Kubernetes入门 十六、访问控制

最新推荐文章于 2024-04-28 07:30:00 发布
最新推荐文章于 2024-04-28 07:30:00 发布
阅读量147 收藏
点赞数 1
分类专栏: # K8S入门与实战 文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43745578/article/details/132863920
版权

目录

访问控制概述

用户使用 kubectl、客户端库或构造 REST 请求来访问 Kubernetes API。 人类用户和 Kubernetes 服务账户都可以被鉴权访问 API。 当请求到达 API 时,它会经历多个阶段,如下图所示:

在这里插入图片描述

访问流程

api-server 是访问和管理资源对象的唯一入口。任何一个请求访问 api-server,都要经过下面的三个流程:

    • ① Authentication(认证):身份鉴别,只有正确的账号才能通过认证。
    • ② Authorization(授权):判断用户是否有权限对访问的资源执行特定的动作。
    • ③ Admission Control(准入控制):用于补充授权机制以实现更加精细的访问控制功能。

用户分类

所有 Kubernetes 集群都有两类用户:由 Kubernetes 管理的服务账号(Service Account )普通用户(User Accounts)

Kubernetes 假定普通用户是由一个与集群无关的服务通过以下方式之一进行管理的:

  • 负责分发私钥的管理员
  • 类似 Keystone 或者 Google Accounts 这类用户数据库
  • 包含用户名和密码列表的文件

有鉴于此,Kubernetes 并不包含用来代表普通用户账号的对象。 普通用户的信息无法通过 API 调用添加到集群中。

尽管无法通过 API 调用来添加普通用户, Kubernetes 仍然认为能够提供由集群的证书机构签名的合法证书的用户是通过身份认证的用户。 基于这样的配置,Kubernetes 使用证书中的 ‘subject’ 的通用名称(Common Name)字段 (例如,“/CN=bob”)来确定用户名。 接下来,基于角色访问控制(RBAC)子系统会确定用户是否有权针对某资源执行特定的操作

与此不同,服务账号是 Kubernetes API 所管理的用户。它们被绑定到特定的名字空间, 或者由 API 服务器自动创建,或者通过 API 调用创建。服务账号与一组以 Secret 保存的凭据相关,这些凭据会被挂载到 Pod 中,从而允许集群内的进程访问 Kubernetes API。

Service Account 在不指定时,会自动帮我们创建一个default账号。它下面有三个组件管理:

  • Service Account Admission Controller:通过 Admission Controller 插件来实现对 pod 修改,它是 apiserver 的一部分。创建或更新 pod 时会同步进行修改 pod。当插件处于激活状态(在大多数发行版中都默认情况)创建或修改 pod 时,会按以下操作执行:
    1. 如果 pod 没有设置 ServiceAccount,则将 ServiceAccount 设置为 default。
    2. 确保 pod 引用的 ServiceAccount 存在,否则将会拒绝请求。
    3. 如果 pod 不包含任何 ImagePullSecrets,则将ServiceAccount 的 ImagePullSecrets 会添加到 pod 中。
    4. 为包含 API 访问的 Token 的 pod 添加了一个 volume。
    5. 把 volumeSource 添加到安装在 pod 的每个容器中,挂载在 /var/run/secrets/kubernetes.io/serviceaccount。
  • Token Controller:TokenController 作为 controller-manager 的一部分运行。异步行为:
    1. 观察 serviceAccount 的创建,并创建一个相应的 Secret 来允许 API 访问。
    2. 观察 serviceAccount 的删除,并删除所有相应的ServiceAccountToken Secret
    3. 观察 secret 添加,并确保关联的 ServiceAccount 存在,并在需要时向 secret 中添加一个 Token。
    4. 观察 secret 删除,并在需要时对应 ServiceAccount 的关联
  • Service Account Controller:Service Account Controller 在 namespaces 里管理ServiceAccount,并确保每个有效的 namespaces 中都存在一个名为 “default” 的 ServiceAccount。

认证方式

Kubernetes 集群安全的关键点在于如何识别并认证客户端身份,它提供了 3 种客户端身份认证方式:

① HTTP Base 认证:

    • 通过 用户名+密码 的方式进行认证。
    • 这种方式是把 用户名:密码 用 BASE64 算法进行编码后的字符串放在 HTTP 请求中的 Header 的 Authorization 域里面发送给服务端。服务端收到后进行解码,获取用户名和密码,然后进行用户身份认证的过程。

② HTTP Token 认证:

    • 通过一个 Token 来识别合法用户。
    • 这种认证方式是用一个很长的难以被模仿的字符串–Token 来表明客户端身份的一种方式。每个 Token 对应一个用户名,当客户端发起 API 调用请求的时候,需要在 HTTP 的 Header 中放入 Token,API Server 接受到 Token 后会和服务器中保存的 Token 进行比对,然后进行用户身份认证的过程。

