k8s安全机制

最新推荐文章于 2024-05-20 00:24:16 发布
最新推荐文章于 2024-05-20 00:24:16 发布
阅读量928 收藏 6
点赞数 14
文章标签: kubernetes 安全 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_71147683/article/details/135843020
版权

k8s的安全机制。分布式集群管理工具,就是容器编排

安全机制的核心:APIserver作为整个内部通信的中介,也是外部控制的入口,所有的安全机制都是围绕API server来进行设计

请求API资源

1、认证

2、鉴权

3、准入控制

只有三个条件都通过,才可以在k8s集群当中创建

认证:Anthentcation

1、HTTP Token:通过token识别合法用户,token是一个很长,很复杂的一个字符串,字符串是用来表达客户的一种方式,每个token对应一个用户名,用户名存储在APIserver能够访问的文件中

客户端发起请求时,HTTP headr包含token

客户端发起请求----token----APIserver(用户名存储文件)----解码-----用户名-----访问集群

2、http base:用户+密码的验证方式,用户名和密码都是通过base64进行加密,加密完成的字符串,http Request的header Atuthorization,发送给服务端,服务端收到加密字符串,解码,获取用户名和密码,验证通过,登录成功

3、https证书: 最严格的方式,也是最严谨的方式,基于CA根证书签名的客户端身份进行验证

认证的访问类型

1、k8s组件对api server组件的访问, kubelet kube-proxy

2、pod对APi server的访问,pod coredNS dashborad都是pod,也需要访问APi

3、客户端kubelet

kubelet kube-proxy:都是通过APiserver的https证书,进行双向验证,都是用6443端口进行验证
controller manager sheduler与APi server在一台服务器,可以直接使用APi server的非安全端口访问(8080端口)
签发证书

1、手动签发 二进制部署就是手动签发证书,CA签发----把证书匹配到每个对应组件,然后访问6443即可

2、自动签发,kubeadm,kubelet第一次访问api server使用token,token通过之后,controller manager会为kubelet生成一个证书,以后都是通过证书访问,kubeadm修改了证书的有效期,默认1年

3、kubeconfig,文件包含集群的参数,CA证书,API server地址,客户端的参数(客户端的证书和私钥),集群的名称和用户名

k8s组件通过启动时指定访问不同的kubeconfig,可以访问不同的集群----API server---namespace---资源对象---pod----容器
kubeconfig既是集群的描述文件,也是一个集群信息的保存文件,包含了集群的访问方式和认证信息
-/ .kube/config 保存的是kubectl的访问认证信息

4、service Account,就是为了方便pod中的容器访问API server

pod的动作(增删改查)动态的,每个pod手动生成一个证书,于是k8s使用了service Account来进行循环认证,service Account里面包含了统一的认证信息,直接进行api server访问

5、Secret 保存资源对象

serverAccount 内部保存的token service-Account-token
Secret保存的是自定义的保密信息

6、serviceAccount保存信息

1、token
2、ca.crt
3、namespace
都会被自动挂载
鉴权

之前的认证过程,只是确认了双方都是可信的,可以相互通信的,鉴权是为了确定请求方的访问权限

能做那些指定的操作
1、ALwaysDeny	拒绝所有,一般是测试
2、ALwaysAllow	允许所有,用测试
3、ABAC attribute-base access control	基于属性的访问控制
4、webhook	外部访问集群内部的鉴权方式
5、RBAC role-base access control	基于角色的访问控制,也是k8s现在默认的规则机制

角色
role	指定命名空间的资源控制权限
绑定角色
rolebinding	将角色绑定到指定的命名空间
集群
clusterrole	可以授权所有命名空间的资源控制权限
绑定集群
clusterrolebinding	将集群的角色绑定到命名空间
准入控制

准入控制是api server的一个准入控制器的插件列表,不同的插件可以实现不同的准入控制机制

一般情况下建议使用官方默认的准入控制器

有哪些准入控制
limitranger	命名空间的配置
serviceAccount
ResourceQuota	命名空间的配置限制
实验

实现不同用户管理自己的命名空间

创建一个用户
useradd lucky
passwd lucky

上传证书到 /usr/local/bin 目录中
chmod +x /usr/local/bin/cfssl*
mkdir /opt/lucky
cd /opt/lucky

vim user-cert.sh
cat > lucky-csr.json << EOF
{
 "CN": "lucky",
 "hosts": [],
 "key": {
   "algo": "rsa",
   "size": 2048
  },
 "names": [
    {
     "C": "CN",
     "ST": "Nanjing",
     "L": "Nanjing",
     "O": "k8s",
     "OU": "system"
     }
   ]
}
EOF
赋权
chmod +x user-cert.sh
./user-cert.sh

