OPA 鉴权

最新推荐文章于 2024-01-09 14:21:45 发布
最新推荐文章于 2024-01-09 14:21:45 发布
阅读量2k 收藏
点赞数
分类专栏: k8s篇 文章标签: kubernetes docker 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36270681/article/details/122645026
版权
Gatekeeper 是基于 OPA的一个 Kubernetes 策略解决方案,可替代PSP或者部分RBAC功能。
当在集群中部署了Gatekeeper组件,APIServer所有的创建、更新或者删除操作都会触发
Gatekeeper来处理,如果不满足策略则拒绝
OPA(Open Policy Agent): 是一个开源的、通用策略引擎,可以将策略编写为代码。提供
一个种高级声明性语言-Rego来编写策略,并把决策这一步骤从复杂的业务逻辑中解耦出来。
OPA可以用来做什么?
拒绝不符合条件的YAML部署
允许使用哪些仓库中的镜像
允许在哪个时间段访问系统

 

部署Gatekeeper:
kubectl apply -f https://raw.githubusercontent.com/open-policy
agent/gatekeeper/release-3.7/deploy/gatekeeper.yaml
Gatekeeper的策略由两个资源对象组成:
Template:策略逻辑实现的地方,使用rego语言
Contsraint:负责Kubernetes资源对象的过滤或者为Template提供输入参数
案例1:禁止容器启用特权 
第一步,需要删除psp
vi /etc/kubernetes/manifests/kube-apiserver.yaml
...
- --enable-admission-plugins=NodeRestriction
...
systemctl restart kubelet
网站地址: https://open-policy-agent.github.io/gatekeeper/website/docs/install/
下载部署:kubectl apply -f https://raw.githubusercontent.com/open-policy-agent/gatekeeper/release-3.7/deploy/gatekeeper.yaml
模板
[root@k8s-master opa]# cat privileged_tpl.yaml 
apiVersion: templates.gatekeeper.sh/v1beta1
kind: ConstraintTemplate
metadata:
  name: privileged 
spec:
  crd:
    spec:
      names:
        kind: privileged
  targets:
    - target: admission.k8s.gatekeeper.sh
      rego: |
        package admission
        violation[{"msg": msg}] {  # 如果violation为true说明违反约束
          containers = input.review.object.spec.template.spec.containers
          c_name := containers[0].name
          containers[0].securityContext.privileged # 如果返回false或者没获取到值说明通过
          msg := sprintf("提示:'%v'容器禁止启用特权!",[c_name])
        }



约束
[root@k8s-master opa]# cat privileged_constraints.yaml 
apiVersion: constraints.gatekeeper.sh/v1beta1
kind: privileged
metadata:
  name: privileged
spec:
  match:  # 匹配的资源
    kinds:
      - apiGroups: ["apps"]
        kinds:
        - "Deployment"
        - "DaemonSet"
        - "StatefulSet"


查看
[root@k8s-master opa]# kubectl get constraints
NAME         AGE
privileged   25s


[root@k8s-master opa]# kubectl get ConstraintTemplate
NAME         AGE
privileged   118s

[root@k8s-master opa]# cat T_deplyment.yaml 
apiVersion: apps/v1
kind: Deployment
metadata:
  creationTimestamp: null
  labels:
    app: nginx
  name: nginx
spec:
  replicas: 1
  selector:
    matchLabels:
      app: nginx
  strategy: {}
  template:
    metadata:
      creationTimestamp: null
      labels:
        app: nginx
    spec:
      containers:
      - image: nginx
        name: nginx
        securityContext:
          privileged: true
        ports:
        - containerPort: 80
        resources: {}
status: {}

 

 

案例:只允许使用特定的镜像仓库

[root@k8s-master opa]# cat image-check_tpl.yaml 
apiVersion: templates.gatekeeper.sh/v1beta1
kind: ConstraintTemplate
metadata:
  name: image-check
spec:
  crd:
    spec:
      names:
        kind: image-check
      validation:
        openAPIV3Schema: 
          properties:  # 需要满足条件的参数
            prefix:
              type: string
  targets:
    - target: admission.k8s.gatekeeper.sh
      rego: |
        package image
        violation[{"msg": msg}] { 
          containers = input.review.object.spec.template.spec.containers
          image := containers[0].image
          not startswith(image, input.parameters.prefix)
          msg := sprintf("提示:'%v'镜像地址不在可信任仓库!", [image])
        }