③ HTTPS 证书认证:

    • 基于 CA 根证书签名的双向数字证书认证方式。
    • 这种认证方式是安全性最高的一种方式,但是同时也是操作起来最麻烦的一种方式。

授权

Kubernetes 使用 API 服务器对 API 请求进行鉴权。 它根据所有策略评估所有请求属性来决定允许或拒绝请求。 一个 API 请求的所有部分都必须被某些策略允许才能继续。 这意味着默认情况下拒绝权限。

当系统配置了多个鉴权模块时,Kubernetes 将按顺序使用每个模块。 如果任何鉴权模块批准或拒绝请求,则立即返回该决定,并且不会与其他鉴权模块协商。 如果所有模块对请求没有意见,则拒绝该请求。 被拒绝响应返回 HTTP 状态代码 403。

授权策略

  • AlwaysDeny:表示拒绝所有请求,一般用于测试。

  • AlwaysAllow:允许接收所有的请求,相当于集群不需要授权流程(Kubernetes 默认的策略)。

  • ABAC:基于属性的访问控制,表示使用用户配置的授权规则对用户请求进行匹配和控制。

  • Webhook:通过调用外部REST服务对用户进行授权。

  • Node:是一种专用模式,用于对 kubelet 发出的请求进行访问控制。

  • RBAC:基于角色的访问控制( kubeadm 安装方式下的默认选项)。

RBAC

RBAC(Role Based Access Control):基于角色的访问控制,主要是在描述一件事情:给哪些对象授权了哪些权限。

RBAC 模型:

在这里插入图片描述

Kubernetes 中的 RBAC 也是基于 RBAC 模型扩展的,涉及到如下的概念:

    • 对象:User、Group、ServiceAccount。
    • 角色:代表一组定义在资源上的可操作的动作(权限)的集合。
    • 绑定:将定义好的角色和用户绑定在一起,也可以理解为分配角色。

RBAC 引入了 4 个顶级资源对象:

    • Role:角色,用于指定一组权限,限定名称空间下的权限。
    • ClusterRole:集群角色,用于指定一组权限,限定集群范围下的权限。
    • RoleBinding:角色绑定,用于将角色 Role(权限的集合)赋予给对象(User、Group、ServiceAccount)。
    • ClusterRoleBinding:集群角色绑定,用于将集群角色 Role(权限的集合)赋予给对象(User、Group、ServiceAccount)。

说明:为什么 Kubernetes 要设计 Role 、 ClusterRole ?

答:有些资源对象本身就不是 namespace(名称空间)的 ,所以 Kubernetes 增加了 ClusterRole,并且 ClusterRole 也可以管理名称空间下的资源对象。

Role 和 ClusterRole资源清单

一个角色就是一组权限的集合,这里的权限都是许可形式的(白名单)。

Role 的资源清单文件:

# 名称空间角色
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: xudaxian-role
  namespace: default # 所属的名称空间
rules: # 当前角色的规则
- apiGroups: [""] # "" 标明 core API 组,默认留空即可。
  resources: ["pods"]  # 资源类型
  verbs: ["get", "watch", "list"]  # 资源的动作类型

说明:

  • Role 只能对名称空间(namespace)进行授权,所以需要指定名称空间(namespace)
  • resources:支持的资源对象列表,通过 kubectl api-resources 查看
  • verbs:对资源对象的操作方法列表,通过 kubectl api-resources -o wide 查看

ClusterRole 的资源清单文件:

# 集群角色
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: xudaxian-clusterrole
rules:
- apiGroups: [""] # "" 标明 core API 组,默认留空即可。
  resources: ["namespaces"]
  verbs: ["get", "watch", "list"]

注意:ClusterRole 不需要设置 namespace。

RoleBinding 和 ClusterRoleBinding 资源清单

角色绑定用来把一个角色绑定到一个目标对象上,绑定目标可以是 User、Group 或者 ServiceAccount。

RoleBinding 资源清单文件:

# 账号和角色绑定
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: xudaxian-rolebinding
  namespace: default
subjects:
- kind: ServiceAccount  # 账户类型
  name: xudaxian # 账户名字,"name" 是区分大小写的
roleRef:
  kind: Role
  name: xudaxian-role  # Role的名字
  apiGroup: rbac.authorization.k8s.io  # Api组

ClusterRoleBinding 资源清单文件:

# 账号和集群角色绑定
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: xudaxian-clusterrolebinding
subjects:
- kind: ServiceAccount
  name: xudaxian # "name" 是区分大小写的
  namespace: default # 如果资源是某个 namespace 下的,那么就需要设置 namespace
roleRef:
  kind: ClusterRole
  name: xudaxian-clusterrole
  apiGroup: rbac.authorization.k8s.io

