Kubelet 认证

已于 2024-07-09 14:13:22 修改
阅读量1.8k 收藏 18
点赞数 7
分类专栏: Kubernetes kubelet 文章标签: kubelet 云原生 kubernetes
于 2024-07-09 14:07:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34556414/article/details/140276577
版权

当我们执行kubectl exec -it pod [podName] sh命令时,apiserver会向kubelet发起API请求。也就是说,kubelet会提供HTTP服务,而为了安全,kubelet必须提供HTTPS服务,且还要提供一定的认证与授权机制,防止任何知道kubelet端口的人都能访问它的API。

kubelet 认证

默认情况下,没有携带身份凭证的匿名请求会被认证为用户system:anonymous以及组system:unauthenticated。如果要拒绝将匿名请求认证为以上的用户与组,配置kubelet的如下启动参数,那么匿名请求就会认证失败

--anonymous-auth=false

kubelet的认证方法与apiserver相似,有client证书认证及token认证。

要开启client证书认证:

  • 配置kubelet的启动参数--client-ca-file,用来校验client证书

kubelet 授权

kubelet的默认授权模式为AlwaysAllow,所有通过认证的请求(包括通过认证的匿名请求)有权限访问kubelet所有的API。这显然是不合理的,所以我们需要像apiserver那样对不同的请求赋予不同的权限。

kubelet可以通过如下的方法把授权委托给apiserver:

  • 在apiserver中开启authorization.k8s.io/v1beta1这个API组
  • 配置kubelet的启动参数--authorization-mode=Webhook以及--kubeconfig
  • 然后kubelet就会通过apiserver的SubjectAccessReviewAPI来决定是否给每一个请求授权

kubelet与apiserver的资源映射

kubelet与apiserver的API不一样,当访问kubelet的API时,kubelet需要把这个API映射到apiserver的API,apiserver才知道该授予怎样的权限。kubelet与apiserver的资源映射如下。比如A用户访问kubelet的Get /healthz,那么会映射为apiserver的Get /api/v1//nodes/<kubelet-name>/proxy,然后kubelet会通过apiserver的SubjectAccessReview判断A用户是否有权限访问apiserver对应的API

Apiserver访问kubelet

在kubeadm安装方法中,apiserver要访问kubelet的API,会携带一个client证书,这个证书由apiserver的启动参数--kubelet-client-certificate--kubelet-client-key指定。kubeadm为apiserver生成的client证书中的域名为与组织分别为CN=kube-apiserver-kubelet-clientO=system:masters

当apiserver携带这个证书去访问kubelet时,就会被认证为上面的用户与组,然后apiserver访问kubelet,检测这个用户与组的权限。kubeadm会在集群中为这个用户与组建立如下的ClusterRole与ClusterRoleBinding。可以看出,system:masters这个组拥有所有的权限

cat kube-apiserver.yaml 

    - --kubelet-client-certificate=/etc/kubernetes/pki/apiserver-kubelet-client.crt
    - --kubelet-client-key=/etc/kubernetes/pki/apiserver-kubelet-client.key
    - --kubelet-preferred-address-types=InternalIP,ExternalIP,Hostname
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: cluster-admin
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: Group
  name: system:masters
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: cluster-admin
rules:
- apiGroups:
  - '*'
  resources:
  - '*'
  verbs:
  - '*'
- nonResourceURLs:
  - '*'
  verbs:
  - '*'

kubelet TLS私钥与证书

kubelet要提供HTTPS服务,那么它需要一个私钥和一个签名证书。我们可以通过kubelet的启动参数--tls-cert-file--tls-cert-private-key来指定。如果这两个参数没有指定,那么kubelet会生成一个自签名证书,放在--cert-dir目录(默认/var/lib/kubelet/pki),自签名证书的名字为kubelet.key、kubelet.crt:

$ ls -lh /var/lib/kubelet/pki
-rw-------. 1 root root 2.8K Mar 10 11:26 kubelet-client-2023-03-10-11-26-25.pem
lrwxrwxrwx. 1 root root   59 Mar 10 11:26 kubelet-client-current.pem -> /var/lib/kubelet/pki/kubelet-client-2023-03-10-11-26-25.pem
-rw-r--r--. 1 root root 2.2K Mar 10 11:26 kubelet.crt
-rw-------. 1 root root 1.7K Mar 10 11:26 kubelet.key

我们查看kubelet.crt的Issure与Subject,可以发现是一样的(即自签名),就为主机名加一个数字后缀,DNS中有一个记录就为主机名:

$ openssl x509 -text -in /var/lib/kubelet/pki/kubelet.crt 
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 2 (0x2)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: CN=kata02-ca@1678418785
        Validity
            Not Before: Mar 10 02:26:24 2023 GMT
            Not After : Mar  9 02:26:24 2024 GMT
        Subject: CN=kata02@1678418785
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    ...
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            X509v3 Extended Key Usage: 
                TLS Web Server Authentication
            X509v3 Basic Constraints: critical
                CA:FALSE
            X509v3 Authority Key Identifier: 
                keyid:C4:7A:AD:CC:65:73:17:07:3B:69:3A:C9:B7:53:EE:0C:CC:04:07:7C

            X509v3 Subject Alternative Name: 
                DNS:kata02
...

