kubernetes-----安全机制

最新推荐文章于 2024-06-17 03:42:48 发布
最新推荐文章于 2024-06-17 03:42:48 发布
阅读量689 收藏 1
点赞数 1
分类专栏: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42761527/article/details/106323575
版权

一.kubernetes的安全框架

  • 管理kubernetes的有kubectl、api、UI界面
  • 如下是k8s的安全框架图

安全认证流程:kubectl请求api资源,然后通过三层安全机制。

第一层是认证(Authentication),验证身份、用户名和密码或者token;

第二层是授权(Authorization)角色绑定(RBAC),以获得权限;

第三层是准入控制(Admission Control,资源使用限定)。

请求只有通过这三层安全机制,才会被k8s响应请求,创建资源。

  • k8s的安全控制框架主要由以上3个阶段进行控制,每一个阶段都支持插件方式,通过APIServer配置来启用插件方式,通过APiserver配置来启用插件。

  • 普通用户想要安全的访问集群APIServer,往往需要证书、token或者是用户名+密码

  • pod访问需要ServiceAccount

[root@master ~]# kubectl get serviceaccount
NAME      SECRETS   AGE
default   1         26d
[root@master ~]#

  • apiserver内部使用8080端口,默认8080端口监听本地,通过master以及其他组件连接使用

[root@master ~]# netstat -natp | grep LISTEN | grep 8080
tcp        0      0 127.0.0.1:8080          0.0.0.0:*               LISTEN      37947/kube-apiserve

  • apiserver外部使用6443端口

[root@master ~]# netstat -natp | grep LISTEN | grep 6443
tcp        0      0 192.168.43.101:6443     0.0.0.0:*               LISTEN      37947/kube-apiserve 
[root@master ~]#

二.Authentication,认证

  • 认证有三种客户端身份认证

 

HTTPS证书认证,基于CA证书签名的数字证书认证

  • CA认证如下

cat > server-csr.json <<EOF
{
    "CN": "kubernetes",
    "hosts": [
      "10.0.0.1",
      "127.0.0.1",
      "192.168.43.101", 
      "192.168.43.104", 
      "192.168.43.100", 
      "192.168.43.105",  
      "192.168.43.106", 
      "kubernetes",
      "kubernetes.default",
      "kubernetes.default.svc",
      "kubernetes.default.svc.cluster",
      "kubernetes.default.svc.cluster.local"
    ],
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "BeiJing",
            "ST": "BeiJing",
            "O": "k8s",
            "OU": "System"
        }
    ]
}
EOF

HTTP Token认证,通过一个Token来识别用户(生产环境中使用广泛)

  • httpd的令牌认证如下
[root@master ~]# cat /opt/kubernetes/cfg/token.csv 
978741334e39eb21d1c13050d6e8bb79,kubelet-bootstrap,10001,"system:kubelet-bootstrap"
[root@master ~]#

