学习kubernetes之安全机制流程一篇就够!!!

最新推荐文章于 2024-01-25 14:05:06 发布
最新推荐文章于 2024-01-25 14:05:06 发布
阅读量1.1k 收藏
点赞数
分类专栏: Kubernetes 文章标签: kubernetes docker 云计算 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qyf158236/article/details/113409073
版权

文章目录

一.kubernetes的安全框架

管理kubernetes的有kubectl、api、UI界面
如下是k8s的安全框架图
在这里插入图片描述

安全认证流程:kubectl请求api资源,然后通过三层安全机制。

第一层是认证(Authentication),验证身份、用户名和密码或者token;

第二层是授权(Authorization)角色绑定(RBAC),以获得权限;

第三层是准入控制(Admission Control,资源使用限定)。

请求只有通过这三层安全机制,才会被k8s响应请求,创建资源。
  • k8s的安全控制框架主要由以上3个阶段进行控制,每一个阶段都支持插件方式,通过APIServer配置来启用插件方式,通过APiserver配置来启用插件。
  • 普通用户想要安全的访问集群APIServer,往往需要证书、token或者是用户名+密码
  • pod访问需要ServiceAccount
[root@master01 demo]# kubectl get serviceaccount
NAME      SECRETS   AGE
default   1         5d23h

apiserver内部使用8080端口,默认8080端口监听本地,通过master以及其他组件连接使用

[root@master01 demo]# netstat -napt | grep LISTEN | grep 8080
tcp        0      0 127.0.0.1:8080          0.0.0.0:*               LISTEN      67360/kube-apiserve

apiserver外部使用6443端口

[root@master01 demo]# netstat -napt | grep LISTEN | grep 6443
tcp        0      0 192.168.158.10:6443     0.0.0.0:*               LISTEN      67360/kube-apiserve

二.Authentication,认证

认证有三种客户端身份认证
HTTPS 证书认证:基于CA证书签名的数字证书认证
HTTP Token认证:通过一个Token来识别用户(生产环境中使用广泛)
HTTP Base认证:用户名+密码的方式认证

HTTPS证书认证,基于CA证书签名的数字证书认证

CA认证如下

[root@master01 demo]#  cat /root/k8s/k8s-cert/server-csr.json 
{
   
    "CN": "kubernetes",
    "hosts": [
      "10.0.0.1",
      "127.0.0.1",
      "192.168.158.10",
      "192.168.158.40",
      "192.168.158.100",
      "192.168.158.110",
      "192.168.158.120",
      "kubernetes",
      "kubernetes.default",
      "kubernetes.default.svc",
      "kubernetes.default.svc.cluster",
      "kubernetes.default.svc.cluster.local"
    ],
    "key": {
   
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
   
            "C": "CN",
            "L": "BeiJing",
            "ST": "BeiJing",
            "O": "k8s",
            "OU": "System"
        }
    ]
}

HTTP Token认证,通过一个Token来识别用户(生产环境中使用广泛)

httpd的令牌认证如下

[root@master01 ~]# cat /opt/kubernetes/cfg/token.csv
2525e5219c98c6fd3747f969838a0456,kubelet-bootstrap,10001,"system:kubelet-bootstrap"

HTTP Base认证,用户名+密码的方式认证

三.Authorization,授权

RBAC(Role-Based Access Control,基于角色的访问控制),负责完成授权(Authorization)工作。
以下是授权模块的相关概念
user:身份验证期间提供的用户字符串;

user:身份验证期间提供的用户字符串;

group:已验证用户所属的组名列表;

extra:任意字符串键到字符串值得映射,由身份验证层提供;

API:指示请求是否针对API资源;

request path:到其他非资源端点得路径;

api request verb:api动作(get、list、create、update、patch、watch、proxy、redirect、delete和deletecollection)等,用于

资源请求。

http request verb:http动作(get、post和delete用于非资源请求);

resource:正在访问得资源的ID或者名称(仅仅用于资源请求),对于使用get、update、patch和delete谓词的资源请求,必须提供资源名称;

subresource:正在访问的资源(仅仅用于资源请求);

namespace:正在访问的子资源(仅用于资源请求);

api group:被访问的api组(仅用于资源请求),一个空字符串指定核心api组

由于RBAC是基于角色进行控制的,所以首先需要创建角色、然后创建绑定的资源、最后将角色与目标甚至api和请求等绑定。绑定api模式适用于二次开发。

四.admission contorl,准入控制

在这里插入图片描述

NamespaceLifecycle:命令空间回收

LimitRanger:配额管理

ServiceAccount:每个pod中导入方便访问apiserver

ResourceQuota:基于命名空间的高级配额管理

NodeRestriction:node加入到k8s群集中以最小的权限运行

以下是官方推荐的插件(用于1.11版本以上)

--enable-admission-plugins= \  NamespaceLifecycle,LimitRanger,ServiceAccount,DefaultStorageClass,DefaultTolerationSeconds, ResourceQuota