示例

创建 ServiceAccount 的时候,系统会在底层默认一个含 ServiceAccount 名称的 Secret 。

# 名称空间角色
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: xudaxian-role
  namespace: default # 所属的名称空间
rules: # 当前角色的规则
- apiGroups: [""] # "" 标明 core API 组,默认留空即可。
  resources: ["pods"] # 指定能操作的资源 ,通过 kubectl api-resources 查看即可。
  # resourceNames: [""] #  指定只能操作某个名字的资源
  verbs: ["get", "watch", "list"] # 操作动作,通过 kubectl api-resources -o wide 查看即可。 
---
# 集群角色
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: xudaxian-clusterrole
rules:
- apiGroups: [""] # "" 标明 core API 组,默认留空即可。
  resources: ["namespaces"]
  verbs: ["get", "watch", "list"]
---
# ServiceAccount
apiVersion: v1
kind: ServiceAccount
metadata:
  name: xudaxian # ServiceAccount 的名称
  namespace: default
---
# 账号和角色绑定
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: xudaxian-rolebinding
  namespace: default
subjects:
- kind: ServiceAccount
  name: xudaxian # "name" 是区分大小写的
roleRef:
  kind: Role
  name: xudaxian-role
  apiGroup: rbac.authorization.k8s.io
---
# 账号和集群角色绑定
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: xudaxian-clusterrolebinding
subjects:
- kind: ServiceAccount
  name: xudaxian # "name" 是区分大小写的
  namespace: default # 如果资源是某个 namespace 下的,那么就需要设置 namespace
roleRef:
  kind: ClusterRole
  name: xudaxian-clusterrole
  apiGroup: rbac.authorization.k8s.io

