三十、K8s供应链安全1-准入控制器

最新推荐文章于 2024-04-13 21:02:02 发布
最新推荐文章于 2024-04-13 21:02:02 发布
阅读量1k 收藏 5
点赞数 1
分类专栏: 云计算 文章标签: 安全 kubernetes docker 准入控制器 admission
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tushanpeipei/article/details/121987706
版权

一、集群环境

在这里插入图片描述
底层系统为ubuntu18.04,然后在每个node上安装k8s,并构建集群。Master node的IP地址为192.168.26.71/24,两个Worker node的IP地址为192.168.26.72/24、192.168.26.73/24。部署Calico网络插件,保证Node之间能够正常通信。

二、准入控制器

1.什么是准入控制器
在这里插入图片描述
kube-apiserver是Kubernetes集群的中心,集群中所有资源的创建和更新都是通过APIServer的Restful API实现的。 因此Kubernetes通过一系列的机制来保证APIServer的安全,包括APIServer的认证、授权以及本文中我们会使用的准入控制Admission Control。上图是APIServer被访问控制的过程,在经过认证和授权之后就进入了准备控制Admission Control。

认证的操作请查看:https://blog.csdn.net/tushanpeipei/article/details/121877797?spm=1001.2014.3001.5501
授权的操作请查看:https://blog.csdn.net/tushanpeipei/article/details/121894874?spm=1001.2014.3001.5501

准入控制器可以理解为功能开关,可以启用或者关闭。其包含的类型有很多,包括了之前笔记中提到的:

  1. Pod 安全策略(Pod Security Policy)
  2. OPA (Open Policy Agent)规则
  3. NodeRestriction

在我们环境中kube-apiserver是通过容器执行的。所以我们可以使用如下的命令查看准入控制器的相关内容:

kubectl exec -it -n kube-system kube-apiserver-vms71.rhce.cc -- kube-apiserver -h | grep enable-admission-plugins

在其显示的信息中,我们可以看到在当前版本中默认开启的准入控制分别是:

CertificateApproval, CertificateSigning, CertificateSubjectRestriction, DefaultIngressClass, DefaultStorageClass, DefaultTolerationSeconds, LimitRanger, MutatingAdmissionWebhook, NamespaceLifecycle, PersistentVolumeClaimResize, Priority, ResourceQuota, RuntimeClass, ServiceAccount, StorageObjectInUseProtection, TaintNodesByCondition, ValidatingAdmissionWebhook

2.如何开启和关闭对应的准入控制器
kube-apiserver的 enable-admission-plugins 标志接受一个用于在集群修改对象之前 调用的(以逗号分隔的)准入控制插件顺序列表。

例如,下面的命令就启用了 NamespaceLifecycle 和 LimitRanger 准入控制插件。首先编辑kube-apiserver.yaml文件:

vim /etc/kubernetes/manifests/kube-apiserver.yaml

在command一栏下找到 --enable-admission-plugins=,添加自己想要开启的准入控制器。例如,下面的命令就启用了 NamespaceLifecycle 和 LimitRanger 准入控制插件:

--enable-admission-plugins=NamespaceLifecycle,LimitRanger

同样的,要想关闭默认启用的准入控制器插件,可以同样在command一栏下,找到–disable-admission-plugins,然后设置准备关闭的插件,例如,如下命令就跟关闭了PodNodeSelector和AlwaysDeny插件。

--disable-admission-plugins=PodNodeSelector,AlwaysDeny

3.每个准入控制器的作用是什么?

请查看官方文档:https://kubernetes.io/zh/docs/reference/access-authn-authz/admission-controllers/#每个准入控制器的作用是什么

4.整理创建pod调度的过程

  1. 用户通过可视化或者kubectl命令连接到kube-apiserver。kube-apiserver判断用户是否登录,是否有权限(认证和授权);
  2. 各种准入控制检测此创建pod请求的的合法性。如果请求符合各种准入控制器规则,则允许此请求,否则直接拒绝;
  3. 通过后准入控制器规则后,kubelet或者scheduler通过watch权限能够看到pod的状态为pending;
  4. schduler会通过主机排除、打分决定该pod运行在哪个worker node上;
  5. kubelet开始运行pause容器,创建相关的PID命名空间、网络命名空间等;
  6. pod被创建出来。

三、举例一:ResourceQuota准入控制器

ResourceQuota是默认开启的准入控制器插件,可以帮助我们限制K8s的资源配额。例如,我们使用如下yaml文件创建一个ResourceQuota准入控制器,限制只能创建2个pod:

apiVersion: v1
kind: ResourceQuota
metadata:
  name: myrq
spec:
  hard:
    pods: "2"

查看所部署的ResourceQuota:

root@vms71:~/admission-controllers# kubectl get resourcequotas
NAME   AGE   REQUEST     LIMIT
myrq   36s   pods: 0/2