/etc/kubernetes/pki/ 目录中会生成 lucky-key.pem、lucky.pem、lucky.csr
cd /etc/kubernetes/pki/
cfssl gencert -ca=ca.crt -ca-key=ca.key -profile=kubernetes /opt/lucky/lucky-csr.json | cfssljson -bare lucky 

cd /opt/lucky
vim rbac-kubeconfig.sh
APISERVER=$1
# 设置集群参数
export KUBE_APISERVER="https://$APISERVER:6443"
kubectl config set-cluster kubernetes \
  --certificate-authority=/etc/kubernetes/pki/ca.crt \
  --embed-certs=true \
  --server=${KUBE_APISERVER} \
  --kubeconfig=lucky.kubeconfig

# 设置客户端认证参数
kubectl config set-credentials lucky \
  --client-key=/etc/kubernetes/pki/lucky-key.pem \
  --client-certificate=/etc/kubernetes/pki/lucky.pem \
  --embed-certs=true \
  --kubeconfig=lucky.kubeconfig

# 设置上下文参数
kubectl config set-context kubernetes \
  --cluster=kubernetes \
  --user=lucky \
  --namespace=lucky-cloud \
  --kubeconfig=lucky.kubeconfig
  
kubectl create namespace lucky-cloud
chmod +x rbac-kubeconfig.sh
生成鉴权
./rbac-kubeconfig.sh 20.0.0.70

使用上下文参数生成 lucky.kubeconfig 文件
kubectl config use-context kubernetes --kubeconfig=lucky.kubeconfig

查看证书
cat lucky.kubeconfig

mkdir /home/lucky/.kube
cp lucky.kubeconfig /home/lucky/.kube/config
chown -R lucky:lucky /home/lucky/.kube/

RBAC授权
vim rbac.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: lucky-cloud
  name: pod-reader
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "watch", "list", "create"]

---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: read-pods
  namespace: lucky-cloud
subjects:
- kind: User
  name: lucky
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io
  
kubectl apply -f rbac.yaml

kubectl get role,rolebinding -n lucky-cloud
NAME                                        CREATED AT
role.rbac.authorization.k8s.io/pod-reader   2024-01-25T05:59:37Z

NAME                                              ROLE              AGE
rolebinding.rbac.authorization.k8s.io/read-pods   Role/pod-reader   16s

切换用户,测试操作权限
su - lucky

vim pod-test.yaml
apiVersion: v1
kind: Pod
metadata:
  name: pod-test
spec:
  containers:
    - name: nginx
      image: nginx


