Kubernetes集群安全机制(RBAC)

置顶 已于 2023-12-12 13:18:08 修改
阅读量284 收藏
点赞数
文章标签: java python kubernetes linux 数据库
于 2021-03-09 03:22:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40942490/article/details/114691618
版权

欢迎大家进群,一起探讨学习

博主技术文档地址

博主开源微服架构前后端分离技术博客项目源码地址,欢迎各位star

Kubernetes api-server 安全访问机制

kube-apiserver 是 k8s 整个集群的入口,是一个 REST API 服务,提供的 API 实现了 Kubernetes 各类资源对象(如 Pod,RC,Service 等)的增、删、改、查,API Server 也是集群内各个功能模块之间交互和通信的枢纽,是整个集群的总线和数据中心。

在这里插入图片描述

由此可见 API Server 的重要性了,我们用 kubectl、各种语言提供的客户端库或者发送 REST 请求和集群交互,其实底层都是以 HTTP REST 请求的方式同 API Server 交互,那么访问的安全机制是如何保证的呢,总不能随便来一个请求都能接受并响应吧。API Server 为此提供了一套特有的、灵活的安全机制,每个请求到达 API Server 后都会经过:认证(Authentication)–>授权(Authorization)–>准入控制(Admission Control) 三道安全关卡,通过这三道安全关卡的请求才给予响应:

在这里插入图片描述

认证(Authentication)

认证阶段的工作是识别用户身份,支持的认证方式有很多,比如:HTTP Base,HTTP token,TLS,Service Account,OpenID Connect 等,API Server 启动时可以同时指定多种认证方式,会逐个使用这些方法对客户请求认证,只要通过任意一种认证方式,API Server 就会认为 Authentication 成功。高版本的 Kubernetes 默认认证方式是 TLS。在 TLS 认证方案中,每个用户都拥有自己的 X.509 客户端证书,API 服务器通过配置的证书颁发机构(CA)验证客户端证书。

授权(Authorization)

授权阶段判断请求是否有相应的权限,授权方式有多种:AlwaysDeny,AlwaysAllow,ABAC,RBAC,Node 等。API Server 启动时如果多种授权模式同时被启用,Kubernetes 将检查所有模块,如果其中一种通过授权,则请求授权通过。 如果所有的模块全部拒绝,则请求被拒绝(HTTP状态码403)。高版本 Kubernetes 默认开启的授权方式是 RBAC 和 Node。


准入控制(Admission Control)

准入控制判断操作是否符合集群要求,准入控制配备有一个“准入控制器”的列表,发送给 API Server 的每个请求都需要通过每个准入控制器的检查,检查不通过,则 API Server 拒绝调用请求,有点像 Web 编程的拦截器的意思。具体细节在这里不进行展开了,如想进一步了解见这里:Using Admission Controllers。
Kubernetes 认证方式之客户端证书(TLS)
通过上一节介绍我们知道 Kubernetes 认证方式有多种,这里我们简单介绍下客户端证书(TLS)认证方式,也叫 HTTPS 双向认证。一般我们访问一个 https 网站,认证是单向的,只有客户端会验证服务端的身份,服务端不会管客户端身份如何。我们来大概看下 HTTPS 握手过程(单向认证):
客户端发送 Client Hello 消息给服务端;
服务端回复 Server Hello 消息和自身证书给客户端;
客户端检查服务端证书的合法性,证书检查通过后根据双方发送的消息生成 Premaster Key,然后用服务端的证书里面的公钥加密 Premaster Key 并发送给服务端 ;
服务端通过自己的私钥解密得到 Premaster Key,然后通过双方协商的算法和交换的消息生成 Session Key(后续双方数据加密用的对称密钥,客户端也能通过同样的方法生成同样的 Key),然后回复客户端一个消息表明握手结束,后续发送的消息会以协商的对称密钥加密。

Kubernetes 授权方式之 RBAC 介绍

基于角色的访问控制(Role-Based Access Control, 即 RBAC),是 k8s 提供的一种授权策略,也是新版集群默认启用的方式。RBAC 将角色和角色绑定分开,角色指的是一组定义好的操作集群资源的权限,而角色绑定是将角色和用户、组或者服务账号实体绑定,从而赋予这些实体权限。可以看出 RBAC 这种授权方式很灵活,要赋予某个实体权限只需要绑定相应的角色即可。针对 RBAC 机制,k8s 提供了四种 API 资源: Role、ClusterRole、RoleBinding、ClusterRoleBinding。

