Control)
Kubernetes - 安全
qq_43164571的博客
02-19 865
------------------------------------------------------------1、机制说明2、认证Authentication1)HTTPS 证书认证2)需要认证的节点两种类型安全性说明证书颁发3)kubeconfig4)ServiceAccount5)Secret 与 SA 的关系总结 1、机制说明 Kubernetes 作为一个分布式集群的管理工具,保证集群安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介,也是外部控制的入口。所以
K8S安全机制
L2111533547的博客
08-07 1535
访问K8S集群的资源需要过三关:认证、鉴权、准入控制普通用户若要安全访问集群API Server,往往需要证书、 Token或者用户名+密码;Pod访问,需要ServiceAccountK8S安全控制框架主要由下面3个阶段进行控制,每一个阶段 都支持插件方式,通过API Server配置来启用插件。1. Authentication:用于识别用户身份, 方式有: SSL证书,token, 用户名+密码等2. Authorization:确认是否对资源具有相关的权限。......
k8s-安全机制
Andrew的博客
05-04 257
文章目录AuthenticationⅠ、HTTPS 证书认证:Ⅱ、需要认证的节点两种类型安全性说明证书颁发Ⅲ、kubeconfifigⅣ、ServiceAccountⅤ、Secret 与 SA 的关系实践:创建一个用户只能管理 dev 空间 Authentication HTTP Token 认证:通过一个 Token 来识别合法用户 HTTP Token 的认证是用一个很长的特殊编码方式的...
K8s集群安全攻防(上)
hackzkaq的博客
01-19 612
在打攻防演练的时候偶尔会遇到目标内网资产采用集群化部署的情况(GuoQi偏多),在这种情况下由于刷分需求就需要对集群进行攻击测试以争取控制整个集群,本篇文章将从K8s的基本概念、主要组件、架构和安全评估测试方法等维度对K8s安全进行系统性介绍。
K8S安全机制介绍
weixin_39970002的博客
11-09 2618
K8S安全机制介绍概述认证(Authentication)授权鉴权(Authorization)准入控制(Adminssion Control) 概述 K8S安全控制框架主要由下面3个阶段进行控制,每一个阶段都支持插件方式,通过API Server配置来启用插件。 Authentication Authorization Admission Control 当kubectl ,ui,程序 等请求某个 k8s 接口时,需要经过认证(判断真伪),鉴权(是否有权限这么做),准入控制(能不能个这
在centos 7中安装配置k8s集群的步骤详解
01-20
kubernetes是google开源的容器集群管理系统,提供应用部署、维护、扩展机制等功能,利用kubernetes能方便管理跨集群运行容器化的应用,简称:k8s(k与s之间有8个字母) 为什么要用kubernetes这么复杂的docker集群...
二进制高可用k8s集群一键部署脚本
04-02
在IT行业中,Kubernetes(简称k8s)已经成为容器编排和管理的首选平台,而Docker则是构建和运行容器的基础。...这个一键部署脚本是学习和实践的好工具,可以帮助你快速上手,深入了解k8s集群的运作机制
K8S监控模板,用于k8S集群Pod监控
03-08
为了确保K8S集群的高效运行和稳定性能,监控是必不可少的一环。标题和描述提到的"K8S监控模板"是为了帮助用户更好地观测和管理K8S集群中的Pods,确保应用程序的正常运行。下面我们将详细探讨K8S监控的关键知识点,...
k8s——安全机制
sea_bunch的博客
06-07 1330
RoloBinding 可以将角色中定义的权限授予用户或用户组,RoleBinding 包含一组主体(subject),subject 中包含有不同形式的待授予权限资源类型(User、Group、ServiceAccount)RoloBinding 同样包含对被绑定的 Role 引用;RoleBinding 适用于某个命名空间内授权,而 ClusterRoleBinding 适用于集群范围内的授权准入控制是API Server的一个准入控制器插件列表,通过添加不同的插件,实现额外的准入控制规则。
k8s安全机制
Kubernetes enthusiasts
02-08 4908
一、kubernetes安全机制 api server是k8s集群的入口,默认有两个端口: 本地端口8080: 用于接收HTTP请求, 不对外服务, 非认证或授权的HTTP请求通过该端口访问API Server 安全端口6443: 用于接收认证授权的HTTPS请求,对外服务。 用户通过安全端口访问k8s的api server需要过三关:认证、授权、准入控制 Authentication认证: 用于识别用户身份, 方式有: SSL证书,token, 用户名+密码等 Authorization授
K8s安全机制
qq_37705525的博客
05-14 413
K8s安全机制
Kubernetesk8s安全机制
weixin_56270746的博客
08-11 2018
Kubernetes 作为一个分布式集群的管理工具,保证集群安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介, 也是外部控制的入口。
K8S——安全机制
rmh0713的博客
06-05 737
默认情况下,每个 namespace 都会有一个 Service Account,如果 Pod 在创建时没有指定 Service Account,就会使用 Pod 所属的 namespace 的 Service Account。比如 kubectl 如果想向 API Server 请求资源,需要过三关,第一关是认证(Authentication),第二关是鉴权(Authorization), 第三关是准入控制(Admission Control),只有通过这三关才可能会被 K8S 创建资源。
K8s集群监控实战:Prometheus与Grafana全面集成
"本文主要探讨如何使用Prometheus全方位监控Kubernetes(K8s)集群,并与Zabbix进行对比,介绍Prometheus的架构、部署方法、数据可视化以及K8s集群对象的监控告警策略。" 在现代云原生环境中,监控系统扮演着至关重要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值