k8s学习第19天--证书认证

最新推荐文章于 2024-02-29 13:40:55 发布
最新推荐文章于 2024-02-29 13:40:55 发布
阅读量752 收藏 1
点赞数
分类专栏: k8s 文章标签: kubernetes 学习 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34893654/article/details/130487302
版权

k8s的认证机制

Kubernetes (k8s) 提供了多种用于认证管理的机制,这些机制可以确保只有经过授权的用户和服务能够访问Kubernetes集群。

以下是Kubernetes中常用的一些认证管理机制:

  1. 证书认证:通过使用X.509证书来进行身份验证和授权。Kubernetes集群必须配置CA证书颁发机构,以便在证书过期之前对颁发的证书进行撤销并更新。

  2. Token认证:在Kubernetes API服务器上创建一个持久令牌,该令牌可用于访问API服务器。每个Token都有一组绑定到它上面的权限,从而可以限制对资源的访问。

  3. OpenID Connect(OIDC)认证:支持使用OpenID Connect作为身份验证协议。OIDC是建立在OAuth2协议之上的标准化协议,用于处理用户身份验证和授权操作。

  4. Webhook认证:Kubernetes API服务器允许开发人员编写Webhook插件,以执行自定义逻辑来检查用户请求中的身份验证令牌或证书是否有效。

  5. Service Account认证:用于自动化流程中的应用程序和容器,使它们能够与Kubernetes API交互。Service Account会分配给特定的命名空间,并与一组RBAC规则相关联,以限制其对资源的访问。

这些认证管理机制可以与Kubernetes的授权管理机制一起使用,以实现更强大和安全的访问控制。

证书认证

在 Kubernetes 中,证书认证是一种常见的身份验证机制。它基于 X.509 证书进行身份验证和授权。

Kubernetes 证书

Kubernetes 集群中使用的主要证书包括:

  • CA 证书:签发其它证书的根证书。
  • API Server 证书:用于保护 Kubernetes API Server。
  • Service Account 证书:用于在 Kubernetes (k8s) 内部进行自动化流程的应用程序和容器。

Kubernetes 证书颁发机构

Kubernetes 集群必须配置一个 CA 证书颁发机构 (CA Issuer),以便向集群中的用户和服务颁发证书。

CA 证书颁发机构可以是 Kubernetes 的内置机制,也可以是外部证书颁发机构。当 Kubernetes 集群需要向一个新用户或服务颁发证书时,它会使用 CA 证书颁发机构来签署该证书。

Kubernetes 身份验证过程

  1. 用户通过 kubectl 或者其它客户端工具向 Kubernetes API Server 发出请求。
  2. Kubernetes API Server 验证请求中的证书签名是否有效,并检查该证书是否为受信任的 CA 签发的。
  3. 如果证书验证通过,则 Kubernetes API Server 将确定该用户是否有足够的权限执行该请求。如果没有足够的权限,则请求将被拒绝。

Kubernetes 证书管理

为了确保 Kubernetes 集群的安全性,必须定期对证书进行管理。证书管理包括以下操作:

  • 颁发新的证书。
  • 撤销过期或者失效的证书。
  • 更新 CA 证书。

在 Kubernetes 中,可以使用一些工具来管理证书,如 cfsslcert-manager 等。

证书认证配置

在 Kubernetes 中,配置证书认证需要以下步骤:

  1. 配置 CA 证书颁发机构 (CA Issuer)。可以使用 Kubernetes 内置的 kubeadm 工具来配置 CA 证书颁发机构。

  2. 配置 API Server 证书。可以使用 Kubernetes 内置的 kubeadm 工具来生成 API Server 证书,并将其复制到正确的位置。

  3. 配置 Service Account 证书。Service Account 证书是自动生成的,可以在容器中作为一个 secret 进行挂载。

  4. 配置 kubectl,以便使用证书进行身份验证。可以使用 kubectl config set-credentials 命令来配置 kubectl 的证书。

下面是更详细的配置步骤:

