ETCD 安全

于 2023-06-24 15:45:13 发布
阅读量1.3k 收藏
点赞数
分类专栏: etcd 文章标签: etcd
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39225271/article/details/131359060
版权

ETCD 安全

访问安全

ETCD包含的三种类型资源,具体如下:

  • 权限资源:表示用户和角色信息
  • 键值资源:表示键值对数据信息
  • 配置资源:安全配置信息,权限配置信息和etcd集群动态配置信息

权限资源

User(用户)是一个别授予权限的的身份,每个用户都可以拥有多个角色。用户操作资源的权限是根据该用户所具有的角色来确定的,分为root用户和非root用户。
root用户是ETCD提供是一个特殊用户,在安全功能被激活之前必须创建root用户,否则会无法启用身份认证功能。
Role(角色)来关联权限。etcd的每个角色都具有相对应的权限列表,这个权限列表定义了角色对键值资源的访问权限。在etcd中,角色主要分为三类:root角色,guest角色和普通角色。etcd默认会创建其中两种特殊角色root和guest。
root角色,默认创建root用户即创建了root角色,并为其绑定了该角色,该角色拥有所有权限;
guest角色,默认自动创建,主要用于非认证使用。
普通角色,由root用户创建,并由root用户分配指定权限。

root角色具有对所有键值资源的完整权限,而且只有root角色具有管理用户资源和配置资源的权限,root角色是内置的,不需要被创建而且不能被篡改,但是可以授予任务用户相同的权限。

guest角色是自动创建的。guest角色针对为经身份认证的请求提供访问etcd的权限,即如果没有指定任何验证方式和用户访问etcd数据库,那么请求方默认会被设定为guest角色。默认情况下,guest角色具有对etcd所有键值资源的全局访问权限。如果不希望未授权就获取或修改etcd的数据,那么guest角色可以被持有root角色的用户在任何时间进行修改,撤销甚至删除该角色,以减少未经授权的用户的能力

// 撤销guest权限
etcdctl role revoke guest

Permiession(权限):读和写,对全限定所有管理和设置都需要通过root角色来实现,权限列表是一个许可的特定权限的列表

键值资源

etcd支持key值的前缀和精确匹配,其中前缀字符串以"*"结尾

配置资源

配置资源存放着整个集群的特定配置信息,包括添加,删除集群成员,启动禁用认证,替换证书和其他由管理员维护的动态配置信息等

etcd访问控制常用命令

User相关命令

获取users账号列表
etcdctl user list

创建user
etcdct user add demouser

授予用户对应的角色
etcdctl user grant demouser -roles role1,role2,role3

撤销用户角色
etcdctl user revoke demouser -roles role1,role2

获取用户的详细信息
etcdctl user get demouser

修改密码
etcdctl user passwd demouser

删除用户
etcdctl user remove demouser

Role相关命令

列出系统所有的角色
etcdctl role list

创建角色
etcdctl role add demorole

授予对key /foo的只读权限
etcdctl role grant-permission demorole read /foo

授予以/foo为前缀的所有key的只读权限
etcdctl role grant-permission demorole --prefix=true read /foo

授予对key /foo/demo的只写权限
etcdctl role grant-permission demorole write /foo/demo

授予对key [key1,key10) 的读写权限
etcdctl role grant-permission demorole readwrite key1 key10

授予以/demo/ 为前缀的key的读写权限
etcdctl role grant-permission demorole -path '/demo/*' -readwrite

