k8s集群安全机制

最新推荐文章于 2024-03-13 16:45:07 发布
最新推荐文章于 2024-03-13 16:45:07 发布
阅读量174 收藏
点赞数
分类专栏: kubernetes 文章标签: kubernetes 安全 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41242680/article/details/126536303
版权

概述

(1)访问k8s集群的时候,需要经过三个步骤完成具体操作:

  • 认证
  • 鉴权
  • 准入控制

(2)进行访问时候,过程中都需要经过apiServer,apiServer做统一协调工作,访问过程需要证书、token、或者用户名+密码,如果访问Pod还需要serviceAccount

(3)认证:

  • 传输安全:对外不暴露8080端口,只能内部访问,对外使用端口6443
  • 认证:客户端身份认证常用方式:
    • https证书认证(基于CA证书)
    • http token认证,通过token识别用户
    • http基本认证,用户名+密码认证

(4)鉴权(授权):
基于RBAC进行鉴权操作
基于角色访问控制

(5)准入控制:
就是准入控制器的列表,如果列表有请求内容通过,没有则拒绝。

RBAC介绍

基于角色的访问控制

角色:

  • role:特定命名空间访问权限
  • ClusterRole:所有命名空间访问权限

角色绑定:

  • roleBinding:角色绑定到主体
  • ClusterRoleBinding:集群角色绑定到主体

主体:

  • user:用户
  • group:用户组
  • serviceAccount:服务账号

在这里插入图片描述

RBAC实现鉴权

创建命名空间

kubectl create ns roledemo

在新创建的命名空间创建pod

kubectl run nginx --image=nginx -n roledemo
kubectl get pods -n roledemo

创建角色

kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata: 
  namespace: roledemo
  name: pod-reader
rules:
- apiGroups: [""] # ""indicates the core API group
  resources: ["pods"]
  verbs: ["get","watch","list"]

kubectl apply -f rbac-role.yaml
kubectl get role -n roledemo

创建角色绑定

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: read-pods
  namespace: roledemo
subjects:
- kind: User 
  name: lucy # Name is case sensitive
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role # this must be Role or ClusterRole
  name: pod-reader # this must match the name of the Role or ClusterRole you wish to bind to
  apiGroup: rbac.authorization.k8s.io

kubectl apply -f rbac-rolebinding.yaml
kubectl get role,rolebinding -n roledemo

使用证书识别身份

mkdir lucy
vi rbac-user.sh
cat > lucy-csr.json <<EOF
{
  "CN": "lucy",
  "hosts": [],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "L": "Beijing",
      "ST": "Beijing"
    }
  ]
}
EOF

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json profile=kubernetes lucy-csr.json | cfssljson -bare lucy

kubectl config set-cluster kubernetes \
  --certificate-authority=ca.pem \
  --embed-certs=true \
  --server=https://192.168.31.63:6443 \
  --kubeconfig=lucy-kubeconfig

