k8s认证和授权

最新推荐文章于 2024-10-10 20:42:23 发布
最新推荐文章于 2024-10-10 20:42:23 发布
阅读量1.7k 收藏
点赞数
文章标签: linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41009846/article/details/120043633
版权
本文介绍了Kubernetes的认证和授权流程,包括身份认证、鉴权、准入控制、RBAC(Role-Based Access Control)以及kubectl认证。详细讲解了cluster-role、rolebinding、clusterRolebinding在RBAC中的应用,并探讨了kubelet的认证方式和服务账号用于API调用的实践。
摘要由CSDN通过智能技术生成

流程

在这里插入图片描述

Authentication:身份认证

在这里插入图片描述

[root@k8s-master1 ~]# ps aux  | grep apiserver
root       2244  5.4 13.8 1239192 399628 ?      Ssl  07:33   1:45 kube-apiserver --advertise-address=192.168.10.63 --allow-privileged=true --authorization-mode=Node,RBAC --client-ca-file=/etc/kubernetes/pki/ca.crt --enable-admission-plugins=NodeRestriction --enable-bootstrap-token-auth=true --etcd-cafile=/etc/kubernetes/pki/etcd/ca.crt --etcd-certfile=/etc/kubernetes/pki/apiserver-etcd-client.crt --etcd-keyfile=/etc/kubernetes/pki/apiserver-etcd-client.key --etcd-servers=https://127.0.0.1:2379 --insecure-port=0 --kubelet-client-certificate=/etc/kubernetes/pki/apiserver-kubelet-client.crt --kubelet-client-key=/etc/kubernetes/pki/apiserver-kubelet-client.key --kubelet-preferred-address-types=InternalIP,ExternalIP,Hostname --proxy-client-cert-file=/etc/kubernetes/pki/front-proxy-client.crt --proxy-client-key-file=/etc/kubernetes/pki/front-proxy-client.key --requestheader-allowed-names=front-proxy-client --requestheader-client-ca-file=/etc/kubernetes/pki/front-proxy-ca.crt --requestheader-extra-headers-prefix=X-Remote-Extra- --requestheader-group-headers=X-Remote-Group --requestheader-username-headers=X-Remote-User --secure-port=6443 --service-account-issuer=https://kubernetes.default.svc.cluster.local --service-account-key-file=/etc/kubernetes/pki/sa.pub --service-account-signing-key-file=/etc/kubernetes/pki/sa.key --service-cluster-ip-range=10.96.0.0/16 --tls-cert-file=/etc/kubernetes/pki/apiserver.crt --tls-private-key-file=/etc/kubernetes/pki/apiserver.key
root      23280  0.0  0.0 112812   964 pts/0    S+   08:05   0:00 grep --color=auto apiserver
  • 可以看到是有这些参数的

