kubernetes-----安全机制

最新推荐文章于 2024-06-17 03:42:48 发布
最新推荐文章于 2024-06-17 03:42:48 发布
阅读量692 收藏 1
点赞数 1
分类专栏: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42761527/article/details/106323575
版权

一.kubernetes的安全框架

  • 管理kubernetes的有kubectl、api、UI界面
  • 如下是k8s的安全框架图

安全认证流程:kubectl请求api资源,然后通过三层安全机制。

第一层是认证(Authentication),验证身份、用户名和密码或者token;

第二层是授权(Authorization)角色绑定(RBAC),以获得权限;

第三层是准入控制(Admission Control,资源使用限定)。

请求只有通过这三层安全机制,才会被k8s响应请求,创建资源。

  • k8s的安全控制框架主要由以上3个阶段进行控制,每一个阶段都支持插件方式,通过APIServer配置来启用插件方式,通过APiserver配置来启用插件。

  • 普通用户想要安全的访问集群APIServer,往往需要证书、token或者是用户名+密码

  • pod访问需要ServiceAccount

[root@master ~]# kubectl get serviceaccount
NAME      SECRETS   AGE
default   1         26d
[root@master ~]#

  • apiserver内部使用8080端口,默认8080端口监听本地,通过master以及其他组件连接使用

[root@master ~]# netstat -natp | grep LISTEN | grep 8080
tcp        0      0 127.0.0.1:8080          0.0.0.0:*               LISTEN      37947/kube-apiserve

  • apiserver外部使用6443端口

[root@master ~]# netstat -natp | grep LISTEN | grep 6443
tcp        0      0 192.168.43.101:6443     0.0.0.0:*               LISTEN      37947/kube-apiserve 
[root@master ~]#

二.Authentication,认证

  • 认证有三种客户端身份认证

 

HTTPS证书认证,基于CA证书签名的数字证书认证

  • CA认证如下

cat > server-csr.json <<EOF
{
    "CN": "kubernetes",
    "hosts": [
      "10.0.0.1",
      "127.0.0.1",
      "192.168.43.101", 
      "192.168.43.104", 
      "192.168.43.100", 
      "192.168.43.105",  
      "192.168.43.106", 
      "kubernetes",
      "kubernetes.default",
      "kubernetes.default.svc",
      "kubernetes.default.svc.cluster",
      "kubernetes.default.svc.cluster.local"
    ],
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "BeiJing",
            "ST": "BeiJing",
            "O": "k8s",
            "OU": "System"
        }
    ]
}
EOF

HTTP Token认证,通过一个Token来识别用户(生产环境中使用广泛)

  • httpd的令牌认证如下
[root@master ~]# cat /opt/kubernetes/cfg/token.csv 
978741334e39eb21d1c13050d6e8bb79,kubelet-bootstrap,10001,"system:kubelet-bootstrap"
[root@master ~]#

HTTP Base认证,用户名+密码的方

最低0.47元/天 解锁文章
EoinXu
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
kubernetes安全机制
2302_76824193的博客
08-21 236
k8s 安全机制:认证、鉴权、准入机制
Kubernetes(k8s)安全机制
weixin_56270746的博客
08-11 1726
Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介, 也是外部控制的入口。
kubernetes安全机制
Drw_Dcm的博客
11-14 2385
kubernetes安全机制
多种方案图文并茂分分钟教你解决Kubernetes(k8s)容器安全问题(不断更新中)
最新发布
tangdou369098655的博客
06-17 998
Kubernetes中,securityContext是一个非常重要的概念,用于设定Pod或容器级别的安全选项。它允许你控制容器的运行权限、用户标识、SELinux选项等,从而增强容器的安全性。
Kubernetes的网络架构及其安全风险
武天旭的博客
03-03 779
1、集群由多个节点组成。 2、每个节点上运行若干个Pod。 3、每个节点上会创建一个CNI网桥(默认设备名称为cni0)。 4、每个Pod存在于自己的网络命名空间中,通过虚拟网卡对Veth Pair设备与外界通信。
k8s的安全机制
m0_75209491的博客
01-25 1229
k8s的安全机制。分布式集群管理工具,就是容器编排安全机制的核心:APIserver作为整个内部通信的中介,也是外部控制的入口,所有的安全机制都是围绕API server来进行设计请求API资源:1、认证 2、鉴权 3、准入机制只有三个条件都通过,才可以在k8s集群当中创建。
kubernetes-server-linux-amd64-v1.15.4.tar.gz
09-10
10. **服务发现和负载均衡**:Kubernetes Service机制提供服务发现和负载均衡,使得内部Pod之间可以相互发现并通信,同时对外暴露服务供外部访问。 综上所述,"kubernetes-server-linux-amd64-v1.15.4.tar.gz"文件...
kubernetes-server-linux-amd64.tar
01-17
总之,"kubernetes-server-linux-amd64.tar"是构建Kubernetes Linux集群的关键组件,它的部署和使用涉及到了Kubernetes的核心机制,如API服务器、控制器管理器、调度器和Kubelet等。掌握这些知识,将使你能够有效地...
kubernetes-server-linux-amd64-v1.15.5.tar.gz
09-10
3. **安全性和认证**:1.15版本增强了身份验证和授权机制,提供了更安全的API服务器,以及对证书和秘钥的更严格管理。 4. **自动伸缩**:Kubernetes的水平Pod自动伸缩(HPA)和垂直Pod自动伸缩(VPA)功能在这个...
kubernetes-in-action-master.zip
06-10
6. **安全性与认证**:讨论Kubernetes的认证和授权机制,如ServiceAccount、RBAC(Role-Based Access Control)、Pod Security Policies等,确保集群的安全性。 7. **部署和运维实践**:涵盖DevOps流程,如持续集成...
kubernetes(9)集群安全机制
учёба
10-07 690
集群安全机制简单说明
K8S的安全机制
L2111533547的博客
08-07 1507
访问K8S集群的资源需要过三关:认证、鉴权、准入控制普通用户若要安全访问集群API Server,往往需要证书、 Token或者用户名+密码;Pod访问,需要ServiceAccountK8S安全控制框架主要由下面3个阶段进行控制,每一个阶段 都支持插件方式,通过API Server配置来启用插件。1. Authentication:用于识别用户身份, 方式有: SSL证书,token, 用户名+密码等2. Authorization:确认是否对资源具有相关的权限。......
【云原生 • Kuberneteskubernetes 核心技术 - 集群安全机制
热门推荐
商务合作 | 共同学习 | 携手共进
09-03 5万+
Kubernetes 核心技术之集群安全机制(RBAC)详细介绍。
安全实践:保障 Kubernetes 生产环境的安全
weixin_38320674的博客
12-23 1156
▲点击上方"DevOps和k8s全栈技术"关注公众号Kubernetes(简称 K8s)是一个强大的容器编排平台,广泛应用于生产环境中。然而,与其功能强大相对应的是对安全性的高要求。在生产环境中,我们必须采取一系列措施来保护 Kubernetes 集群免受潜在的威胁和攻击。本文将介绍一些关键的 Kubernetes 安全实践,以及如何有效地防止潜在的攻击。1. 控制访问权限Kubernetes ...
K8S平台安全框架
m0_46690280的博客
07-06 819
Kubernetes通过一系列的安全机制来实现Kubernetes的集群安全控制,这里面包括API Server的认证、授权、准入、Secret等机制。一般情况下,Kubernetes集群的安全性主要考虑如下几个目标: 容器和宿主机的资源隔离、容器和宿主机的权限隔离、容器操作的最小权限 组件通信的功能边界、普通用户和管理员用户、资源操作权限、等
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值