步骤1. 配置 CA 证书颁发机构

可以使用 kubeadm 工具来初始化 Kubernetes 集群并配置 CA 证书颁发机构:

sudo kubeadm init --pod-network-cidr=10.244.0.0/16

此命令将初始化 Kubernetes 集群,并使用默认的 kubeadm-certs 证书颁发机构来颁发证书。

步骤2. 配置 API Server 证书

可以使用 kubeadm 工具来生成 API Server 证书:

sudo kubeadm init phase certs apiserver --apiserver-advertise-address=${MASTER_IP} --apiserver-cert-extra-sans=${MASTER_IP}

此命令将生成 API Server 证书,并将其保存到 /etc/kubernetes/pki/apiserver.crt/etc/kubernetes/pki/apiserver.key 文件中。

步骤3. 配置 Service Account 证书

Service Account 证书是自动生成的,可以在容器中作为一个 secret 进行挂载:

kubectl create sa my-service-account kubectl get sa my-service-account -o yaml

此命令将创建一个名为 my-service-account 的 Service Account,并返回其 secret 名称。

然后可以将该 secret 挂载到容器中:

apiVersion: v1
kind: Pod
metadata:
  name: my-pod
spec:
  serviceAccountName: my-service-account
  containers:
  - name: my-container
    image: nginx
    volumeMounts:
    - name: my-service-account-token
      mountPath: /var/run/secrets/kubernetes.io/serviceaccount
      readOnly: true
  volumes:
  - name: my-service-account-token
    secret:
      secretName: my-service-account-token-dz6f5

此 YAML 文件将创建一个名为 my-pod 的 Pod,其中的 serviceAccountName 字段指定了使用的 Service Account。然后将该 secret 挂载到 /var/run/secrets/kubernetes.io/serviceaccount 目录下。

步骤4. 配置 kubectl 的证书

可以使用以下命令来配置 kubectl 的证书:

kubectl config set-credentials my-user --client-certificate=/path/to/client.crt --client-key=/path/to/client.key

此命令将创建一个名为 my-user 的 kubectl 用户,并将其证书和私钥配置为:/path/to/client.crt/path/to/client.key。在完成了这些步骤之后,就可以使用证书进行身份验证和授权了。

证书认证配置验证

  1. 使用 kubectl 命令行工具进行验证。例如,可以使用以下命令获取集群的版本信息:

    kubectl version

    如果证书认证成功,则应该能够看到正确的版本信息。

  2. 使用 Kubernetes Dashboard 进行验证。如果已经设置了 Kubernetes Dashboard,则可以通过浏览器访问 Dashboard 页面,并检查是否已显示正确的信息。通常情况下,会要求输入用户名和密码进行身份验证,但是在配置了证书认证之后,就可以直接登录。

  3. 检查 kube-apiserver 的日志。可以使用以下命令来查看 kube-apiserver 的日志:

    journalctl -u kube-apiserver -f

    如果证书认证失败,则可能会看到类似以下的错误消息:

    x509: certificate signed by unknown authority

如果以上步骤都没有发现问题,则可以确认证书认证已经成功地配置好了。

如何查看认证管理机制

您可以使用以下命令来查看 Kubernetes 中的认证管理机制:

kubectl config view

此命令将返回一个 YAML 格式的配置文件,其中包含了当前用户、集群和上下文的信息。在该配置文件中,可以查找 userclustercontext 字段,以确定当前所使用的认证管理机制。

例如,在以下示例输出中,可以看到当前所使用的认证管理机制是基于证书认证的:

 kubectl config view
apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: DATA+OMITTED
    server: https://172.16.2.220:6443
  name: kubernetes
contexts:
- context:
    cluster: kubernetes
    user: kubernetes-admin
  name: kubernetes-admin@kubernetes
current-context: kubernetes-admin@kubernetes
kind: Config
preferences: {}
users:
- name: kubernetes-admin
  user:
    client-certificate-data: DATA+OMITTED
    client-key-data: DATA+OMITTED

  • users: 该字段列出了当前配置文件中定义的所有用户。如果您使用的是基于证书认证的机制,则可以在这里找到相关的证书信息。

  • clusters: 该字段列出了当前配置文件中定义的所有集群。如果您使用的是基于证书认证的机制,则可以在这里找到 CA 根证书以及 API Server 地址等信息。

