k8s(六):配置管理与集群安全机制

已于 2022-02-13 22:40:44 修改
阅读量3.1k 收藏
点赞数
分类专栏: k8s 文章标签: 安全 kubernetes docker
于 2022-02-13 21:51:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39198749/article/details/122914282
版权

文章目录

1. 配置管理

1.1 Secret

Secret的主要作用就是加密数据,然后存在etcd里面,让Pod容器以变量或挂载Volume方式进行访问
场景:如用户名 和 密码进行加密,凭证

一般场景的是对某个字符串进行base64编码 进行加密

[root@iZ2zedqr9yeos47fg4uor5Z ~]# echo -n 'admin' | base64
YWRtaW4=

1.1.1 变量形式挂载到Pod

  1. 创建secret加密数据

创建secret加密数据的yaml文件 secret.yaml
在这里插入图片描述
执行该yaml

kubectl create -f secret.yaml

用get命令查看

kubectl get secret

在这里插入图片描述

  1. 以变量形式挂载到pod中

创建kind为pod的yaml文件secret-val.yaml
在这里插入图片描述
运行创建上述yaml

kubectl apply -f secret-val.yaml

在这里插入图片描述
进入mypod容器,即可获取到挂载的数据

kubectl exec -it mypod bash #进入容器

echo $SECRET_USERNAME #获取挂载的变量

在这里插入图片描述

1.1.2 数据卷形式挂载

  1. 创建secret-vol.yaml
    第一个红框为挂载目录
    第二个红框为前面创建的mysecret
    在这里插入图片描述
  2. 运行创建上述yaml
kubectl apply -f secret-vol.yaml

在这里插入图片描述

  1. 进入pod并验证
kubectl exec -it mypod bash # 进入

ls /etc/foot #进入容器后,执行该命令可以查看到挂载变量

在这里插入图片描述

1.2 ConfigMap

存储不加密的数据到etcd中,让Pod以变量或数据卷挂载到容器中
场景:配置文件

1.2.1 数据卷形式挂载到pod容器中

1.首先我们需要创建一个配置文件 redis.properties

redis.port=127.0.0.1
redis.port=6379
redis.password=123456

2.创建ConfigMap
使用命令创建

kubectl create configmap redis-config --from-file=redis.properties

查看configmap信息

kubectl get cm

kubectl describe cm redis-config

在这里插入图片描述
3. Volume数据卷形式挂载
创建cm.yaml文件
在这里插入图片描述

1.2.1 变量形式挂载到Pod容器中

  1. 首先我们有一个 myconfig.yaml文件,声明变量信息,然后以configmap创建
    在这里插入图片描述
  2. 然后我们就可以创建我们的配置文件
# 创建pod
kubectl apply -f myconfig.yaml
# 获取
kubectl get cm

在这里插入图片描述
3. 然后我们创建完configmap后,我们就需要再创建一个 config-var.yaml 来使用我们的配置信息
在这里插入图片描述
4.查看输出

kubectl logs mypod

在这里插入图片描述

2. 集群安全机制

当我们访问K8S集群时,需要经过三个步骤完成具体操作

  1. 认证
  2. 鉴权【授权】
  3. 准入控制

进行访问的时候,都需要经过 apiserver, apiserver做统一协调
访问过程中,需要证书、token、或者用户名和密码
如果访问pod需要serviceAccount

(1)认证

对外不暴露8080端口,只能内部访问,对外使用的端口6443

客户端身份认证常用方式:
1. https证书认证,基于ca证书
2. http token认证,通过token来识别用户
3. http基本认证,用户名 + 密码认证