参考:
https://www.yuque.com/fairy-era/yg511q/by6f82#c5351a01

Ethan-running
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Kubernetes 入门教程.docx
03-19
### Kubernetes (K8s) 入门教程知识点详解 #### 一、Kubernetes 架构概览 **Kubernetes**(通常简称为 **k8s**)是一种用于自动化部署、扩展和管理容器化应用程序的强大平台。它通过抽象硬件资源,为用户提供了...
k8s--kubernetes访问控制
Gong_yz的博客
03-14 984
Authentication(认证)认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式。Kubernetes集群有两类用户:由Kubernetes管理的Service Accounts (服务账户)和(Users Accounts) 普通账户。k8s中账号的概念不是我们理解的账号,它并不真的存在,它只是形式上存在。Authorization(授权)
K8s 访问控制-Day 06
qq_42515722的博客
08-07 364
本章主要讲工作中如何授权其他用户连接k8s集群,并拥有指定权限
kubernetes系列】KubernetesServiceAccount
margu_168的博客
07-12 1881
默认的service account 仅仅只能获取当前Pod自身的相关属性,无法观察到其他名称空间Pod的相关属性信息。如果想要扩展Pod,假设有一个Pod需要用于管理其他Pod或者是其他资源对象(例如dashboard),是无法通过自身的名称空间的default service account进行获取其他Pod的相关属性信息的,此时就需要进行手动创建一个serviceaccount,并在创建Pod时进行定义使用。
k8s访问控制
LY_CS的博客
04-13 1022
访问k8s的API Server的客户端主要分为两类: kubectl :用户家目录中的 .kube/config 里面保存了客户端访问API Server的密钥相关信息,这样当用kubectl访问k8s时,它就会自动读取该配置文件,向API Server发起认证,然后完成操作请求。 pod:Pod中的进程需要访问API Server,如果是人去访问或编写的脚本去访问,这类访问使用的账号为:UserAccount;而Pod自身去连接API Server时,使用的账号是:ServiceAccou...
k8s RBAC 角色访问控制详解与生产中的实际应用案例
博客虽小,世界尽在其中
04-28 1635
本文深入探讨了Kubernetes(K8s)中的RBAC(基于角色的访问控制)机制,详细解析了角色访问控制资源的核心概念和应用方式,并结合实际生产案例展示了其在实际场景中的广泛应用。 文章首先介绍了RBAC的基本原理和核心概念,包括角色、用户、权限等,并阐述了RBAC在K8s中的重要性。接着,文章详细分析了RBAC中的角色定义、角色绑定以及权限继承等关键特性,并探讨了如何通过这些特性实现精细化的权限管理。
mk Kubernetes入门到进阶
最新发布
07-13
- **RBAC (Role-Based Access Control)**:基于角色的访问控制机制。 - **Network Policies**:定义Pod之间的网络流量规则。 - **Secrets Management**:管理和保护敏感数据,如密码和证书。 - **Admission ...
kubernetes基础入门
09-27
- **4.2.2 RBAC授权**: 基于角色的访问控制。 - **4.2.3 准入控制**: 控制对象创建和修改的行为。 **4.3 Scheduler扩展** - **4.3.1 自定义调度器**: 扩展默认的调度器行为。 **4.4 网络插件** - **4.4.1 CNI**:...
Kubernetes入门指南
10-28
Kubernetes入门指南为初学者提供了一份全面的Kubernetes学习手册,内容涉及Kubernetes的基础知识、核心原理、集群部署以及各种资源对象的管理。 首先,Kubernetes的核心原理部分,包括架构原理和设计理念。...
kubernetes-入门指南
12-10
本指南将引导你逐步了解Kubernetes的基础知识,并帮助你快速入门。 1. **Kubernetes核心概念** - **Pod**:Kubernetes的基本执行单元,包含一个或多个紧密耦合的容器。 - **Service**:定义了访问Pods的逻辑策略...
k8s-intro-tutorials:Kubernetes入门教程
02-04
- **Services**:Kubernetes 通过 Services 来定义如何访问 Pod,提供负载均衡和持久的网络标识。Services 可以根据标签选择器选择一组 Pod,并为它们提供一个稳定的 IP 地址和 DNS 名称。 **4. 应用部署与扩展** -...
kscp:Kubernetes秘密控制平面
03-15
秘密永远不会真正存储在kubernetes中,而是存储在秘密管理系统中,并通过角色和角色绑定来控制对它们的访问。 当前,支持 , 和 。 该工具公开了三种类型的资源: ExternalSecret :公开有关如何在后端中生成它们...
Kubernetes(K8s)入门学习文档
10-11
**Kubernetes(K8s)入门学习文档** Kubernetes,简称K8s,是由Google开源的一个容器编排系统,用于自动化容器化应用的部署、扩展和管理。它提供了一个高度可移植的平台,支持跨云服务和本地环境的运行。在深入学习...
kubernetes-starter:kubernetes入门,包括kubernetes概念,架构设计,部署环境构建,认证授权等
02-03
Kubernetes支持多种身份验证和授权机制,包括基于证书、Token、Service Account等的认证,以及ABAC(基于属性的访问控制)、RBAC(角色基础的访问控制)等授权策略。了解这些机制有助于确保集群的安全运行。 在...
读书摘要系列之《kubernetes权威指南·第四版》第一章:kubernetes入门
01-20
服务(Service)是Kubernetes中用于定义如何访问Pod的抽象。它通过Label选择器绑定到相应的Pod,并提供稳定的服务标识。Service有多种类型,如ClusterIP(内部访问)、NodePort(外部通过节点IP和端口访问)、Load...
k8s基本操作、控制器、服务、存储、访问控制及维护等
w975121565的博客
09-01 1339
k8s基本操作、控制器、服务、存储、访问控制及维护等
K8s---访问控制
m0_62341392的博客
01-17 1077
目录 基本概念 API Server认证 ServiceAccount(SA) UserAccount(UA) RBAC授权 基本概念 kubernetes API 访问控制过程:认证、授权、准入控制 Authentication(认证) 认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式。 Kubernetes集群有两类用户:由...
基于RBAC的k8s集群权限管控案例
樛木南雨
12-18 997
在日常的kubernetes集群维护过程中,常常涉及多团队协作,不同的团队有不同的操作和权限需求。比如,运维团队需要有node的所有操作权限,以便对集群进行节点的扩缩容等日常维护工作,但资产运营团队通常只需要node的查看权限,以便完成资产信息的统计分析即可。当然,在实际的业务场景中,一个团队,到底需要操作什么,允许操作什么,往往比上述例子复杂的多。为了应对实际业务场景中的复杂权限管控诉求,kubernetes提供了基于RBAC的权限管控机制。
k8s创建服务账号——Service Account
热门推荐
码农崛起
08-20 1万+
http://docs.kubernetes.org.cn/84.html Service Account(服务账号):是指由Kubernetes API 管理的账号,用于为Pod 之中的服务进程在访问Kubernetes API时提供身份标识( identity ) 。Service Account通常要绑定于特定的命名空间,它们由 API Server 创建,或者通过 API 调用于动创建 ,附带着一组存储为Secret的用于访问API Server的凭据。 User Accounts 与 Serv
Kubernetes入门指南:从零开始
Ingress 可以暴露多个应用程序,实现对外部网络的访问控制。 Namespaces 用于组织和隔离资源,特别是在多租户环境中。Jobs 和 CronJobs 分别处理一次性任务和计划任务的执行。配置方面,ConfigMap 用于存储非敏感...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Ethan-running

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值