  • contexts: 该字段列出了当前配置文件中定义的所有上下文(context)。每个上下文都包含了一个 cluster 和一个 user,用于指定当前所连接的 Kubernetes 集群和使用的用户。如果您使用的是基于证书认证的机制,则可以在这里确定当前使用的证书。

在实际操作中,最常用的是 userscontexts 字段。可以通过查看这两个字段来确定当前所使用的认证管理机制。

client-certificate-data 字段通常用于指定客户端证书的数据。为了防止敏感信息泄露,Kubernetes 会将证书数据通过 BASE64 进行编码,并在输出时使用 DATA+OMITTED 进行替换。

因此,当您在查看 Kubernetes 配置文件时,如果看到 client-certificate-data 等字段值为 DATA+OMITTED,则表示该证书数据已经被隐藏起来,无法直接查看。如果需要查看实际的证书数据,可以将该字段值复制到文本编辑器中,并使用 BASE64 解码工具进行解码。

如果您需要查看 Kubernetes 中实际的证书数据,可以使用以下命令来解码 BASE64 编码的数据:

echo "<DATA+OMITTED>" | base64 --decode

在上面的命令中,将 <DATA+OMITTED> 替换为您要查看的具体证书数据(即 kubectl config view 命令输出中的 client-certificate-data 字段值),然后将该命令执行在终端中。

例如,如果要查看名为 john-doe 的用户的客户端证书数据,可以运行以下命令:

kubectl config view --minify --raw -o jsonpath='{.users[?(@.name=="john-doe")].user.client-certificate-data}' | base64 --decode