查看命名空间

kubectlget ns;

创建命名空间

kubectl create ns roletest

在创建roletest命名空间下pod

kubectlrun nginx --image=nginx -n roletest

查看

kubectlget pod -n roletest

Role: 只能用于授予对某一单一命名空间中资源的访问权限,因此在定义时必须指定 namespace;
以下示例描述了 default 命名空间中的一个 Role 对象的定义,用于授予对 pod 的读访问权限:
角色

rbac-role.yaml

kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: roletest
  name: pod-reader
rules:
- apiGroups: [""] # "" indicates the core API group
  resources: ["pods"]
  verbs: ["get", "watch", "list"]

kubectl apply -f rbac-role.yaml

rules.verbs 动作 权限
create 创建 写入 Pod 动作/资源
update 更新 写入 Pod 动作/资源
delete 删除 写入 Pod 动作/资源
watch 读取 Pod 动作/资源
list 列出 读取 Pod 动作/资源
patch 写入 Pod 动作/资源
get 查看 读取 Pod 动作/资源

resources:[“deployments”,“jobs”,“pods”,“configmaps”,“nodes”] 不管是什么资源控制器都需要加上 s

查看

kubectl getrole -n roletest

角色绑定

rbac-rolebinding.yaml

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: read-pods
  namespace: roletest
subjects:
- kind: User
  name: mary # Name is case sensitive
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role #this must be Role or ClusterRole
  name: pod-reader # this must match the name of the Role or ClusterRole you wish to bind to
  apiGroup: rbac.authorization.k8s.io

kubectl apply -f rbac-rolebinding.yaml
kubectlget RoleBinding -n roletest

cfssl 是一个开源的证书管理工具,使用 json 文件生成证书,相比 openssl 更方便使用。 找任意一台服务器操作,这里用 Master 节点

wgethttps://pkg.cfssl.org/R1.2/cfssl_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
chmod +x cfssl_linux-amd64 cfssljson_linux-amd64 cfssl-certinfo_linux-amd64
mv cfssl_linux-amd64 /usr/local/bin/cfssl
mv cfssljson_linux-amd64 /usr/local/bin/cfssljson
mv cfssl-certinfo_linux-amd64 /usr/bin/cfssl-certinfo
chmod +x /usr/bin/cfssl*

创建目录mary

mkdir mary;
cd mary;
cat > ca-config.json << EOF
{
  "signing": {
    "default": {
      "expiry": "87600h"
    },
    "profiles": {
      "kubernetes": {
         "expiry": "87600h",
         "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ]
      }
    }
  }
}
EOF

#国家名=User     "CN": "mary",

#组织=Group    "O": "k8s",

cat > ca-csr.json << EOF
{
    "CN": "kubernetes",
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "Beijing",
            "ST": "Beijing",
      	    "O": "k8s",
            "OU": "System"
        }
    ]
}
EOF
cfssl gencert -initcaca-csr.json | cfssljson -bare ca -

ls *pem

脚本执行

rabc-user.sh

cat > mary-csr.json <<EOF
{"CN": "mary",
  "hosts": [],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "L": "BeiJing",
      "ST": "BeiJing"
    }
  ]
}
EOF

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes mary-csr.json | cfssljson -bare mary 

kubectl config set-cluster kubernetes \
  --certificate-authority=ca.pem \
  --embed-certs=true \
  --server=https://192.168.31.63:6443 \
  --kubeconfig=mary-kubeconfig
  
kubectl config set-credentials mary \
  --client-key=mary-key.pem \
  --client-certificate=mary.pem \
  --embed-certs=true \
  --kubeconfig=mary-kubeconfig

kubectl config set-context default \
  --cluster=kubernetes \
  --user=mary \
  --kubeconfig=mary-kubeconfig

kubectl config use-context default --kubeconfig=mary-kubeconfig

bash rabc-user.sh

mkdir -pv /home/mary/.kube
cp mary-kubeconfig  /home/mary/.kube
chown mary:mary  -R  /home/mary/.kube

