k8s之认证鉴权准入控制

已于 2022-06-28 20:46:04 修改
阅读量809 收藏 2
点赞数
分类专栏: K8S 文章标签: k8s认证
于 2022-04-29 16:57:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34562093/article/details/124499863
版权

k8s认证,Authentication,检查用户是否为合法用户。认证方式有很多,常用的是 X509 Client Certs(用于外部用户如kubectl)和Service Accout Tokens(用于pod中进程),kubeconfig使用X509 Client Certs方式。
同时ServiceAccount Resource中主要包含了三个内容:namespace、token和ca.crt,其中namespace表示当前管理的命名空间;ca.crt用于校验服务端的的证书信息,即apiserver是否可信;token用于对pod进行身份认证。

k8s鉴权,Authorization,判断该用户是否具有该操作的权限。支持 Node、RBAC、ABAC等机制,RBAC 为主流方式。
RBAC 其实就是通过创建角色(Role),通过 RoleBinding 将被作用者(subject)和角色(Role)进行绑定
其中,
role:指定namespace上一系列权限的集合,如对某个资源的list、get、watch操作权限。
clusterRole: 集群维度的一系列权限的集合
subjects:可以是开发人员、集群管理员这样的自然人,也可以是系统组件进程、Pod中的业务进程,即user(这个user暂时理解为kubectl)、group或sa(自动生成secret并绑定到sa)
roleBinding:进行role和Subject的绑定
clusterRoleBinding:进行clusterRole和Subject的绑定
同时系统预置了一些clusterRole,如 cluster-admin(最高权限)、admin、edit、view等,可以通过以下命令快速绑定集群管理员权限
kubectl create clusterrolebinding vela-core-clusterrolebinding --clusterrole=cluster-admin --user=vela-core

k8s准入控制,Admission Control,在对象被持久化到etcd之前,对请求的资源对象进行修改和校验。
Admission webhooks是Admission的扩展,是一种HTTP回调,能够接收Admission请求并对进行修改或验证,主要有MutatingAdmissionWebhook(修改)和ValidatingAdmissionWebhook(验证),如果启用了MutatingAdmissionWebhook,当开始操作一种k8s资源对象的时候,创建请求就会通过apiserver路由到service再到所编写的服务中,然后我们就可以做一系列的操作,包括植入注解等;而ValidatingAdmissionWebhook 是按照你自定义的逻辑是否允许资源的创建。