kubectl config set-credentials lucy \
  --client-key=lucy-key.pem \
  

bash rbac-user.sh
RB_VER
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kubernetes 集群安全 - 机制说明.pdf
10-17
本系列文档介绍使用二进制部署 kubernetes 集群的所有步骤,而不是使用 kubeadm 等自动化方式来部署集群,同时开启了集群的TLS安全认证,该安装步骤适用于所有bare metal环境、on-premise环境和公有云环境。
k8s集群部署简易应用资源
10-27
本文将深入探讨如何利用k8s集群部署简易应用资源,以及涉及的相关概念和技术。 首先,让我们理解k8s的核心概念。Kubernetes是一个开源平台,设计目的是为了使部署、扩展和管理容器化应用程序变得简单而高效。它的...
k8s-集群安全机制
weixin_43025075的博客
11-18 177
1、概述 (1)访问k8s集群时候,需要经过三个步骤完成具体操作 认证 鉴权(授权) 准入控制 (2)进行访问时候,过程中都需要经过apiserver, apiserver做统一协调,比如门卫。 访问过程中需要证书、token、或者用户名+密码 如果访问pod需要serviceAccount 第一步 认证 传输安全 传输安全:对外不暴露8080端口,只能内部访问,对外使用端口6443 认证 客户端身份认证常用方式: HTTPS证书认证,基于ca证书 http token认证,通过token识别
Kubernetes - 安全
qq_43164571的博客
02-19 551
------------------------------------------------------------1、机制说明2、认证Authentication1)HTTPS 证书认证2)需要认证的节点两种类型安全性说明证书颁发3)kubeconfig4)ServiceAccount5)Secret 与 SA 的关系总结 1、机制说明 Kubernetes 作为一个分布式集群的管理工具,保证集群安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介,也是外部控制的入口。所以
k8s容器集群讲义.zip
11-29
10. **故障排查与维护**:学习如何使用kubectl、describe、logs、exec等命令诊断和解决K8s集群问题,以及如何执行备份和恢复操作。 通过阅读黑马讲义中的“Kubernetes第1天”至“Kubernetes第5天”的PDF文档,你...
K8S高可用集群架构实现
01-27
在生产环境中,为了确保服务的连续性和稳定性,构建高可用的K8S集群至关重要。 一个高可用的K8S集群通常包含多个主节点(masters)和工作节点(nodes)。在测试环境中,可能只有一个主节点,但在生产环境中,至少...
K8s集群部署配置文件包
10-27
本压缩包“K8s集群部署配置文件包”提供了全面的资源,帮助用户快速构建并配置Kubernetes集群。以下将详细阐述其中涉及的关键知识点。 首先,ETCD是Kubernetes集群的核心组件,它是轻量级、分布式的键值存储系统,...
K8S集群搭建.zip
10-27
Kubernetes是一个开源的,用于管理云平台中多个主机上的容器化的应用,Kubernetes的目标是让部署容器化的应用简单并且高效(powerful),Kubernetes提供了应用部署,规划,更新,维护的一种机制
【云原生】k8s核心技术—集群安全机制 & Ingress & Helm & 持久化存储-20230222
我是小bā吖的博客
02-22 1341
k8s核心技术笔记记录
k8s(六):配置管理与集群安全机制
qq_39198749的博客
02-13 3080
1. 配置管理 1.1 Secret Secret的主要作用就是加密数据,然后存在etcd里面,让Pod容器以变量或挂载Volume方式进行访问 场景:如用户名 和 密码进行加密,凭证 一般场景的是对某个字符串进行base64编码 进行加密 [root@iZ2zedqr9yeos47fg4uor5Z ~]# echo -n 'admin' | base64 YWRtaW4= 1.1.1 变量形式挂载到Pod 创建secret加密数据 创建secret加密数据的yaml文件 secret.yaml 执
云原生KubernetesK8S安全机制
cronaldo91的博客
09-26 2113
k8s 中的 namespace 就类似于 windows 中的多个桌面,或者 linux 中的多个终端;namespace 之间的 api 对象是不可见的。Token 认证和 Base 认证方式只能进行服务端对客户端的单向认证,而客户端不知道服务端是否合法;而 HTTPS 证书认证方式 则可以实现双向认证。1)用户账户(user) : 是在集群外部访问apiserver时使用的用户,如kubectl命令就是作为kubernetes的admin用户来执行的。
K8S 安全机制
最新发布
qq_53772682的博客
03-13 2098
K8S 安全机制
k8s 安全机制详解
qq_51545656的博客
03-11 1236
Token 和 Basic 认证主要是单向的,即只能验证客户端对服务器的身份。而 HTTPS 证书认证可以实现双向认证,这对于需要确保通信双方身份的场景非常重要,比如在 Kubernetes API Server 与 etcd 或其他组件之间的通信中。使用 HTTPS 证书认证可以防止中间人攻击,确保数据传输的安全性。kind: Rolemetadata:rules:- apiGroups: [""] # 空字符串表示核心 API 组。
k8s集群安全机制说明
zhaikaiyun的博客
02-28 1690
k8s作为一个分布式集群的管理工具,保证集群安全性是其一个重要的任务,apiserver是集群内部各个组件通信的中介,也是外部控制的入口,所以k8s安全机制基本就是围绕保护apiserver来设计的。k8s使用了认证Authentication、鉴权Authorization、准入控制admissionControl三步来保证apiserver的安全。 用户通过kubectl、客户端库或者通...
Kubernetes 集群安全机制说明和认证
小楼一夜听春雨,深巷明朝卖杏花
10-20 605
机制说明 Kubernetes 作为一个分布式集群的管理工具,保证集群安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介,也是外部控制的入口。所以 Kubernetes安全机制基本就是围绕保护 API Server 来设计的。Kubernetes 使用了认证(Authentication)、鉴权(Authorization)、准入控制(AdmissionControl)三步来保证API Server的安全。 当用户或者pod访问apiserver的时候来镜像身份的识别,这
k8s集群安全机制理解
运维求生之路
03-07 484
一、认证(Authentication): HTTP Token认证(单向认证) HTTP Base认证:用户名密码(单向认证) HTTPS证书认证:基于CA双向认证(最安全,最佳) 一、组件与ApiServer通信两种类型 Controller Manager和Scheduler因为在本机,通常不需要CA kubectl、kubelet、kube-proxy访问API Server需要CA证书...
K8s集群监控实战:Prometheus与Grafana全面集成
"本文主要探讨如何使用Prometheus全方位监控Kubernetes(K8s)集群,并与Zabbix进行对比,介绍Prometheus的架构、部署方法、数据可视化以及K8s集群对象的监控告警策略。" 在现代云原生环境中,监控系统扮演着至关重要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值