然后我们使用deployment同时部署3个pod,deployment的yaml文件如下:

apiVersion: apps/v1
kind: Deployment
metadata:
  creationTimestamp: null
  labels:
    app: web1
  name: web1
spec:
  replicas: 3
  selector:
    matchLabels:
      app1: web1
  strategy: {}
  template:
    metadata:
      creationTimestamp: null
      labels:
        app1: web1
        app2: web1
    spec:
      containers:
      - image: nginx
        name: nginx
        imagePullPolicy: IfNotPresent
        resources: {}

应用后可以看到如下的结果:3个pod仅能启用两个,说明我们ResourceQuota准入控制器部署成功。

root@vms71:~/admission-controllers# kubectl get deployments.apps web1
NAME   READY   UP-TO-DATE   AVAILABLE   AGE
web1   2/3     2            2           10s
root@vms71:~/admission-controllers# kubectl get resourcequotas
NAME   AGE   REQUEST     LIMIT
myrq   12m   pods: 2/2

四、举例二:ImagePolicyWebhook准入控制器

ImagePolicyWebhook 准入控制器允许使用一个后端的 webhook 做出准入决策。

1.部署webhook服务器

使用集群外的另外一台Linux设备作为webhook服务,并在设备上安装好docker。下载一个已经内置规则的webhook服务器镜像:

docker pull flavio/kube-image-bouncer

这个webhook服务器所实现的规则是不允许我们我们使用最新的镜像来部署容器。然后通过此镜像生成webhook服务器容器(这里没有生成和使用对应的证书,测试环境中可能会报错,所以后续kube-apiserver直接通过http来访问webhook服务器):

docker run -dit --name=c1 --restart=always  -v `pwd`/webhook-key.pem:/certs/webhook-key.pem:ro -v `pwd`/webhook.pem:/certs/webhook.pem:ro -p 1323:1323 flavio/kube-image-bouncer

查看是否部署完成:

[root@localhost ~]# docker ps
CONTAINER ID   IMAGE                       COMMAND                  CREATED              STATUS              PORTS                    NAMES
b1b092ebd6b9   flavio/kube-image-bouncer   "./kube-image-bouncer"   About a minute ago   Up About a minute   0.0.0.0:1323->1323/tcp   c1

可以看到,已经部署成功。当我们访问这台设备(192.168.26.130)的1323端口时,也就访问到这个服务器了。

2.在K8s上启用ImagePolicyWebhook准入控制器

在master上修改/etc/kubernetes/manifests/kube-apiserver.yaml文件,启用ImagePolicyWebhook:

- --enable-admission-plugins=NodeRestriction,ImagePolicyWebhook

接下来,我们需要编辑ImagePolicyWebhook的配置文件中,ImagePolicyWebhook 使用配置文件来为后端服务器设置配置选项。该文件可以是 JSON 或 YAML,例如:

root@vms71:/etc/kubernetes/aa# cat admission_configuration.yaml
imagePolicy:
  # 指定kubeconfig的位置
  kubeConfigFile: /etc/kubernetes/aa/kubeconfig.yaml
  # 以秒计的时长,控制批准请求的缓存时间
  allowTTL: 50
  # 以毫秒计的时长,控制重试间隔
  denyTTL: 50
  # 确定 Webhook 后端失效时的行为
  retryBackoff: 500
  # 默认是允许的规则
  defaultAllow: true

ImagePolicyWebhook 的配置文件必须引用 kubeconfig 格式的文件;该文件设置了到后端的连接参数、证书等信息(本实验中没有),如:

apiVersion: v1
kind: Config
clusters:
- cluster:
    certificate-authority: /etc/kubernetes/aa/webhook.pem
    server: http://192.168.26.130:1323/image_policy
  name: bouncer_webhook
contexts:
- context:
    cluster: bouncer_webhook
    user: api-server
  name: bouncer_validator
current-context: bouncer_validator
preferences: {}
users:
- name: api-server
  user:
    client-certificate: /etc/kubernetes/aa/apiserver-client.pem
    client-key:  /etc/kubernetes/aa/apiserver-client-key.pem

其中server: http://192.168.26.130:1323/image_policy指定了我们通过http连接到webhook服务器的1323端口。由于不是使用https的方式,其他的证书相关的内容,其实这里没有作用了。然后,我们还需要在kube-apiserver中指定ImagePolicyWebhook所使用的配置文件。同样在/etc/kubernetes/manifests/kube-apiserver.yaml文件中的command下,添加如下的信息即可:

- --admission-control-config-file=/etc/kubernetes/aa/admission_configuration.yaml

由于我们kube-apiserver以容器方式运行。而我们webhook相关的文件存放在宿主机上,所以要做一个挂载卷,将这些文件映射到容器中的相同目录下,同样编辑/etc/kubernetes/manifests/kube-apiserver.yaml文件,增加如下内容:

    volumeMounts:
    - mountPath: /etc/kubernetes/aa
      name: aa
      readOnly: true
  volumes:
  - hostPath:
      path: /etc/kubernetes/aa
      type: DirectoryOrCreate
    name: aa