HTTP Base认证,用户名+密码的方

最低0.47元/天 解锁文章
EoinXu
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
kubernetes安全机制
2302_76824193的博客
08-21 234
k8s 安全机制:认证、鉴权、准入机制
Kubernetes(k8s)安全机制
weixin_56270746的博客
08-11 1719
Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介, 也是外部控制的入口。
kubernetes安全机制
Drw_Dcm的博客
11-14 2383
kubernetes安全机制
多种方案图文并茂分分钟教你解决Kubernetes(k8s)容器安全问题(不断更新中)
最新发布
tangdou369098655的博客
06-17 981
Kubernetes中,securityContext是一个非常重要的概念,用于设定Pod或容器级别的安全选项。它允许你控制容器的运行权限、用户标识、SELinux选项等,从而增强容器的安全性。
k8s的安全机制
m0_75209491的博客
01-25 1227
k8s的安全机制。分布式集群管理工具,就是容器编排安全机制的核心:APIserver作为整个内部通信的中介,也是外部控制的入口,所有的安全机制都是围绕API server来进行设计请求API资源:1、认证 2、鉴权 3、准入机制只有三个条件都通过,才可以在k8s集群当中创建。
kubernetes(9)集群安全机制
учёба
10-07 690
集群安全机制简单说明
kubernetes-server-linux-amd64-v1.15.4.tar.gz
09-10
10. **服务发现和负载均衡**:Kubernetes Service机制提供服务发现和负载均衡,使得内部Pod之间可以相互发现并通信,同时对外暴露服务供外部访问。 综上所述,"kubernetes-server-linux-amd64-v1.15.4.tar.gz"文件...
kubernetes-server-linux-amd64.tar
01-17
总之,"kubernetes-server-linux-amd64.tar"是构建Kubernetes Linux集群的关键组件,它的部署和使用涉及到了Kubernetes的核心机制,如API服务器、控制器管理器、调度器和Kubelet等。掌握这些知识,将使你能够有效地...
kubernetes-server-linux-amd64-v1.15.5.tar.gz
09-10
3. **安全性和认证**:1.15版本增强了身份验证和授权机制,提供了更安全的API服务器,以及对证书和秘钥的更严格管理。 4. **自动伸缩**:Kubernetes的水平Pod自动伸缩(HPA)和垂直Pod自动伸缩(VPA)功能在这个...
kubernetes-in-action-master.zip
06-10
6. **安全性与认证**:讨论Kubernetes的认证和授权机制,如ServiceAccount、RBAC(Role-Based Access Control)、Pod Security Policies等,确保集群的安全性。 7. **部署和运维实践**:涵盖DevOps流程,如持续集成...
kubernetes-dashboard.zip
07-16
4. **安全访问 Dashboard**:出于安全性考虑,Kubernetes Dashboard 默认并不直接公开访问,而是需要通过 Kubernetes 的授权机制,例如使用 `kubectl proxy` 或设置 Ingress 规则。使用 `kubectl proxy` 可以在本地...
K8S的安全机制
L2111533547的博客
08-07 1506
访问K8S集群的资源需要过三关:认证、鉴权、准入控制普通用户若要安全访问集群API Server,往往需要证书、 Token或者用户名+密码;Pod访问,需要ServiceAccountK8S安全控制框架主要由下面3个阶段进行控制,每一个阶段 都支持插件方式,通过API Server配置来启用插件。1. Authentication:用于识别用户身份, 方式有: SSL证书,token, 用户名+密码等2. Authorization:确认是否对资源具有相关的权限。......
系列:7、 Kubernetes 安全
面向未来的历史
03-12 1160
Kubernetes 安全性 我们将讨论 Kubernetes 安全性。 当我们在使用 Kubernetes 时,出于安全原因,我们有时会希望限制网络的访问或限制某些用户查看或运行某些命令等。 为此,我们必须使用不同的 Kubernetes 概念。 1、Network Policy(网络策略) 如果我们想限制来自或去往 Pod 的网络流量,我们需要定义一个 NetworkPolicy。 例如,如果我们想限制特定端口(比如 80 )到我们的 nginx Pod 的流量 以及 如果我们想限制来自 nginx 端
Kubernetes安全
魏州青年的博客
01-20 420
安全必须是任何DevOps流程的一等公民。Kubernetes越来越受欢迎,他的安全性也越来越被组织重视。 Kubernetes中的安全性是一种实践,而不仅仅是一项功能。安全是一个多维问题,必须从不同的角度来解决。 Kubernetes安全性可以定义为以下四个方面: Infrastructure(基础设施) Kubernetes自身 Containers(容器) Applications(应用) Kubernetes安全的4个方面 基础设施的安全性 基础设施的安全性通常是最基本的任务.
Kubernetes安全机制
weixin_45724795的博客
05-30 898
文章目录一、kubernetes安全框架1.框架2.机制二、三大模块1.第一模块:认证1)kubernetes的用户系统一般用户ServiceAccount2)认证Https证书认证Http Token认证Http Basic认证3)认证策略3)CA认证2.第二模块:授权1)Kubernetes的授权模式2)授权模式的设置方法3.第三模块:准入控制1)为什么需要准入控制2)如何运行准入控制插件3)插件推荐版本三、RBAC授权1.RBAC的API资源对象说明2.使用RBAC授权1)创建用户并做限制2)制作证
kubernetes安全控制认证与授权(一)
热门推荐
程序源234的专栏
07-22 2万+
kubernetes 对于访问 API 来说提供了两个步骤的安全措施:认证和授权。认证解决用户是谁的问题,授权解决用户能做什么的问题。通过合理的权限管理,能够保证系统的安全可靠。通俗的讲,认证就是验证用户名密码,授权就是检查该用户是否拥有权限访问请求的资源。
Kubernetes集群的安全配置
大树叶 技术专栏
11-25 4273
使用kubernetes/cluster/kube-up.sh脚本在装有Ubuntu操作系统的bare metal上搭建的Kubernetes集群并不安全,甚至可以说是“完全不设防的”,这是因为Kubernetes集群的核心组件:kube-apiserver启用了insecure-port。insecure-port背后的api server默认完全信任访问该端口的流量,内部无任何安全机制
Kubernetes安全三步谈:三种方法保护Kubernetes免受内部威胁
weixin_34419321的博客
03-12 319
这是关于Kubernetes安全系列三篇文章中的第二篇。在上篇文章中我们分享了如何确保企业的Kubernetes集群免受外部***,这篇文章中我们将分享三种保护Kubernetes免受内部威胁的方法,后续我们还想介绍如何处理资源消耗或noisy neighbor问题。本质上讲,Kubernetes集群是多用户的。因此,组织通常希望通过RBAC(基于角色的访问控制)、逻辑隔离和...
Kubernetes(K8s)_11_安全机制
爱喝可乐的w
02-23 854
Kubernetes(K8s)保证集群安全机制
Kubernetes入门与核心组件详解
Kubernetes Handbook》提供了从理论到实践的全方位指导,无论是初学者还是经验丰富的管理员,都能从中获取到所需的资源和知识,帮助他们在Kubernetes的世界中高效、安全地运行和管理容器化应用。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值