此命令将返回一个解码后的 PEM 格式证书数据。

qq_34893654
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
k8s-rdma-sriov-dev-plugin:Kubernetes Rdma SRIOV 设备插件
05-31
[已弃用] 此存储库不再维护 仍然欢迎您探索、学习和使用此处提供的代码。 或者,可以使用存储库 。 k8s-rdma-sriov-dev-plugin ( ) 这是一个简单的 rdma 设备插件,支持 IB 和 RoCE SRIOV vHCA 和 HCA。 这也支持 Mellanox NIC 的 DPDK 应用程序。 这个插件作为 daemonset 运行。 它的容器镜像可以在 rdma/k8s-rdma-sriov-dev-plugin 上找到。 如何使用 SRIOV 模式? 1.创建每个节点的sriov配置 编辑 example/sriov/rdma-sriov-node-config.yaml 以描述 sriov PF netdevice(s)。 在此示例中,它是eth0和eth1。 注意: (a) 不要添加任何 VF。 (b) 不要手动启用 SRIOV。 该插件为给定的
K8S集群证书监控ssl-exporter监控模板
01-14
原文链接:https://blog.csdn.net/m0_37814112/article/details/122349602
添加公网 IP 到 kubernetes 的 apiserver
weixin_44070095的博客
06-27 2041
通过公网地址访问kubernetes的apiserver
【k8s 访问控制--认证与鉴权】
最新发布
嘻哈记的运维学习之路
02-29 1277
操作k8s的所有请求都是通过https的方式进行请求,通过REST协议操作我们的k8s接口,所以在k8s中有一套认证和鉴权的资源。
Kubernetes认证与授权
qq904748592的博客
01-27 2018
k8s集群搭建的认证以及授权
kubeadm 部署的 k8s 增加 ip 并重新生成证书
以梦为马|越骑越傻
08-20 1672
kubeadm 部署的 k8s 增加 ip 并重新生成证书
kubernetes认证-CKA、CKS考试
热门推荐
西京刀客
04-17 2万+
K8s的专业技术认证主要有以下几种: * CKA(Kubernetes 管理员认证) * CKAD(Kubernetes 应用程序开发者认证) * CKS(Kubernetes 认证安全专家。预计2020年11月开放,须先通过CKA认证
k8s安全认证
杨海吉
01-31 488
Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。所谓的安全性其实就是保证对Kubernetes的各种客户端进行认证和鉴权操作。客户端:一般是独立于kubernetes之外的其他服务管理的用户账号。:kubernetes管理的账号,用于为Pod中的服务进程在访问Kubernetes时提供身份标识。认证、授权与准入控制ApiServer是访问及管理资源对象的唯一入口。Authentication(认证):身份鉴别,只有正确的账号才能够通过认证
Kubernetes_认证授权_初识认证授权
毛毛的专栏
03-12 570
UserAccount、ServiceAccount、RBAC的关系
k8s认证和授权
梵修
10-15 2623
在Kubernetes中API Server是访问和管理资源对象的唯一入口。所有客户端均要通过API Server访问或者改变集群状态以及完成数据存储,API Server会对每一次请求进行合法性校验,校验包括:用户身份验证、操作权限验证以及操作是否符合全局规范约束等。所有检查均正常完成才能访问或存储数据到etcd。如下图所示:客户端认证操作由API Server配置的一到多个认证插件完成,收到请求后API Server会串行调用这些插件,直到一个插件可以成功识别用户身份为止。
kubernetes,ETCD灾备恢复,重新生成证书,重新生成配置文件
qq_22648091的博客
08-08 1631
备份原来的证书帮助信息生成新的证书
K8S集群ssl证书监控ssl-exporter资源清单及镜像文件
01-14
原文链接:https://blog.csdn.net/m0_37814112/article/details/122349602
k8s-for-docker-desktop.zip
10-21
mac版docker-desktop启动k8s所需镜像资源
K8S集群ssl证书监控ssl-exporter资源清单文件及镜像文件
01-14
原文链接:https://blog.csdn.net/m0_37814112/article/details/122349602
K8S 安全认证
elihe2011的专栏
12-27 3837
1. 安全机制 1.1 认证 (Authentication) 1.1.1 认证方式 HTTP Token:Authorization: Bearer $TOKEN HTTP Basic: Authorization: Basic $(base64encode USERNAME:PASSWORD), HTTPS: 基于CA根证书签名的客户端身份认证方式(推荐) 证书颁发: 手动签发:通过k8s集群的根 ca 进行签发 HTTPS 证书 自动签发:kubelet 首次访问 API Serv
k8s--100年证书?验证
weixin_41410744的博客
09-08 1254
想要安全就必须复杂起来,证书是少不了的。在Kubernetes中提供了非常丰富的证书类型,满足各种不同场景的需求。在最初搭建K8S过程中,网上的资料都没有提到K8S还有证书到期的情况,这就导致最开始部署的环境都是1年到期。从这点上说明网上的知识也是不那么权威的,需要我们在其基础上,多思考,多总结,想全面一点。
Kubernetes 笔记 / 入门 / 生产环境 / 用部署工具安装 Kubernetes / 用 kubeadm 启动集群 / 用 kubeadm 创建高可用 etcd 集群
菜鸟的博客
08-21 486
虽然本文中使用kubeadm作为外部 etcd 节点的管理工具但kubeadm不能支持此类节点的证书轮换或升级长期的计划应该是授权工具来管理证书本文介绍了创建高可用外部 etcd 集群的过程该集群由 3 个成员组成,kubeadm在创建集群期间可以使用它们。
k8s - 安全认证(RBAC)
栋院
03-18 2885
api server 是集群访问控制的统一入口 k8s认证过程: 认证 -> 授权 - > 准入控制 (adminationcontroller) 1 认证()是对客户端的认证,简单说就是账户密码 2 授权()是资源的授权,容器、网络、存储资源的权限 3 准入机制 准入控制器位于api server ,在对象被持久化之前,准入控制器拦截对api server 的请求,一般用来做认证和授权。其中包括连个控制器: MutatingAdmissionWebhook 和 Validating
k8s(二)管理命令速查
vpx_srio的博客
05-08 581
k8s管理命令速查
k8s证书认证考试资料
09-17
K8s证书认证考试是Kubernetes官方提供的一项认证考试,旨在评估考生对Kubernetes的深入理解和运维能力。参加该考试需要准备相应的资料,以下是关于K8s证书认证考试资料的介绍。 1. Kubernetes官方文档:K8s官方提供...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值