kubectl create -f pod-test.yaml
kubectl get pods -o wide
NAME       READY   STATUS    RESTARTS   AGE
pod-test   1/1     Running   0          33s
小布爱吃糖.
关注
  • 14
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
k8s架构浅析
02-24
Kubernetes是一个面向应用的容器集群部署、管理及编排系统,旨在为最终用户屏蔽物理/虚拟计算、网络、存储基础设施的复杂度,...Cluster:是一个被k8s协调的高可用集群,作为k8s集群的根操作对象,将多台计算节点(Mast
Kubernetes-认证
好记性不如烂笔头
05-02 8180
https://kubernetes.io/docs/admin/authentication/Kubernetes中的用户所有Kubernetes集群有两类用户:由Kubernetes管理的服务帐户和正常用户。正常用户是假定被外部或独立服务管理的。管理员分配私钥,用户像Keystone或google账号一样,被存储在包含用户名和密码列表的文件里。在这点上,Kubernetes没有代表正常用户帐户的
带你玩转-k8s使用 令牌(token)登录
lxy___的博客
04-24 3237
确定NAME [root@master conf]# kubectl get secret -n=kube-system NAME TYPE DATA AGE (省略部分...) kubernetes-dashboard-token-d24bl kubernetes.io/service-account-token 3 23m ...
深入浅出学K8s.zip
08-17
22 | 安全机制Kubernetes 如何保障集群安全? 23 | 最后的防线:怎样对 Kubernetes 集群进行灾备和恢复? 「关注公众号【云世】,免费获取全系列课程内容」 加餐:问题答疑和优秀留言展示 知其所以然:底层核心...
k8s集群部署Harbor镜像仓库
01-02
安全性管理: Harbor支持对镜像进行RBAC(Role-Based Access Control)和LDAP等认证授权机制。这使得你能够更好地管理镜像的访问权限,确保只有授权的用户能够拉取和推送镜像,有助于提高集群的安全性。 漏洞扫描:...
Kubernetes 集群安全 - 机制说明.pdf
10-17
本系列文档介绍使用二进制部署 kubernetes 集群的所有步骤,而不是使用 kubeadm 等自动化方式来部署集群,同时开启了集群的TLS安全认证,该安装步骤适用于所有bare metal环境、on-premise环境和公有云环境。
k8s相关常用语句
QQ563627436的博客
05-11 624
查连的是哪个数据库:kubectl logs -f --tail=500000 phoenix-trade-a1e3d-9c4f897c7-xb26g -n sit-jd20230721zh | grep dbId=看实时日志: kubectl logs -f --tail=500000 ${pod的名称} -n ${命名空间}(pod的名称就像这样的:cif-sit-gp20230519go-6bf7bd4c99-948pc)
k8s-从应用访问pod元数据以及其他资源
weixin_43784341的博客
05-14 476
Kubernetes中,可以通过在应用内使用 Downward API 或者通过 Service Account 的方式来访问 Pod 的元数据以及其他资源。下面我将为你介绍这两种方法的详细代码实现。
kubernetes】二进制部署k8s集群之cni网络插件flannel和calico工作原理(中)
2301_81307988的博客
05-14 743
部署网络组件部署 flannel。
Docker+k8s上云以及CI/CD
最新发布
qq_36828822的博客
05-20 760
镜像构建完成后,需要将镜像推送到相关私有的镜像仓库,建议在构建时根据代码分支来写入相应的标签前缀,这样就可以根据标签前缀来选择对应环境执行自动部署了,比如开发环境、测试环境和生产环境的自动部署,这样只要控制好分支权限即可。这一步,需要使用“docker login”命令来登录私有仓库,使用“docker push”命令来推送镜像。而且如果节点实在不同的云服务商上也是不能访问的,例如:master节点在腾讯云服务器上,而node节点在阿里云服务器上,那么master节点无法访问阿里云服务器上节点ip。
安装k8s的负载均衡器MetalLB
纵歌的博客
05-17 606
安装k8s的负载均衡器MetalLB(新旧版安装不同)
k8s 二进制安装 详细安装步骤
wyq2070857323的博客
05-15 605
etcd是CoreOS团队于2013年6月发起的开源项目,它的目标是构建一个高可用的分布式键值(key-value)数据库。etcd内部采用raft协议作为一致性算法,etcd是go语言编写的。关闭防火墙 关闭selinux 关闭swap 根据规划设置主机名做域名映射 调整内核参数 时间同步。
k8s v1.20二进制部署 部署 CNI 网络组件 部署 Calico
wys_jj的博客
05-14 848
●Pod 内容器容器之间的通信在同一个 Pod 内的容器(Pod 内的容器是不会跨宿主机的)共享同一个网络命名空间,相当于它们在同一台机器上一样,可以用 localhost 地址访问彼此的端口。●同一个 Node 内 Pod 之间的通信每个 Pod 都有一个真实的全局 IP 地址,同一个 Node 内的不同 Pod 之间可以直接采用对方 Pod 的 IP 地址进行通信,Pod1 与 Pod2 都是通过 Veth 连接到同一个 docker0/cni0 网桥,网段相同,所以它们之间可以直接通信。
k8s证书续期
weixin_40668374的博客
05-15 181
如果证书即将到期,此处的天数应该是几天,在过期之前进行续期,保证集群的可用。6.再次查看期限,检查服务是否正常。避免出现问题可以回退。5.替换更新后的文件。
利用kubeadm安装k8s集群 以及跟harbor私有仓库下载镜像
2301_81307988的博客
05-16 944
Harbor节点(hub.kgc.com 192.168.88.6 docker、docker-compose、harbor-offline-v1.2.21、在所有节点上安装Docker和kubeadm2、部署Kubernetes Master3、部署容器网络插件4、部署 Kubernetes Node,将节点加入Kubernetes集群中5、部署 Dashboard Web 页面,可视化查看Kubernetes资源6、部署 Harbor 私有仓库,存放镜像资源。
pve cluster&k8s cluster重建
知本知至的博客
05-14 218
pve集群&k8s日常操作
K8s 高级调度
go|Python的个人博客
05-16 254
默认情况下,一个Pod在哪个Node节点上运行,是由Scheduler组件采用相应的算法计算出来的,这个过程是不受人工控制的。但是在实际使用中,这并不满足的需求,我们想控制某些Pod到达某些节点上,就要求了解kubernetes对Pod的调度规则,kubernetes提供了四大类调度方式:**自动调度:**运行在哪个节点上完全由Scheduler经过一系列的算法计算得出**定向调度:**NodeName、NodeSelector。
Kubeadmin部署K8S集群
weixin_55707333的博客
05-16 276
在 master 节点上传apiserver.tar 、controller-manager.tar 、 coredns.tar 、 etcd.tar 、 pause.tar proxy.tar 、 scheduler.tar。复制镜像和脚本到 node 节点,并在 node 节点上执行脚本加载镜像文件。yum 安装 kubelet kubeadm kubectl。在所有节点上上传flannel镜像和cni镜像,及其配置文件。定义kubernetes源。初始化kubeadm。
K8S认证|CKA题库+答案| 8. 查看可用节点数量
Dances with Cloud Native
05-19 1124
K8S认证|CKA题库+答案| 8. 查看可用节点数量
用通俗易懂的语言描述k8s安全机制
04-19
Kubernetes安全机制是一种包括身份认证、访问控制、网络隔离等多种方式来保护应用程序在集群中的安全的系统。 Kubernetes可以为每个使用集群的用户提供单独的管理员权限,并使用各种安全策略来确保只有授权的用户...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值