K8S访问控制------认证(authentication )、授权(authorization )体系

已于 2023-09-06 19:51:10 修改
阅读量782 收藏
点赞数
分类专栏: # kubernetes 文章标签: kubernetes docker 容器
于 2023-08-29 21:34:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41768644/article/details/132516838
版权

一、账号分类

在K8S体系中有两种账号类型:User accounts(用户账号),即针对human user的;Service accounts(服务账号),即针对pod的。这两种账号都可以访问 API server,都需要经历认证、授权、准入控制等步骤,相关逻辑图如下所示:
在这里插入图片描述

二、authentication (认证)

在K8S架构中,可以使用多种认证方式,比如:X509 Client Certs(X509 客户端证书认证)、Static Token File (静态令牌文件认证)、Bootstrap Tokens(启动引导令牌认证)

1、X509 Client Certs(X509 客户端证书认证)

要开启客户端证书认证功能,需要在kube-apiserver中设置–client-ca-file=SOMEFILE选项,所引用的文件一般是一个CA机构的根证书文件,必须包含一个或者多个证书机构。该认证方式一般用于kube-controller-manager、kube-scheduler和kube-proxy组件向kube-apiserver认证自己。 如果提供了客户端证书并且证书被kube-apiserver验证通过,则客户端证书中的subject 中的公共名称(Common N