傅里叶、
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kubernetes K8s CKA认证-PPT
05-24
安装k8s.pdf 0-docker.pdf 1.pod.pdf 10.安全及配额管理.pdf 13.devOps实战.pdf 14-sts.pdf 15.k8s升级.pdf 15.多master.pdf 2.volume.pdf 3.密码管理.pdf 4.deployment.pdf 5.daemonset.pdf 5.健康性...
k8s之lens使用方式
06-30
k8s之lens使用方式
k8s安全 认证 鉴权 准入控制之四:准入控制
张成基
07-07 2万+
系列文章链接 k8s安全 认证 鉴权 准入控制之一:认证(Authentication) k8s安全 认证 鉴权 准入控制之二:授权(Authorization) k8s安全 认证 鉴权 准入控制之三:实践 k8s安全 认证 鉴权 准入控制之四:准入控制 准入控制 认证插件和授权插件完成身份认证和权限检查之后,准入控制器将拦截那些创建、更新和删除的相关操作请求以强制实现控制器中实现的功能。 准入控制是API Server的插件集合,通过添加不同的插件,实现额外的准入控制规则。甚至于API Server的
k8s安全 认证 鉴权 准入控制之一:认证(Authentication)
热门推荐
张成基
07-06 2万+
k8s安全 认证 鉴权 准入控制之一:认证(Authentication) 机制说明 Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部 各个组件通信的中介,也是外部控制的入口。所以 Kubernetes 的安全机制基本就是围绕保护 API Server 来设计 的。Kubernetes 使用了认证(Authentication)、鉴权(Authorization)、准入控制(Admission Control)三步来保证API Serv
k8s安全 认证 鉴权 准入控制之一:实践
张成基
07-06 2万+
系列文章链接 k8s安全 认证 鉴权 准入控制之一:认证(Authentication) k8s安全 认证 鉴权 准入控制之二:授权(Authorization) k8s安全 认证 鉴权 准入控制之三:实践 实践: 创建一个用户只能管理 dev 空间 在集群的master节点主机生成用户 $ useradd devuser $ passwd devuser 如果在集群的master节点通过这个用户连接然后执行kubectl命令肯定是没有权限的,需要给他生成证书,然后设置权限 设置证书生
k8s安全 认证 鉴权 准入控制之二:授权(Authorization)
张成基
07-06 2万+
系列文章链接 k8s安全 认证 鉴权 准入控制之一:认证(Authentication) k8s安全 认证 鉴权 准入控制之二:授权(Authorization) 授权(Authorization) ·上面认证过程,只是确认通信的双方都确认了对方是可信的,可以相互通信。而鉴权是确定请求方有哪些资源的权 限。API Server 目前支持以下几种授权策略 (通过 API Server 的启动参数 “–authorization-mode” 设置) 默认使用RBAC AlwaysDeny:表示拒绝所有的请
k8s安全,认证,鉴权.准入控制
Persistence___的博客
08-07 291
机制说明 认证 HTTPS认证 需要认证的节点 查看pod中serviceAccount demo 总结 pod使用Service Account 调用API Server k8s组件 使用证书 调用API Server 鉴权 常用的RBAC角色访问控制 RBAC API资源对象说明 ...
K8S学习之用户认证鉴权
CharlesYan的博客
12-17 1980
介绍基于角色访问控制(RBAC)的ServiceAccount创建流程
k8s-RBAC原理 - kubernetes认证鉴权准入控制 k8s-serviceaccount-RBAC curl请求k8s API
yuezhilangniao的博客
04-04 372
kubernetes认证,授权概括总结: RBAC简明总结摘要: API Server认证授权过程:   subject(主体)----->认证----->授权【action(可做什么)】------>准入控制【Object(能对那些资源对象做操作)】 认证:   有多种方式,比较常用的:token,tls,user/password 账号:   k8s中账号的概念不是我们理解的账号,它并不真的存在,它只是形式上存在。   它有两种账号: UserAccount(人使用的账号), Ser
k8s-身份认证与权限 认证鉴权准入控制- 各种方式带例子-推荐-2023
yuezhilangniao的博客
07-03 4945
k8s中的有两类型的用户:被k8s集群管理的服务账号 ( Service Account Pod 对象)和常规用户 (User Account 现实中的“人”)。认证 鉴权 准入控制 访问控制列表
一文读懂K8s安全控制:从鉴权准入控制
最新发布
zgt_certificate的博客
06-18 628
客户想要访问K8s集群的API Server,一般需要证书、Token或用户名+密码。实际上是一个准入控制器插件列表,发送到API Server的请求都需要经过这个列表中的每个准入控制器插件的检查。通过配置和管理准入控制器,可以确保所有进入Kubernetes集群的请求都经过严格的审查和验证。最后一步是准入控制插件,这些插件可以对即将持久化的资源进行检查、修改或拒绝。鉴权通过后,API Server会检查该用户是否有权限执行所请求的操作。经过上述三步之后,请求才会被处理,对应的操作才会在集群中执行。
K8S之 metrics-server 组件
06-17
在Kubernetes(K8S)生态系统中,metrics-server是一个至关重要的组件,它为集群提供了核心资源利用率的度量数据,如CPU和内存使用率。这些度量数据对于集群的自动扩展、调度以及整体性能监控至关重要。本文将深入...
k8s 认证 cka-模拟环境资料
01-05
文章《K8s 认证工程师 CKA 考题分析和题库练习》中需要用到的文件资料!里面包含 addon.tar.gz、etcd-v3.4.13-linux-amd64.tar.gz、metrics.yaml、metrics-server-amd64-0-3-6.tar.gz 4 个文件。
k8s CRD相关
fourierr的博客
07-21 8265
1、CRD的意义 Kubernetes 1.7之后,提供了CRD(CustomResourceDefinitions)自定义资源的二次开发能力来扩展kubernetes API,通过此扩展可以向kubernetes API中增加新的资源类型,会比修改kubernetes apiserver的源代码或创建自定义的apiserver来的更加的简洁和容易, 2、在k8s上创建资源的过程 用户创建一个资源,实际上是把k8s抽象的资源根据资源清单(yaml文件)做实例化。具体过程如下...
k8s之容器内存与JVM内存
fourierr的博客
09-07 7555
容器内存与JVM内存
k8s之client-go的update和patch
fourierr的博客
07-10 4333
k8s之update和patch
k8s之listwatch与informer简单理解
fourierr的博客
01-18 3648
informer简介 Informer是一个能够缓存apiserver的对象到本地、具有索引机制、并可以注册 EventHandler 的 client。使用 informer 的目的是为了减轻 apiserver 数据交互的压力,其中本地缓存被称为 Store,索引被称为 Index。 Informer流程:informer的listandwatch机制,默认是每10h从apiserver中整体list一次,有add、delete等事件时会通过watch机制把这个事件+对象放到deltaFIFO中,然后
k8s部署nacos开启鉴权
08-16
要在Kubernetes上部署Nacos并开启鉴权,你可以按照以下步骤进行操作: 1. 创建一个Nacos的配置文件 `nacos-config.yaml`,并将以下内容填入: ```yaml apiVersion: v1 kind: ConfigMap metadata: name: nacos-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值