五.基于授权机制创建新的用户

使用RBAC(基于角色的访问控制)授权,允许通过kubernetes API动态配置策略
在这里插入图片描述

主体:user(用户)、Group(用户组)、ServiceAccount(服务账号)

角色:Role(授权特定命名空间的访问权限)、ClusterRole(授权所有命名空间访问权限)

角色绑定:RoleBinding(将角色绑定到主体,即subject)、ClusterRoleBinding(将集群角色绑定到主体)

创建命名空间

[root@master01 ~]# kubectl create ns tom
namespace/tom created
[root@master01 ~]# kubectl get ns
NAME          STATUS   AGE
default       Active   5d23h
kube-public   Active   5d</
最低0.47元/天 解锁文章
下一个艺术家
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
K8S安全机制介绍
weixin_39970002的博客
11-09 2493
K8S安全机制介绍概述认证(Authentication)授权鉴权(Authorization)准入控制(Adminssion Control) 概述 K8S安全控制框架主要由下面3个阶段进行控制,每一个阶段都支持插件方式,通过API Server配置来启用插件。 Authentication Authorization Admission Control 当kubectl ,ui,程序 等请求某个 k8s 接口时,需要经过认证(判断真伪),鉴权(是否有权限这么做),准入控制(能不能个这
K8S的安全机制
L2111533547的博客
08-07 1503
访问K8S集群的资源需要过三关:认证、鉴权、准入控制普通用户若要安全访问集群API Server,往往需要证书、 Token或者用户名+密码;Pod访问,需要ServiceAccountK8S安全控制框架主要由下面3个阶段进行控制,每一个阶段 都支持插件方式,通过API Server配置来启用插件。1. Authentication:用于识别用户身份, 方式有: SSL证书,token, 用户名+密码等2. Authorization:确认是否对资源具有相关的权限。......
kubeproxy和service dns整体原理
StackFlow的博客
07-16 1186
ClusterIP方式访问的入口链;:NodePort方式访问的入口链;KUBE-SVC-*:相当于一个负载均衡器,将数据包平均分发给KUBE-SEP-*链;KUBE-SEP-*:通过DNAT将Service的目的IP和端口,替换为后端Pod的IP和端口,从而将流量转发到后端Pod。:通过对路由到其他节点的数据包进行SNAT,使其能原路返回。对于NodePort类型的service,如果本节点上没有目的Pod,则本节点起到的是网关的作用,将数据路由到其他节点。在这种情况下,
CoreDNS:Kubernetes内部域名解析原理、弊端及优化方式
qingdao666666的博客
08-28 694
Kubernetes 中的 DNS 本篇主要尽可能详尽的说明 Kubernetes 的DNS解析原理,以及 Kubernetes 集群中 DNS 解析目前存在的弊端和优化方式。 在 Kubernetes 中,服务发现有几种方式: ①:基于环境变量的方式 ②:基于内部域名的方式 基本上,使用环境变量的方式很少,主要还是使用内部域名这种服务发现的方式。 其中,基于内部域名的方式,涉及到 Kubernetes 内部域名的解析,而 kubedns,是 Kubernetes 官方的 DNS 解析组件。从 1.
学练结合,快速掌握Kubernetes Service
很多时候犯错都是在不知情的情况下发生的
07-10 276
今天这篇文章里我们来讲一下里的对象。其实前面的文章《Kubernetes初体验--部署运行Go项目》里我们已经与有过一次短暂接触了,在那篇文章里我说用对象部署完应用后还需要向外界暴露入口才能通过HTTP访问到集群里的应用,当时使用的是这样一条命令,其实就是创建的对象: 那么在这篇文章里我们就来聊一下:什么是对象,在里它是干什么用的;里怎么发现;如何创建和使用;nodePort,port,targetPort都是啥;文章前面半部分理论知识多一点,稍显枯燥,后半部分会用一个实践练习给之前用部署好的应用们加上
扩展Kubernetes API
04-07
这篇内容源自Onur Yılmaz在Packt Publishing出版的《Kubernetes设计模式和扩展》一书,旨在帮助开发者和运维人员了解如何自定义Kubernetes以适应特定业务需求。 Kubernetes API是其所有操作的核心,允许用户通过...
kubernetes笔记.rar
05-30
这篇“Kubernetes权威指南”学习笔记详细记录了Kubernetes的核心概念、工作原理以及实际操作,对于深入理解和掌握这个平台至关重要。 1. **Kubernetes核心概念** - **Pod**:Kubernetes的基本执行单元,可以包含一...
42 _ Kubernetes默认调度器调度策略解析1
08-04
Kubernetes中,调度器是核心组件之一,负责将Pod分配到合适的Node上运行。调度器的工作机制基于一系列的Predicates(过滤器)和Priorities(优先级)策略。在本篇文章中,我们将深入探讨其中的Predicates策略,...