查看角色权限
etcdctl role get demorole

收回role权限
etcdctl role revoke-permission demorole /foo/demo

完全移除一个角色(包括role的所有权限)
etcdctl role remove demorole

启用用户权限功能

确认root用户已经创建
etcdctl user add root

启用权限功能
etcdctl auth enable

关闭认证功能
etcdctl -u root:rootpw auth disable

案例

etcdctl user add root
etcdctl auth enable 
etcdct user add demouser
etcdctl -u root:rootpw role add demorole
etcdctl -u root:rootpw role grant-permission demorole read /a
etcdctl -u root:rootpw user grant demouser -roles demorole
to-and-fro
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
etcd v3.3.5
10-12
etcd 是一个高可用的 Key/Value 存储系统,主要用于分享配置和服务发现。etcd 的灵感来自于 ZooKeeper 和 Doozer,侧重于: 简单:支持 curl 方式的用户 API (HTTP+JSON) 安全:可选 SSL 客户端证书
ETCD集群部署并开启身份认证
最新发布
guyougao的博客
01-16 2036
etcd集群部署
etcd权限控制
天使也掉毛
01-09 1752
ETCD权限控制 有两个概念,一个是用户user,另一个是角色role。用户可以绑定多个角色, 而每个角色对应着多组权限控制,权限包括 读、写、读写。 这样理解(角色就是包含多个路径权限对儿): role1 /x/a read /x/b write ... role2 /x/c write role3 /x/* readwrite user 可以...
etcd-RBAC基于角色的访问控制
qq522044637的博客
07-18 641
概述 身份验证是在 etcd 2.1 中添加的。etcd v3 API 稍微修改了身份验证功能的 API 和用户界面,以更好地适应新的数据模型。本指南旨在帮助用户在 etcd v3 中设置基本身份验证和基于角色的访问控制。 特殊用户和角色 有一个特殊用户:root 一个特殊角色:root root用户 root必须在激活身份验证之前创建对 etcd 具有完全访问权限的用户。root用户背后的想法是出于管理目的:管理角色和普通用户。该root用户必须具有root角色的作用,并使其改变etc
etcd安全性阐述
不务正业随手记
08-26 1281
etcd安全是指安全模式下etcd的运行状态,接下来从访问安全和传输安全两方面来阐述etcd安全性访问安全包括用户的认证和授权,传输安全指使用SSL/TLS来加密数据通道 访问安全 用户权限功能在etcd 2.1之后增加的,在2.1版本之前,etcd是一个完全开放的系统,任何用户都可以通过REST API修改etcd存储的数据。etcd在2.1中增加了用户(User)和角色(Role)的概念,引入了用户认证的功能。为了保证向后兼容和可升级性,etcd的用户权限功能默认关闭。 无论数据信道是否经过加密(SS
etcd用户、角色及证书配置
zhangxm_qz的博客
11-17 8515
文章目录访问安全etcd权限分类etcd 访问控制传输安全生成证书配置使用证书 访问安全 在 2.1 版本之前, etcd 是 一个完全开放的系统,任何用户都可以通过 REST API 修改 etcd 存储的数据。 etcd 在 2.1 版本中增加了用户( User )和角色( Role )的概念,引入了用户认证的功能 。 为了保持向后兼容性和可升级性, etcd 的用户权限功能默认是关闭的 。 etcd 支持安全认证以及权限管理。 etcd 的权限管理借鉴了操作系统的权限管理思想,存在 用户和角色(分组
k8s学习笔记(5)--- kubernetes核心组件之etcd详解
梦谜的博客
12-29 4006
kubernetes核心组件之etcd详解一、etcd二、etcd部署1.采用etcd镜像的方式部署1.1 将服务器添加进集群的两种方式1.1.1 将服务器挨个添加进集群 一、etcd         etcd是一个高可用的键值存储系统,主要用于共享配置和服务发现。etcd是由CoreOS开发并维护的,灵感来自于 Zo...
etcd v3.4.1
09-30
etcd 是一个高可用的 Key/Value 存储系统,主要用于分享配置和服务发现。etcd 的灵感来自于 ZooKeeper 和 Doozer,侧重于: 简单:支持 curl 方式的用户 API (HTTP+JSON) 安全:可选 SSL 客户端证书
etcd 中文 文档
12-26
安全模式 基于角色的访问控制(TBD) 常见问题(TBD) 监控(TBD) 维护 理解失败 11.2.2.17 1.2.2.18 1.2.3 1.2.3.1 1.2.3.2 1.2.3.3 1.2.3.4 1.2.3.5 1.2.3.6 1.3 1.3.1 1.3.1.1 1.3.1.2 1.3.1.3 1.3.1.4 1.3.1.5 1.3.2 ...
111111111111etcd.pdf
02-12
3. 安全etcd 支持 SSL 客户端安全认证。 etcd 的架构主要分为四个部分: 1. HTTP Server:用于处理用户发送的 API 请求以及其它 etcd 节点的同步与心跳信息请求。 2. Store:用于处理 etcd 支持的各类功能的事务...
etcd v3.3.7
10-12
etcd 是一个高可用的 Key/Value 存储系统,主要用于分享配置和服务发现。etcd 的灵感来自于 ZooKeeper 和 Doozer,侧重于: 简单:支持 curl 方式的用户 API (HTTP+JSON) 安全:可选 SSL 客户端证书