我们可以查看kubelet的源码,也可以确定,就是自签名的一个证书:

由于kubelet默认情况下用的就是自签名证书,所以kube-apiserver在连接kubelet时(比如kubectl logs),并不会校验kubelet.crt证书。 

富士康质检员张全蛋
关注
  • 7
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kubelet 认证
discsthnew的博客
03-24 2084
译自 https://kubernetes.io/docs/admin/kubelet-authentication-authorization/ Overview 通过kubelet暴露的https api接口,可以访问到不同的“敏感”数据,并且允许你在节点和容器内执行不同级别的操作。 本篇文档描述了kublet https 断点如何鉴权。 Kubelet 认证 默认情况下,到ku...
深入理解kubelet认证和授权
徒行沙漠
01-31 2372
参考官网说明文档:https://kubernetes.io/zh/docs/reference/command-line-tools-reference/kubelet/ 在通过kubectl访问pod信息,例如执行kubectl logs,常常会遇到类似如下错误: [root@master01 ssl]# kubectl logs nginx-deployment-6b474476c4-gdbdn Error from server: Get https://172.31.3.205:10250/
kubelet源码阅读
cser的博客
03-26 276
kubelet部分源码阅读
Prometheus 监控Kubelet的运行状态
小楼一夜听春雨,深巷明朝卖杏花
07-04 2047
kubelet通过/metrics暴露自身的指标数据。kubelet有两个端口都提供了这个url,一个是安全端口(10250),一个是非安全端口(10255,kubeadm安装的集群该端口是关闭的)。安全端口使用https协议,而且还需要认证与授权,所以我们通过浏览器直接访问会返回401 Unauthorized。有两种方法可以在浏览器访问到这个Url:一个是开启kubelet的非安全端口;。比如,我们一个集群有两个节点我们可以通过以下两种方式,在浏览器中都可以访问到peng02的kubelet指标。
k8s中kubelet接口的认证和授权
weixin_47729423的博客
08-11 1424
访问kubelet接口的认证和授权
深入理解Kubelet
Kason_iWiki
02-18 3085
文章目录kubelet架构kubelet管理pod的核心流程Kubelet节点管理Pod管理Pod启动流程kubelet启动pod的流程(细) kubelet架构 架构剖析: 最上边为API层,有自己的healthz健康检测机制,只读API暴露metrics。 子系统有ProbeManager(主要做探活,kubelet作为代理,运行在每个节点,功能有2点:a.上报节点信息,b.接收apiserver指令,控制Pod生命周期),syncLoop组件:watch apiserver,有事件发生时,需要Po
Kubernetes认证和授权简介
weixin_56561688的博客
05-04 324
作为一个Kubernetes用户,我们需要定期审查和更新RBAC策略,限制kubelet端口的访问权限,添加认证和授权的插件以及使用TLS加密通信等措施来保障集群安全。另外,我们还强调了安全意识的重要性,并希望通过本文的介绍,能够增强大家对Kubernetes安全的重视,更加注重集群的安全性。在本文中,我们将简要介绍Kubernetes认证和授权,并提供一些常见的安全问题和对策。在这个快速发展的云时代,Kubernetes因其强大的功能和可靠的性能,成为了越来越多企业所选择的容器编排平台。
kubernetes 组件之 kubelet
看,未来的博客
06-03 909
每个Node节点上都运行一个 Kubelet 服务进程,默认监听 10250 端口,接收并执行 Master 发来的指令,管理 Pod 及 Pod 中的容器。每个 Kubelet 进程会在 API Server 上注册所在Node节点的信息,定期向 Master 节点汇报该节点的资源使用情况,并通过 cAdvisor 监控节点和容器的资源。Kubelet主要职责在:节点管理主要是节点自注册和节点状态更新:Kubelet 以 PodSpec 的方式工作。PodSpec 是描述一个 Pod 的 YAML 或 J
kubelet 命令行参数
屈帅波的技术博客
08-13 1834
参数类型 kubelet的参数在加载过程中一种是通过命令行直接加载,一种是通过–config指定一个配置文件 然后去加载,一种是已经弃用 或者是在未来版本中会弃用的参数 config xxx \ xxxxx \ 已弃用参数(config可指定) (已弃用:在 --config 指定的配置文件中进行设置。有关更多信息,请参阅 https://kubernetes.io/docs/tasks/administer-cluster/kubelet-config-file/。) 参数 类型 描述 默认值