采用 mary 用户登录 xshell

mv devuser.kubeconfigconfig

这样就可以切换mary用户测试了

刘明同学呀
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
kubernetes集群实战——API访问控制(openssl认证、rbac授权和准入控制)
weixin_45792518的博客
07-08 859
1.API 访问控制 Authentication(认证) 认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式。 Kubernetes集群有两类用户:由Kubernetes管理的Service Accounts (服务账户)和(Users Accounts) 普通账户。k8s中账号的概念不是我们理解的账号,它并不真的存在,它只是形式上存在。 Authorizat
K8s - 3 核心概念 - 14 集群安全机制 RBAC
个人纪录、总结!
02-17 474
K8s - 目录 K8s - 3 核心概念 - 14 集群安全机制 RBAC一、kubernetes 核心技术-集群安全机制 RBAC1. 基本概念2. RBAC 原理和用法2.1 RBACAPI 资源对象说明2.2 对资源的引用方式2.3 常见的角色(Role)示例2.4 常用的角色绑定2.5 默认的角色和角色绑定2.6 授权注意事项: 预防提权和授权初始化 一、kubernetes 核心技术-集群安全机制 RBAC 1. 基本概念 RBAC(Role-Based Access Contro.
Kubernetes RBAC管理
dahulihuli的博客
10-20 446
ServiceAccount为pod中的进程和外部用户提供身份信息。所有的kubernetes集群账户分为两类,kubernetes管理的serviceaccount和useraccount。apiserver时集群的入口,对于上两者肯定时不能随便访问的,所有我们必须有一些认证信息,当他们联系apiserver的时候,他们会被认证为一个特定的ServiceAccount当你在创建pod时如果没有指定sa,系统会给你自动默认使用default下的serviceaccount。
kubernetes RBAC认证简介
纵横四海的博客
04-22 1456
概述 RBAC是Role-Based Access Control的简称,中文为基于角色的访问控制 RBAC使用“rbac.authorization.k8s.io”API组来驱动授权决策,允许管理员通过Kubernetes API动态配置策略。 从1.8开始,RBAC模式处于稳定版本,并由rbac.authorization.k8s.io/v1 API提供支持。 要启用RBAC,请使用-...
kubernetes RBAC授权配置
zorsea的博客
03-22 476
一、RBAC授权流程图: 角色分类有两种: Role:普通角色,可以应用于某一个命名空间,使用的是RoleBinding与User、Group、serviceaccount进行角色绑定 ClusterRole:集群角色,应用于整个集群,所有命名空间,使用的是ClusterRoleBinding与User、Group、serviceaccount进行集群角色绑定 主体: User:根据ssl...
Kubernetes 集群安全-教程与笔记习题
05-22
本教程将深入探讨Kubernetes集群安全性,特别是关注授权机制,这是确保只有授权的实体才能执行特定操作的关键部分。 Kubernetes API Server是集群的核心组件,负责处理所有请求。在认证阶段,系统验证请求者的...
3、Kubernetes 集群安全 - 鉴权1
08-04
Kubernetes 集群安全 - 鉴权1 Kubernetes 集群安全是确保集群安全的重要方面之一,而...RBACKubernetes 集群安全中的一个重要组件,它提供了一种灵活的权限控制和访问控制机制,可以满足不同场景下的安全需求。
深入分析集群安全机制1
08-03
Kubernetes集群中,安全机制是非常关键的一环,特别是对于多租户环境和企业级应用部署。本篇文章将深入分析集群安全机制中的一个重要组件:基于角色的访问控制(RBAC,Role-Based Access Control)。RBAC允许管理...
如何使用KubeSpray在Azure上构建Kubernetes集群
04-08
在IT行业中,Kubernetes(K8s)已成为容器编排的事实标准,而Azure作为云服务提供商,提供了丰富的工具和服务来支持Kubernetes集群的部署。KubeSpray是其中一个开源项目,它简化了在多种云环境,包括Azure上,快速...
TiDB Operator 需要的 RBAC 规则
weixin_42241611的博客
07-12 123