Eclipse开发分布式商城系统+完整视频代码及文档!
05-31
本篇将详细介绍如何使用Eclipse这一强大的Java集成开发环境,结合相关技术和工具,构建一个完整的分布式商城系统。 一、Eclipse简介 Eclipse是一款开源的、跨平台的Java集成开发环境(IDE),支持多种编程语言,...
SUSE技术白皮书安全
12-17
1. SELinux(Security-Enhanced Linux):SLES集成了SELinux,这是一种强制访问控制机制,能提供额外的安全层,限制程序对系统资源的访问。 2. AppArmor:SUSE的AppArmor是一种应用级别的安全模块,通过配置安全...
kubernetes使用组件具体介绍
weixin_41934292的博客
08-05 832
1. kubernetes介绍 1.1. kubernetes介绍 kubernetes是一种开源的容器编排工具,通过调度系统维持用户预期数量和状态的容器正常运行。kubernetes提供的功能: 服务发现和负载均衡:Kubernetes 可以使用 DNS 名称或自己的 IP 地址公开容器,如果到容器的流量很大,Kubernetes 可以负载均衡并分配网络流量,从而使部署稳定。 存储编排 Kubernetes 允许您自动挂载您选择的存储系统,例如本地存储、公共云提供商等 自动部署和回滚 您可以使用
k8s集群安全机制说明
zhaikaiyun的博客
02-28 1679
k8s作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务,apiserver是集群内部各个组件通信的中介,也是外部控制的入口,所以k8s的安全机制基本就是围绕保护apiserver来设计的。k8s使用了认证Authentication、鉴权Authorization、准入控制admissionControl三步来保证apiserver的安全。 用户通过kubectl、客户端库或者通...
k8s安全机制
Kubernetes enthusiasts
02-08 4749
一、kubernetes安全机制 api server是k8s集群的入口,默认有两个端口: 本地端口8080: 用于接收HTTP请求, 不对外服务, 非认证或授权的HTTP请求通过该端口访问API Server 安全端口6443: 用于接收认证授权的HTTPS请求,对外服务。 用户通过安全端口访问k8s的api server需要过三关:认证、授权、准入控制 Authentication认证: 用于识别用户身份, 方式有: SSL证书,token, 用户名+密码等 Authorization授
Kubernetes监控平台搭建
lzy_zhi_yuan的博客
12-30 1239
写在前面 k8s是目前最流行的容器集群管理基础组件,是当下微服务盛行的互联网时代产物。关于k8s概念、部署、实战方面可以阅读本号前面发布的文章。下面是相关链接:kubernetes架...
Kubernetes教程(五)---Service 的几种访问方式
探索云原生
09-24 1148
所谓 Service,其实就是 Kubernetes 为 Pod 分配的、固定的、基于 iptables(或者 IPVS)的访问入口。而这些访问入口代理的 Pod 信息,则来自于 Etcd,由 kube-proxy 通过控制循环来维护。1)ClusterIP:通过集群的内部 IP 暴露服务,选择该值时服务只能在集群内部访问。2)NodePort:通过每个节点上的 IP 和静态端口(NodePort)暴露服务。NodePort服务会路由到自动创建的ClusterIP服务。通过请求。
k8s学习八-安全机制
qq_35930102的博客
01-02 3414
1 安全机制概述 访问k8s集群的时候,需要经过三个步骤完成具体操作 1 认证 传输安全:对外不暴露8080端口,只能内部访问,对外使用6443端口,客户端认证常用方式: https证书认证,基于CA证书 http token认证,通过token识别用户 http基本认证,用户名+密码认证 2 鉴权 基于RBAC进行鉴权操作 基于角色访问控制 3 准入控制 就是准入控制器的列表,如果列表中有请求内容则通过,没有则拒绝 访问过程中,都需要经过apiserver,apiserver做统一协调。同时需
k8s的安全机制
最新发布
2303_79207100的博客
01-25 1170
k8s组件都是通过启动时指定访问不同的kubeconfig文件,可以访问不同的集群,再到api server,再到namespace,再到资源对象,再到pod,再到容器。token是一个很长、很复杂的字符串,字符串是用来表达客户的一种方式,每一个token对应一个用户名,用户名存储在api server能访问的文件中,客户端发起请求时,http header中包含token,token对应到api server,api server对应到用户名存储文件,解码查看是否对应用户名,验证通过可访问集群。
Kubernetes(K8s)_11_安全机制
爱喝可乐的w
02-23 850
Kubernetes(K8s)保证集群安全机制
基于容器的安全服务.pdf
06-19
"该文档是关于基于容器的安全服务的研究,主要涵盖了如何在不同环境下构建和管理Kubernetes集群,以及如何确保容器服务的安全性。" 在当前的云计算和物联网时代,Kubernetes(K8s)作为容器编排的领导者,扮演着...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值