2、Kubernetes 集群安全 - 认证1
08-04
例如,当kubelet首次访问API Server时,会使用预先获取的token进行认证,一旦通过验证,Controller Manager会为kubelet生成一个证书,之后的通信都将使用此证书。此外,kubeconfig文件是连接到Kubernetes集群的关键...
CKA认证-k8s基本操作.rar
07-23
《CKA认证-k8s基本操作》 在深入探讨CKA(Certified Kubernetes Administrator)认证中的Kubernetes(k8s)基本操作之前,首先需要理解Kubernetes的核心概念。Kubernetes是一种容器编排系统,用于自动化容器化应用...
KubernetesK8s CKS 认证实战班(安全专家)课程分享
08-04
- **Node 组件**:包括 kubeletkube-proxy 等。 - **Etcd**:负责存储集群的状态数据。 3. **Kubernetes 的优势**: - **高可用性**:通过自我修复机制保证应用的高可用。 - **可伸缩性**:支持水平和垂直的...
十二张图:从0开始理解对称-非对称加密、CA认证、以及K8S各组件颁发证书原由.doc
07-09
K8S 中的证书颁发机制是使用 CA 机构颁发的证书,ApiServer、Controller Manager、Scheduler 等组件都有自己的公钥和私钥,而像 kubelet 这种只要有 CA 认证机构的公钥匙证书就行。实践中,我们可以使用 cfssl 工具...
kubernetes-starter:kubernetes入门,包括kubernetes概念,架构设计,部署环境构建,认证授权等
02-03
Worker节点则是执行实际任务的地方,它们运行Pods,并通过Kubelet(与Master通信的代理)和Container Runtime(如Docker)来管理Pod和容器。 在"部署环境构建"部分,我们通常会学习如何设置和配置Kubernetes集群。...
启动完 kubelet 日志显示 failed to get azure cloud in GetVolumeLimits, plugin.host: 1
u011458344的专栏
07-09 371
【代码】启动完 kubelet 日志显示connection refused。
性能调优 17. GraalVM云原生时代的Java虚拟机
最新发布
xingwanganfang的博客
07-25 1499
‌‌‌‌‌‌  Java总体上是面向大规模、长时间的服务端应用而设计的。‌‌‌  即时编译器(JIT)、性能优化、垃圾回收等有代表性的特征。‌‌‌‌‌‌  微服务时代对启动速度达到最高性能的时间提出了新的要求!‌‌‌  在微服务的背景下,提倡服务围绕业务能力构建,不再追求实现上的严谨一致。‌‌‌  单个微服务就不再需要再面对数十、数百GB乃至TB的内存。‌‌‌  有了高可用的服务集群,也无须追求单个服务要7×24小时不可间断地运行,它们随时可以中断和更新。‌‌‌  所以微服务。
k8s核心知识总结
weixin_37172178的博客
07-25 1787
容器和镜像的关系可以理解为对象和类,或者java代码和java进程build:通过dockerfile 创建一个镜像tag:镜像本身可以进行版本迭代push/pull:类似git的中央仓库,可以用来提交镜像文件(包括公有和私有)load/save:拥有本地传输镜像文件run/commit:镜像运行一个容器实例,或者提交一个镜像文件start/stop:运行或停止一个容器。
kubelet认证授权过程
06-13
kubelet认证和授权过程如下: 认证: 1. kubelet 会向 kube-apiserver 发送一个证书签名请求(CSR),用于获取一个证书。 2. kube-apiserver 接收到 CSR 请求,并对请求进行验证,如果验证通过,将会自动签发一个证书,并将证书返回给 kubelet。 3. kubelet 使用证书和私钥进行 TLS 验证,以向 kube-apiserver 发送安全请求。 授权: 1. kubelet 启动时,会向 kube-apiserver 查询当前节点的 `Node` 对象,获取该节点的授权信息。 2. kube-apiserver 返回该节点的 `Node` 对象,其中包含当前节点的 `PodCIDR` 和 `PodCIDRs` 信息。 3. kubelet 会将 `PodCIDR` 和 `PodCIDRs` 信息发送给 CNI 插件,以便 CNI 插件可以为该节点上的 Pod 分配 IP 地址。 4. kubelet 会将节点的 `Node` 对象缓存到本地,并周期性地向 kube-apiserver 发送 `NodeHeartbeat` 请求,以更新该节点的 `Node` 对象信息。 通过以上的认证和授权过程,kubelet 可以在安全的环境下与 kube-apiserver 进行通信,并获取当前节点的授权信息。这样,kubelet 就可以为该节点上的 Pod 分配 IP 地址,并定期向 kube-apiserver 发送心跳包,以保持通信连接。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值