Authorization 鉴权

  • 用户可以访问哪些资源,查看用户的身份有没有对应动作的权限
    在这里插入图片描述
    • 查看本机授权进程
[root@k8s-master1 containers]# ps aux | grep authorization-mode
root       2225  4.9 13.4 1242072 390388 ?      Ssl  Aug31  40:59 kube-apiserver --advertise-address=192.168.10.63 --allow-privileged=true --authorization-mode=Node,RBAC --client-ca-file=/etc/kubernetes/pki/ca.crt --enable-admission-plugins=NodeRestriction --enable-bootstrap-token-auth=true --etcd-cafile=/etc/kubernetes/pki/etcd/ca.crt --etcd-certfile=/etc/kubernetes/pki/apiserver-etcd-client.crt --etcd-keyfile=/etc/kubernetes/pki/apiserver-etcd-client.key --etcd-servers=https://127.0.0.1:2379 --insecure-port=0 --kubelet-client-certificate=/etc/kubernetes/pki/apiserver-kubelet-client.crt --kubelet-client-key=/etc/kubernetes/pki/apiserver-kubelet-client.key --kubelet-preferred-address-types=InternalIP,ExternalIP,Hostname --proxy-client-cert-file=/etc/kubernetes/pki/front-proxy-client.crt --proxy-client-key
最低0.47元/天 解锁文章
向阳的野草
关注
K8s(五)认证&授权
一个大呲花的博客
09-08 950
快速获取资源清单格式 1. kubectl create deployment mydeploy -o yaml --dry-run 2. kubectl get pod mypod -o yaml --ex
k8s 基于RBAC的认证授权介绍和实践
「 虚幻私塾」
01-23 912
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 在K8S中,当我们试图通过API与集群资源交互时,必定经过集群资源管理对象入口kube-apiserver。显然不是随随便便来一个请求它都欢迎的,每个请求都需要经过合规检查,包括Authentication(身份验证)、Authorization(授权)和Admission C
k8s认证授权
最新发布
H945572的博客
10-10 846
Authentication(认证认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式。Kubernetes集群有两类用户:由Kubernetes管理的Service Accounts (服务账户)和(Users Accounts) 普通账户。k8s中账号的概念不是我们理解的账号,它并不真的存在,它只是形式上存在。Authorization(授权
dt_k8s_license
05-22
dt_k8s_license 安装 独立 克隆仓库 安装依赖项npm install 站起一个MySQL实例并导入dtk8sreport.sql 使用npm start运行 集装箱式 克隆仓库 使用./deploy.sh构建并运行容器 使用dtk8sreport.sql填充MySQL数据库
K8s(15)——认证授权基于rbac实验
m0_46652469的博客
04-16 409
主要分为三个部分,认证授权和准入控制。
k8s系列--- dashboard认证及分级授权
weixin_30312659的博客
01-24 845
http://blog.itpub.net/28916011/viewspace-2215214/ 因版本不一样,略有改动 Dashboard官方地址:https://github.com/kubernetes/dashboard dashbord是作为一个pod来运行,需要serviceaccount账号来登录。 先给dashboad创建一个专用的认证信息。 先建立私钥 ...
K8S认证授权与准入控制(RBAC)详解
IT8421的博客
04-18 3908
前言 RBAC (Role-Based Access Control,基于角色的访问控制)是一种新型、灵活且使用广泛的访问控制机制,它将权限授予“角色”(role)之上,这一点有别于传统访问控制机制中 将权限直接赋予使用者的方式,简单点来说就是将权限绑定到role中,然后用户和role绑定,这样用户就拥有了和role一样的权限。 在任何将资源或服务提供给有限使用者的系统上,认证授权都是两个必...
CKA认证-k8s基本操作.rar
07-23
《CKA认证-k8s基本操作》 在深入探讨CKA(Certified Kubernetes Administrator)认证中的Kubernetes(k8s)基本操作之前,首先需要理解Kubernetes的核心概念。Kubernetes是一种容器编排系统,用于自动化容器化应用...
k8s安全机制(认证授权
BushRo
03-28 2151
文章目录Kubernetes 安全机制Authentication 认证https证书认证需要认证的节点两种类型安全性说明证书颁发kubeconfigServiceAccountSecret 与 SA 的关系授权 Kubernetes 安全机制 Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介,也是外部控制的入口。所以 Kubernetes 的安全机制基本就是围绕保护 API Server 来设计的。Kubernete
kubernetes系列三:概念梳理——认证授权
jiangmingfei的博客
12-27 1814
文章目录一、集群里面相关的策略1、Kubernetes API的访问控制(1)传输安全(2)认证(4)准入控制(5)API Server 的端口和IP2、身份认证(1)k8s的用户(2)认证策略a、X509 客户端证书b、静态 Token 文件c、Bootstrap Tokend、静态密码文件e、Service Account Tokenf、openid-connect-tokeng、Webhoo...
kubelet 认证
discsthnew的博客
03-24 2123
译自 https://kubernetes.io/docs/admin/kubelet-authentication-authorization/ Overview 通过kubelet暴露的https api接口,可以访问到不同的“敏感”数据,并且允许你在节点和容器内执行不同级别的操作。 本篇文档描述了kublet https 断点如何鉴权。 Kubelet 认证 默认情况下,到ku...
k8s安装运行使用及kubernetes爬坑
BiaoYBbiao的博客
08-14 1689
k8s安装运行使用及kubernetes爬坑 环境条件: CentOs我实在用不惯,也没有ubuntu用的熟悉,虽然网上中文k8s上基本都是CentOS的安装教程,甚至Kuboard官网上也是用CnetOs,我也试着跟着搭建,但是却是无法成功,我也很无奈,所以用ubuntu来安装 1.ubuntu18.04.2和k8s的版本是1.15.0的(dockerhub上已经有1.15.3了) 2.三个虚拟...
k8s中kubelet接口的认证授权
weixin_47729423的博客
08-11 1529
访问kubelet接口的认证授权
k8s-身份认证与权限 认证鉴权准入控制- 各种方式带例子-推荐-2023
yuezhilangniao的博客
07-03 5172
k8s中的有两类型的用户:被k8s集群管理的服务账号 ( Service Account Pod 对象)和常规用户 (User Account 现实中的“人”)。认证 鉴权 准入控制 访问控制列表
K8S 认证授权
qq_39124041的博客
02-14 4541
k8s认证方式一般为token和kubeconfig
k8s做注册中心和负载均衡的时候无法拉取服务列表的问题
ygreatred的博客
03-04 1238
记录一个bug:目前很多服务使用k8s作为注册中心和负载均衡中间件。但是在项目使用中,会出现一个问题。服务运行一段时间之后,会出现无法获取k8s上服务列表的bug,返回403
基于JAVA实现的WEB端UI自动化 - WebDriver框架篇 - ant使用 - ant调用email 自动发送邮件
2401_84002271的博客
05-02 1072
即使是面试跳槽,那也是一个学习的过程。只有全面的复习,才能让我们更好的充实自己,武装自己,为自己的面试之路不再坎坷!今天就给大家分享一个Github上全面的Java面试题大全,就是这份面试大全助我拿下大厂Offer,月薪提至30K!我也是第一时间分享出来给大家,希望可以帮助大家都能去往自己心仪的大厂!为金三银四做准备!
kubernetes安全控制认证授权(一)
热门推荐
程序源234的专栏
07-22 2万+
kubernetes 对于访问 API 来说提供了两个步骤的安全措施:认证授权认证解决用户是谁的问题,授权解决用户能做什么的问题。通过合理的权限管理,能够保证系统的安全可靠。通俗的讲,认证就是验证用户名密码,授权就是检查该用户是否拥有权限访问请求的资源。
K8s如何实现授权认证
05-23
以下是 K8s认证授权机制: 1. 基于令牌的认证K8s 使用令牌进行用户身份验证。用户可以使用用户名和密码向 K8s 集群请求令牌,该令牌可用于后续请求的身份验证。 2. 基于证书的认证K8s 还支持使用证书进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值