[root@k8s-master opa]# cat image-check_constraints.yaml 
apiVersion: constraints.gatekeeper.sh/v1beta1
kind: image-check
metadata:
  name: image-check
spec:
  match:
    kinds:
      - apiGroups: ["apps"] 
        kinds:
        - "Deployment"
        - "DaemonSet"
        - "StatefulSet"
  parameters:  # 传递给opa的参数
    prefix: "lizhenliang/"

xiangzilong
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何使用RBAC授权和OPA来保护Kubernetes集群 Securing Kubernetes Clusters with RBAC Authorization
禅与计算机程序设计艺术
08-13 95
Kubernetes是一个开源容器集群管理系统,通过提供自动化部署、横向扩展和滚动更新等功能,能够方便地部署容器化应用。它具有强大的API,允许用户创建、配置和管理多个容器化应用,并提供丰富的工具和组件来简化部署流程。在生产环境中,为了确保应用的安全性,需要对集群进行保护,以防止恶意攻击或安全漏洞导致的应用损失。在Kubernetes集群中,可以使用基于角色的访问控制(RBAC)和开放策略代理(OPA)实现权限控制。本文将讨论如何使用RBAC授权和OPA来保护Kubernetes集群。
从技术架构的视角出发,介绍Istio的技术架构及各模块的功能实现原理
禅与计算机程序设计艺术
07-29 979
2017年11月,IBM、Google、Lyft 联合宣布成立 Service Mesh 工作组,推出了 Istio 开源项目。Istio 是目前服务网格领域中最热门的开源产品之一,被众多云厂商和大型互联网公司采用并作为服务网格的默认解决方案。在过去的一年里,Istio 迅速崛起,其 Github Star 数量已经超过了 3万,持续火爆发展。Istio 是什么?Service mesh(服务网格)是由专门的服务代理组件 Envoy 和控制面板 Mixer 组成的专用基础设施层。
Open Policy Agent(OPA) 入门实践
k8s 生态
12-07 909
大家好,我是张晋涛。本篇我来为你介绍一个我个人很喜欢的,通用策略引擎,名叫 OPA,全称是 Open Policy Agent。在具体聊 OPA 之前,我们先来聊一下为什么需要一个通用策略...
OPA 实现 ABAC 权限模型
qq798280904的博客
03-28 1592
基于角色的访问控制(Role-based access control,简称 RBAC),指的是通过用户的角色(Role)赋予其相关权限,这实现了细粒度的访问控制,并提供了一个相比直接授予单个用户权限,更简单、可控的管理方式。当使用 RBAC 时,通过分析系统用户的实际情况,基于共同的职责和需求,将他们分配给不同的角色。
OPA:open policy agent简介
qq_44586683的博客
12-09 3629
OPA:open policy agent 官方文档 https://www.openpolicyagent.org/docs/latest/philosophy/#what-is-opa 视频介绍 https://www.bilibili.com/video/av96102581/ 参考:http://blog.newbmiao.com/2020/03/13/opa-quick-start.html https://my.oschina.net/cncf/blog/4768958 策略(policy)是一
OpenPolicyAgent with kubernetes 入门
安心Smile的博客
08-31 839
Open Policy Agent是一种策略控制软件。 本篇参看官网:deploy opa with kubernetes,此列不适用Admission Controller。如果对使用Admission Controller有兴趣可以参考Admission Control Tutorial 和Kubernetes Admission Control Guide 。 Kubernetes 编辑R...
Golang访问控制框架:Open Policy Agent vs Casbin
Qinng的博客
06-13 1372
大型项目中基本都包含有复杂的访问控制策略,特别是在一些多租户场景中,例如Kubernetes中就支持RBAC,ABAC等多种授权类型。在Golang中目前比较热门的访问控制框架有Open Policy Agent与Casbin,本文主要分析其异同。......
【安全研究】基于OPA和Spring Security的外部访问控制
顶峰
01-17 550
安全研究
Milenage算法实现及测试代码(根据3GPP TS 35.206 V6.0.0程序修改)
07-30
3. **签名生成**:UE使用OPA和OPE函数对RAND和SQN进行处理,生成响应值XRES和鉴权标记AUTN。 4. **鉴权检查**:网络接收UE返回的XRES和AUTN,通过同样的Milenage算法进行验证,确保数据的完整性和用户的合法性。 在...
Apache APISIX 2.12.0 版本发布, 新功能更适配新一年
ApacheAPISIX的博客
01-27 1208
继 2.11.0 版本发布之后,Apache APISIX 也在即将到来的新春佳节,为大家带来 2022 年第一个带有新功能的版本。在此也算携手新版本给大家拜个早年了! 新功能:更多的 Serverless 集成 还记得在上个版本里,Apache APISIX 增加了对 Azure Function 的支持。而这次新版本中也是用意满满,在功能上又加入了对更多 Serverless 厂商的支持。 如今用户也可以在 Apache APISIX 中结合 AWS Lambda 和 Apache OpenWhisk,