了解本专栏 订阅专栏 解锁全文 超级会员免费看
husterlichf
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
订阅专栏
virt-gateway-operator:kube-gateway服务允许非k8s用户使用签名的,持续时间有限的JWT访问代码一次性访问k8s资源
04-08
kube-gateway服务允许非k8s用户在有限的时间内访问单个k8s资源。 它使用签名的,持续时间有限的来授予非k8s用户通过代理服务器访问集群的权限。 安装后,操作员将管理两个自定义资源: :启动kube-gateway服务,该...
kubernetes(k8s):访问控制认证+授权+准入控制)
weixin_43936969的博客
05-24 3932
文章目录1. kubernetes API 访问控制2. 认证 Authentication1 访问k8s的API Server的客户端2 UserAccount 与 serviceaccount2.1 创建serviceaccount:2.2 添加secrets到serviceaccount中2.3 把serviceaccount和pod绑定起来2.4 创建useraccount3. 授权 Authorization3.1RBAC基于角色访问控制授权3.2 RoleBinding角色绑定3.3Cluste
K8S 安全认证
elihe2011的专栏
12-27 3920
1. 安全机制 1.1 认证 (Authentication) 1.1.1 认证方式 HTTP Token:Authorization: Bearer $TOKEN HTTP Basic: Authorization: Basic $(base64encode USERNAME:PASSWORD), HTTPS: 基于CA根证书签名的客户端身份认证方式(推荐) 证书颁发: 手动签发:通过k8s集群的根 ca 进行签发 HTTPS 证书 自动签发:kubelet 首次访问 API Serv
kubekey或kk离线安装k8s集群,一个忽视的问题unauthorized: authentication required
qq_41015868的博客
10-31 1073
kubekey简称kk安装k8s集群时的安装问题
kubernetes视频教程笔记 (31)-安全-鉴权Authorization
软件工程小施同学 的专栏
12-15 431
一、Authorization 上面认证过程,只是确认通信的双方都确认了对方是可信的,可以相互通信。而鉴权是确定请求方有哪些资源的权限。 API Server 目前支持以下几种授权策略 (通过 API Server 的启动参数 “--authorization-mode” 设置) AlwaysDeny:表示拒绝所有的请求,一般用于测试 AlwaysAllow:允许接收所有请求,如果集群不需要授权流程,则可以采用该策略 ABAC(Attribute-Based Access Control):...
Authentication token manipulation error问题解决
bigwood99的博客
07-18 6799
某个CentOS 8服务器在使用passwd修改密码时出现错误提示如下: Authentication token manipulation error 提示出现后,退出passwd执行。
Kubernetes之Pod初始化容器
qq_29860591的博客
11-29 705
Kubernetes之Pod初始化容器 概述 ​ 初始化是很多编程语言普遍关注的问题,甚至有些编程语言直接支持模式构造来生成初始化程序,这些用于进行初始化的程序结构称为初始化器或初始化列表。初始化代码要首先运行,且只能运行一次,它们常用于验证前提条件、基于默认值或传入的参数初始化对象实例的字段等。Pod中的初始化容器(Init Container)功能与此类似,它们为那些有先决条件的...
express-jwt:一个用于创建验证json网络令牌的示例API
02-05
捷运用于创建/验证json网络令牌的示例API。...用法安装依赖项npm install开始npm start码头工人docker run -d --name express-jwt -p 8000:8000 circa10a/express-jwtKubernetes kubectl apply -f ...
kafka-kubernetes-authenticator:Kafka Kubernetes身份验证者和授权
05-26
Kafka Kubernetes身份验证者和授权者该项目提供了基于Kubernetes服务帐户和Kubernetes RBAC的Kafka身份验证器和授权者。 它正在使用Kafka提供的服务帐户令牌和SASL OAUTHBEARER身份验证机制。 您可以在YouTube上观看...
133-某银行OA系统源码.zip
最新发布
04-08
4. **安全机制**:查找安全相关的配置和代码,如认证Authentication)和授权Authorization),以确保系统安全。 5. **异常处理**:查看异常处理机制,了解系统如何处理错误和异常情况。 6. **测试代码**:如果有...
Kubernetes 集群安全-教程与笔记习题
05-22
2. **AlwaysAllow**:这个策略允许所有请求通过,适用于不需严格授权控制的简单集群。 3. **ABAC(Attribute-Based Access Control)**:基于属性的访问控制,允许管理员根据用户属性(如用户名、IP地址等)设置...
Kubernetes那点事儿——k8s安全认证
liangpangpangyo的博客
03-04 1012
要允许这些插件组件以超级用户权限运行,需要将集群的 cluster-admin 权限授予 kube-system 名字空间中的 “ServiceAccount” 服务账户。Adminssion Control实际上是一个准入控制器插件列表,发送到API server的请求都需要经过这个列表中的每个准入控制器插件的检查,检查不通过,则拒绝请求。RBAC(Role-Based Access Control,基于角色的访问控制),允许通过Kubernetes API动态配置策略。
curl 访问k8s https 证书和token 几种方式
码农崛起
12-16 9468
[root@localhost ~]# curl https://172.16.10.87:6443/api/v1/namespaces curl: (60) Peer's Certificate issuer is not recognized. More details here: http://curl.haxx.se/docs/sslcerts.html curl performs SSL certificate verification by default, using a "bund...
k8s从入门到放弃-第九章安全认证
一起学习吧
05-14 499
文章目录9.1访问控制概述9.2认证管理9.3授权管理9.4准入控制 本章节主要介绍Kubernetes的安全认证机制。 9.1访问控制概述 Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。 所谓的安全性其实就是 保证对Kubernetes的各种客户端进行认证和鉴权操作。 客户端 在Kubernetes集群中,客户端通常有两类: ●User Account: 一般是独立于kubernetes之外的其他服务管理的用户账号。 ●Service Account: kubern
k8s安全 认证 鉴权 准入控制之一:认证(Authentication)
热门推荐
张成基
07-06 2万+
k8s安全 认证 鉴权 准入控制之一:认证(Authentication) 机制说明 Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部 各个组件通信的中介,也是外部控制的入口。所以 Kubernetes 的安全机制基本就是围绕保护 API Server 来设计 的。Kubernetes 使用了认证(Authentication)、鉴权(Authorization)、准入控制(Admission Control)三步来保证API Serv
Kubernetes_认证授权_UserAccount_用户账号各种认证方式
毛毛的专栏
10-23 1412
梳理出UserAccount用户账号一条线
k8sAuthentication Authorization Admission control含义
conli的博客
10-24 198
k8s Authentication Authorization Admission control 含义与区别
k8s--基础--23.3--认证-授权-准入控制--授权
zhou920786312的博客
08-15 641
就是给用户(Users)授予一个角色(Role),那么这个用户就有这个角色的权限。Role是有名称空间的限制的。
K8S-安全(认证授权、准入控制)
迷雾总会解
08-26 1356
RoleBinding 同样可以引用 ClusterRole 来对当前 namespace 内用户、用户组或 ServiceAccount 进行授权,这种操作允许集群管理员在整个集群内定义一些通用的 ClusterRole,然后在不同的 namespace 中使用 RoleBinding 来引用。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。...
HCIE-Datacom学习:NAC用户接入与认证技术详解
认证Authentication)负责验证用户身份,授权Authorization)根据用户的身份给予相应的网络访问权限,而审计(Accounting)则记录用户的网络活动,以便于监控和日后的审计需求。在大型园区网络中,AAA系统能有效...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值