(2)鉴权

基于RBAC进行鉴权操作

基于角色访问控制

(3)准入控制

就是准入控制器的列表,如果列表有请求内容就通过,没有的话 就拒绝

2.1 RBAC介绍

基于角色的访问控制,为某个角色设置访问内容,然后用户分配该角色后,就拥有该角色的访问权限

此部分可参考博客:https://blog.csdn.net/qq_38304320/article/details/121089389

alwaysonline1204
关注
专栏目录
K8S 配置管理 && Kubernetes集群安全机制
qq_38304320的博客
11-06 435
文章目录1.Secret1.1变量形式挂载Pod1.2数据卷形式挂载2.ConfigMap2.1 创建配置文件2.2 创建ConfigMap2.3 Volume数据卷形式挂载2.4 以变量形式挂载Pod3.Kubernetes集群安全机制 1.Secret Secret的主要作用就是加密数据,然后存在etcd里面,让Pod容器挂载Volume方式进行访问 场景:如用户名 和 密码进行加密,凭证 一般场景的是对某个字符串进行base64编码 进行加密 echo -n 'admin' | base64
在centos 7安装配置k8s集群的步骤详解
01-20
kubernetes是google开源的容器集群管理系统,提供应用部署、维护、扩展机制等功能,利用kubernetes能方便管理跨集群运行容器化的应用,简称:k8s(k与s之间有8个字母) 为什么要用kubernetes这么复杂的docker集群...
Kubernetes 集群安全 - 机制说明.pdf
10-17
本系列文档介绍使用二进制部署 kubernetes 集群的所有步骤,而不是使用 kubeadm 等自动化方式来部署集群,同时开启了集群的TLS安全认证,该安装步骤适用于所有bare metal环境、on-premise环境和公有云环境。
k8s-集群安全机制
weixin_43025075的博客
11-18 210
1、概述 (1)访问k8s集群时候,需要经过三个步骤完成具体操作 认证 鉴权(授权) 准入控制 (2)进行访问时候,过程都需要经过apiserver, apiserver做统一协调,比如门卫。 访问过程需要证书、token、或者用户名+密码 如果访问pod需要serviceAccount 第一步 认证 传输安全 传输安全:对外不暴露8080端口,只能内部访问,对外使用端口6443 认证 客户端身份认证常用方式: HTTPS证书认证,基于ca证书 http token认证,通过token识别
k8s集群安全机制
weixin_45181388的博客
10-20 382
k8s集群安全机制
K8s集群部署配置文件包
10-27
本压缩包“K8s集群部署配置文件包”提供了全面的资源,帮助用户快速构建并配置Kubernetes集群。以下将详细阐述其涉及的关键知识点。 首先,ETCD是Kubernetes集群的核心组件,它是轻量级、分布式的键值存储系统,...
Spark on K8s实战:集群部署与资源管理教程
Spark On K8s实战是一套全面的课程,旨在帮助用户深入了解如何在KubernetesK8s)环境部署和管理Apache Spark。Spark是一款强大的大数据处理工具,特别适用于需要频繁迭代和内存计算的工作负载,比如机器学习和...
浪潮InCloud K8s 2.3:全面解析DevOps与集群管理
"浪潮DevOps产品Incloud-k8s白皮书详细介绍了浪潮电子信息产业股份有限公司的InCloudK8S2.3版本,这是一款基于Kubernetes的DevOps平台,旨在提升开发运维效率,实现自动化部署和管理。该产品提供了一系列全面的功能...
Kubernetes - 安全
qq_43164571的博客
02-19 876
------------------------------------------------------------1、机制说明2、认证Authentication1)HTTPS 证书认证2)需要认证的节点两种类型安全性说明证书颁发3)kubeconfig4)ServiceAccount5)Secret 与 SA 的关系总结 1、机制说明 Kubernetes 作为一个分布式集群的管理工具,保证集群安全性是其一个重要的任务。API Server 是集群内部各个组件通信的介,也是外部控制的入口。所以
【云原生】k8s核心技术—集群安全机制 & Ingress & Helm & 持久化存储-20230222
我是小bā吖的博客
02-22 1620
k8s核心技术笔记记录
云原生KubernetesK8S安全机制
cronaldo91的博客
09-26 2170
k8s 的 namespace 就类似于 windows 的多个桌面,或者 linux 的多个终端;namespace 之间的 api 对象是不可见的。Token 认证和 Base 认证方式只能进行服务端对客户端的单向认证,而客户端不知道服务端是否合法;而 HTTPS 证书认证方式 则可以实现双向认证。1)用户账户(user) : 是在集群外部访问apiserver时使用的用户,如kubectl命令就是作为kubernetes的admin用户来执行的。
K8S 安全机制
最新发布
qq_53772682的博客
03-13 2115
K8S 安全机制
k8s学习七-配置管理
qq_35930102的博客
01-02 281
1 Secret Secret可以加密数据存在etcd里,让Pod容器挂载Volumn的方式进行访问 1 yaml文件配置 2 创建并查看pod 3 以挂载方式进行访问 以变量形式挂载 1 编写yaml文件 2 创建并查看pod 3 测试 以数据卷方式挂载 1 编写yaml文件 2 创建并查看pod 3 测试 2 ConfigMap 用于存储非加密数据。通常用于配置文件 1 查看并创建configMap 2 挂载 以数据卷的方式挂载 1 编写yaml文件 3 启动并查看pod
k8s集群安全机制说明
zhaikaiyun的博客
02-28 1705
k8s作为一个分布式集群的管理工具,保证集群安全性是其一个重要的任务,apiserver是集群内部各个组件通信的介,也是外部控制的入口,所以k8s安全机制基本就是围绕保护apiserver来设计的。k8s使用了认证Authentication、鉴权Authorization、准入控制admissionControl三步来保证apiserver的安全。 用户通过kubectl、客户端库或者通...
k8s 安全机制详解
qq_51545656的博客
03-11 1285
Token 和 Basic 认证主要是单向的,即只能验证客户端对服务器的身份。而 HTTPS 证书认证可以实现双向认证,这对于需要确保通信双方身份的场景非常重要,比如在 Kubernetes API Server 与 etcd 或其他组件之间的通信。使用 HTTPS 证书认证可以防止间人攻击,确保数据传输的安全性。kind: Rolemetadata:rules:- apiGroups: [""] # 空字符串表示核心 API 组。
k8s集群安全机制理解
运维求生之路
03-07 493
一、认证(Authentication): HTTP Token认证(单向认证) HTTP Base认证:用户名密码(单向认证) HTTPS证书认证:基于CA双向认证(最安全,最佳) 一、组件与ApiServer通信两种类型 Controller Manager和Scheduler因为在本机,通常不需要CA kubectl、kubelet、kube-proxy访问API Server需要CA证书...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值