opa-nginx-rbac:使用Open Policy Agent在Nginx上进行RBAC的概念验证
05-16
使用Open Policy Agent在Nginx上进行RBAC 该存储库演示了如何使用在上实现基于角色的访问控制(RBAC)。 如何使用 首先,启动Nginx和Open Policy Agent的容器。 $ docker-compose up -d 当您使用Alice的客户端证书将请求发送到/compute/ ,nginx将根据角色定义授予访问权限。 $ curl -k --cert ./nginx/tls/alice.pem --key ./nginx/tls/alice-key.pem https://127.0.0.1:8080/compute/ 对于/storage/请求,nginx也允许。 $ curl -k --cert ./nginx/tls/alice.pem --key ./nginx/tls/alice-key.pem https://127.0.0.1
nginx-plus-opa:演示NGINX Plus作为开放策略代理实施点
05-23
Nginx加上Opa 演示NGINX Plus作为开放策略代理实施点 描述 该存储库在环境中为NGINX Plus提供了一个演示环境。 它基于。 演示版 先决条件 Docker运行时和docker-compose 加载了njs模块的NGINX Plus Docker映像(标记为nginx-plus:latest) 环境 NGINX Plus被配置为两个不同的后端API的API网关。 /finance/处的Finance API:专用,受身份验证和OPA策略保护 /warehouse/处的Warehouse API:公开,无保护 NGINX Plus直接与本地网络上的通信。 +-----------------+
为了 OpenPolicyAgent 学 Rego?试试 Javascript
hanfengzxh的博客
12-08 250
距离上个版本 用 Pipy 实现 OPA,已经过去快半年了。当初使用Pipy 实现了可信镜像仓库的检查,那时的版本实现起来会稍微复杂,从策略仓库到证书创建到Admission Webhook 的创建都需要大量的人工操作,配置和逻辑也还是耦合在一起。 这个版本安装和使用起来会更加简单。 当初我用“不务正业”来形容 Pipy 实现准入控制,等看完这篇文章,欢迎留言说说你的看法。 架构 还是继续上次的场景,在 Pod 创建时对 Pod 使用的镜像所在仓库进行检查,以及检查镜像的 tag 是否合法。 这里借助 P
drools规则引擎可以实现规则之间的相互调用吗_OPA-重新定义规则引擎-入门篇
weixin_39884872的博客
12-27 450
OPA,全称OpenPolicyAgent, 底层用Go实现,它灵活而强大的声明式语言全面支持通用策略定义。目前国内资料还比较少。个人因为工作接触比较多,打算陆续分享些教程介绍下。私以为规则引擎的技术选型完全可以多这个选择~~文章目录什么是 OPA优点一个 RBAC 例子基本语法ruleunification什么是OPA 具体看官方文档 OPA philosophy docs主要关键词是:轻量级的...
Open Policy Agent在Kubernetes中的应用
Docker的专栏
12-27 1623
Open Policy Agent(OPA)是CNCF(云原生计算基金会)下开源的通用策略引擎。OPA提供了一种高级声明式的语言(Rego),简化了策略规则的定义,以此来减轻软件中决策的...
关于鉴权,看懂这篇就够了
LuckyWinty的博客
11-30 288
刘妮萍: 微医前端技术部前端工程师。养鱼养花养狗,熬夜蹦迪喝酒。出走半生,归来仍是三年前端工作经验。第一篇章Cookie 的诞生及其特点众所周知,web 服务器是无状态的,无状态的意思就是...
k8s访问控制--理解RBAC和OPA
网络安全研究
05-28 1268
Kubernetes API的设计与大多数现代API不同。它是基于意图的,这意味着使用API的人考虑的是他们想要Kubernetes做什么,而不是如何实现。其结果是一个令人难以置信的可扩展性、弹性,和一个强大而流行的系统。 同时,其基于意图的API给安全带来了挑战。标准的访问控制解决方案(基于角色的访问控制、基于属性的访问控制、访问控制列表或IAM策略)都不够强大,无法强制执行基本的策略,比如谁可以更改pod上的标签,或者哪些镜像存储库是安全的。
kubernetes Pod 容器 security context OPA(PSP替代方案)
最新发布
sxpnp的博客
01-09 837
如有问题,以你为准
策略即代码:CNCF孵化项目Open Policy Agent
k8scaptain的博客
04-15 1451
作为一名程序员,你可能很早就学到:如果你发现自己一遍又一遍地编写相同的代码,那么你应该将该代码分成一个类或一个函数,以提高效率并使其更容易改变功能。如今,这个想法扩展到DevOps实践中,如基础设施即代码(IaC),其中技术堆栈的管理和供应被分离出来用于自动化和一站式访问。最近,出现了策略即代码,以提供将策略应用于多种目的和场景的自动化和易用性。 OpenPolicyAgent(OPA)...
TI OPA2690 运放特性与应用
"OPA2690中文资料是TI公司的一款高性能运算放大器,具有宽带、高输出电流、低电源电流等特性。适用于视频线驱动器、xDSL线路驱动器/接收器、高速成像通道、ADC缓冲器等多个领域。OPA2690在单位增益下仍能保持稳定,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值