etcd集群权限管理和账号密码使用
运维玄德公
07-02 3827
1. 操作实例 1.1 环境说明 1.2 创建root用户 1.3 开启身份验证 1.4 普通用户管理 1.4.1 创建普通用户 1.4.2 创建角色 1.4.3 给角色赋权 1.4.4 给用户绑定角色 1.1.5 测试 2. 权限常用命令 2.1 用户管理 创建用户 删除用户 修改密码 查看所有用户 查看指定用户及绑定角色 2.2 角色 增加角色 给角色赋权 回收角色赋权 删除角色 查询角色列表 查询指定角色的权限 2.3 用户&角色 用户绑定角色 回收用户绑定权限 2.4 权限使用.........
ETCD快速入门-03 常用命令
JHIII的博客
08-12 924
租约具有生命周期,需要为租约授予一个TTL(time to live),将租约绑定到一个key上,则key的生命周期与租约一致,可续租,可撤销租约。etcdctl watch name -- etcdctl put name Kevin,如果写成,会不会变成死循环,导致无限监视,尽量避免。如果没有指定任何验证方式,即未显示指定以什么用户进行访问,那么默认会设定为 guest 角色。etcd 在键的组织上采用了层次化的空间结构(类似于文件系统中目录的概念),数据库操作围绕对。的 CRUD完成生命周期的管理。.
etcdctl的使用[v3版本]
热门推荐
胡伟煌的博客
05-07 9万+
目录: 1. etcdctl的安装 2. etcdctl V3 3. etcdctl 常用命令 3.1. 指定etcd集群 3.2. 增删改查 3.3. 集群状态 3.4. 集群成员 etcdctl的v3版本与v2版本使用命令有所不同,本文介绍etcdctl v3版本的命令工具的使用方式。 1. etcdctl的安装 etcdctl的二进制文件可以在 git...
etcd v2权限机制
ZeaLoVe
04-14 1142
 权限系统概念 https://github.com/coreos/etcd/blob/master/Documentation/v2/authentication.md etcd权限-官方文档etcd 2.X以前是不带权限的,2.X以上的版本才支持权限etcd通过设置用户-角色关联,角色和权限关联,通过设置这些信息,使得指定的用户对某些目录拥有指定的权限。etcd默认不启用权限机制,需要手...
etcd入门系列三:身份验证访问控制
一二三四吾
11-24 8892
etcd入门系列 一. etcd在docker中的安装与使用 二. etcd 开启 https 1. 简介 etcd 默认是没有开启访问控制的,如果我们开启外网访问的话就需要考虑访问控制的问题,etcd 提供了两种访问控制的方式: 基于身份验证的访问控制 基于证书的访问控制 这节主要是选择第一种方式,进行的讲解,由于之前文章中是采用http接口的方式通讯,为了更全面的了解 etcd 的使用,本...
etcd 安装与管理
Terry Tsang
12-20 8548
目的 初始化启动 etcd 服务 检测 etcd 集群健康状态 检测 etcd 集群成员 重置 etcd 集群 环境说明 角色主机名ipaddrosetcd 版本 etcdqemu-test6.vclound.comxx.xxx.205.229centos 7etcd-3.0.15-1.el7.x86_64 etcdqemu-test3.vclound.comxx.xxx....
Etcd部分常用命令+采坑
标题有点难
06-12 3979
一、集群部署常用 etcdctl member list 查看集群 systemctl restart etcd重启集群 hostnamectl set-hostname etcd1 修改主机名 systemctl stop firewalld 关闭防火墙step1 setenforce 0关闭防火墙step2 二、用户操作常用 1.user相关命令 1.1.添加ro...
Etcdctl v3.x命令参数
不倒翁的博客
09-15 2833
1、etcdctl具体命令帮助信息 # etcdctl --help NAME: etcdctl - A simple command line client for etcd3. USAGE: etcdctl [flags] VERSION: 3.4.0 API VERSION: 3.4 COMMANDS: ge...
etcd 备份
05-25
etcd 中备份数据非常重要,因为 etcd 存储了关键的集群配置信息和状态,包括 Kubernetes 中的所有对象、Pod 和服务。以下是备份 etcd 集群的步骤: 1. 进入 etcd 命名空间: ``` kubectl -n etcd get pods ``` 2. 执行以下命令备份 etcd 数据: ``` ETCDCTL_API=3 etcdctl --endpoints=https://[127.0.0.1]:2379 --cacert=/etc/kubernetes/pki/etcd/ca.crt --cert=/etc/kubernetes/pki/etcd/healthcheck-client.crt --key=/etc/kubernetes/pki/etcd/healthcheck-client.key snapshot save /tmp/snapshot.db ``` 注意:请替换证书和密钥的路径,以及 snapshot 的路径。 3. 备份完成后,将 /tmp/snapshot.db 文件复制到安全的位置,例如云存储或本地磁盘。 4. 如果需要还原 etcd 数据,可以使用以下命令: ``` ETCDCTL_API=3 etcdctl snapshot restore /tmp/snapshot.db --data-dir=/var/lib/etcd-backup ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值