Kubernetes 基于角色的访问控制 (RBAC) 规则是通过 Role 或者 ClusterRole 来进行管理的,并通过 RoleBinding 或 ClusterRoleBinding 将其权限赋予一个或者一组用户。部署 TiDB Operator 时默认设置了 ,TiDB Operator 能管理 Kubernetes 集群内所有 TiDB 集群。要查看为 TiDB Operator 创建的 ClusterRole,请使用以下命令: 输出结果如下: 其中:以下表格列出了 tidb-c
RBAC——基于角色权限的模型
最新发布
林隐的博客
10-21 2万+
学习RBAC——基于角色权限的模型
用户·角色·权限·表的设计
u013595377的专栏
05-15 2万+
一.引言        因为做过的一些系统的权限管理的功能虽然在逐步完善,但总有些不尽人意的地方,总想抽个时间来更好的思考一下权限系统的设计。        权限系统一直以来是我们应用系统不可缺少的一个部分,若每个应用系统都重新对系统的权限进行设计,以满足不同系统用户的需求,将会浪费我们不少宝贵时间,所以花时间来设计一个相对通用的权限系统是很有意义的。 二.设计目标        设计一个
基于RBAC模型的权限设计
水越帆的博客
02-19 3831
    一、什么是RABC                                                                       RBAC(基于角色的权限控制)模型的核心是在用户和权限之间引入了角色的概念。取消了用户和权限的直接关联,改为通过用户关联角色、角色关联权限的方法来间接地赋予用户权限(如下图),从而达到用户和权限解耦的目的。 RABC的...
Yii2权限控制RBAC之rule规则的用法
flyingfox717的博客
10-31 1127
使用yii\rbac\DbManager配置authManager必须生成四张表,其中的auth_rule表就是存放的规则信息. 规则给角色和权限增加额外的约束条件, 要使用规则, 我们首先必须创建规则类, 该类必须继承yii\rbac\Rule, 并且要实现excute()方法. 使用规则大体流程: 根据业务逻辑创建一个规则类; 将规则添加至auth_rule表中,...
kubernetes RBAC实战 kubernetes 用户角色访问控制,dashboard访问,kubectl配置生成
Kubernetes中文社区
12-06 7128
kubernetes RBAC实战 环境准备 先用kubeadm安装好kubernetes集群,[包地址在此](https://market.aliyun.com/products/56014009/cmxz022571.html#sku=yuncode1657100000) 好用又方便,服务周到,童叟无欺 本文目的,让名为devuser的用户只能有权限访问特定namespa
Kubernetes RBAC 详解
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
03-24 2241
原文链接:Kubernetes RBAC 详解 前面两节课我们学习了Kubernetes中的两个用于配置信息的重要资源对象:ConfigMap和Secret,其实到这里我们基本上学习的内容已经覆盖到Kubernetes中一些重要的资源对象了,来部署一个应用程序是完全没有问题的了。在我们演示一个完整的示例之前,我们还需要给大家讲解一个重要的概念:RBAC - 基于角色的访问控制。 RBAC使用rba...
K8s集群RBAC认证授权详解
RSQ博客
06-19 3185
RBAC(Role-Based Access Control) 基于角色的访问控制,顾名思义就是通过给角色赋予相应的权限,从而使得该角色具有访问相关资源的权限,而在K8s中这些资源分属于两个级别,名称空间(`role/rolebinding`)和集群级别(`clusterrole/clusterrolebinding`)这两个都是标准的K8s资源,可以直接定义。
六,RBAC简介
weixin_42688085的博客
06-16 2288
RBAC(基于角色的权限控制 role base access control)是一种设计模式,是用来设计和管理权限相关数据的一种模型 RBAC权限数据的管理,都是重复的CRUD的操作,这里我们就不再重复的从0到1开发,我们只是把模块中需要注意的逻辑和代码讲一下,重复代码不再复述 RBAC模式:基于角色的访问控制,表结构如下: 用户列表 用户添加修改 角色列表 角色修改 菜单列表 菜单修改 菜单不同于单表管理,是一个树状表结构管理,这里我们重点关注菜单(树状表结构的数据)的增删改查这里我们直接导入素
如何设置Kubernetes集群中的APIserver
05-17
Kubernetes集群中,API Server是控制平面中最重要的组件之一,它是所有组件的入口点,用于管理整个集群API Server对外提供RESTful API接口,供客户端和其他组件访问和操作集群中的资源。因此,正确地配置API ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

刘明同学呀

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值