重启kubelet:

systemctl restart kubelet.service

3.测试能否使用latest的镜像部署pod

root@vms71:/etc/kubernetes/aa# kubectl run pod1 --image=nginx --image-pull-policy=IfNotPresent
Error from server (Forbidden): pods "pod1" is forbidden: image policy webhook backend denied one or more images: Images using latest tag are not allowed

可以看到,当我们尝试使用最新的nginx镜像创建pod时,会提示报错信息,告知我们不能够使用带有latest tag的镜像。说明webhook准入控制已经部署成功。

整理资料来源:
K8s admission-controllers: https://kubernetes.io/docs/reference/access-authn-authz/admission-controllers/
《老段CKS课程》

格洛米爱学习
关注
专栏目录
k8s实战系列: 1-再谈为什么需要Kubernetes
琦彦
03-24 1万+
k8s系列: 再谈为什么需要Kubernetes 容器解决了什么?又遇到了什么问题 容器,到底是怎么一回事儿? 在Docker出现之前,最为流行的是PaaS 项目。 PaaS 项目被大家接纳的一个主要原因,就是它提供了一种名叫“应用托管”的能力。 像 Cloud Foundry 这样的 PaaS 项目,最核心的组件就是一套应用的打包和分发机制。更好地模拟本地服务器环境,能带来更好的“上云”体验。 Cloud Foundry 会调用操作系统的 Cgroups 和 Namespace 机制为每一个应用单独创建一
Kubernetes(K8S) 入门进阶实战完整教程
JustinMars的博客
03-15 2912
Kubernetes详细教程 1. Kubernetes介绍 1.1 应用部署方式演变 在部署应用程序的方式上,主要经历了三个时代: 传统部署:互联网早期,会直接将应用程序部署在物理机上 优点:简单,不需要其它技术的参与 缺点:不能为应用程序定义资源使用边界,很难合理地分配计算资源,而且程序之间容易产生影响 虚拟化部署:可以在一台物理机上运行多个虚拟机,每个虚拟机都是独立的一个环境 优点:程序环境不会相互产生影响,提供了一定程度的安全性 缺点:增加了操作系统,浪费了部分资源 容器化部署:
浅识k8s中的准入控制器
weixin_40418457的博客
07-04 1673
背景 在 k8s中各组件和kube apiserver通信时的认证和鉴权 中提到"NodeRestriction准入插件",实际上它是一个"准入控制器"。 "准入控制器"是一个重要的概念,在istio、apisix、某些安全产品中都有用到。 本文简要记录一下以下内容: "准入控制器"是什么 怎么开启"准入控制器" 从源码浅析"准入控制器" 本文使用的k8s集群是用kubekey搭建,
kubernetes视频教程笔记 (32)-安全-准入控制Admission Control
软件工程小施同学 的专栏
12-15 358
准入控制 准入控制是API Server的插件集合,通过添加不同的插件,实现额外的准入控制规则。甚至于API Server的一些主 要的功能都需要通过 Admission Controllers 实现,比如 ServiceAccount 官方文档上有一份针对不同版本的准入控制器推荐列表,其中最新的 1.14 的推荐列表是: NamespaceLifecycle,LimitRanger,ServiceAccount,DefaultStorageClass,DefaultTolerationSe.
k8s--基础--23.4--认证-授权-准入控制--准入控制
zhou920786312的博客
08-15 390
KubernetesAdmission Control实际上是一个准入控制器(Admission Controller)插件列表,发送到APIServer的请求都需要经过这个列表中的每个准入控制器插件的检查,如果某一个控制器插件准入失败,就准入失败。...
k8s之认证鉴权准入控制
fourierr的博客
04-29 837
k8s认证,Authentication,检查用户是否为合法用户。认证方式有很多,常用的是 X509 Client Certs(用于外部用户如kubectl)和Service Accout Tokens(用于pod中进程),kubeconfig使用X509 Client Certs方式。 同时ServiceAccount Resource中主要包含了三个内容:namespace、token和ca.crt,其中namespace表示当前管理的命名空间;ca.crt用于校验服务端的的证书信息,即apiserve
k8s 准入控制器【1】-介绍
爱死亡机器人
01-05 1347
文章目录1. 背景2. 什么是准入控制器插件3. 为什么需要准入控制器?4. 如何启用一个准入控制器?5. 怎么关闭准入控制器?6. 哪些插件是默认启用的?每个准入控制器的作用是什么?AlwaysAdmitAlwaysPullImagesAlwaysDenyCertificateApprovalCertificateSigningCertificateSubjectRestrictionsDefaultStorageClassDefaultTolerationSecondsDenyExecOnPrivile
K8s实习笔记
qq_42320763的博客
11-04 369
K8s 基础概念 ​ [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-zRSxUy0i-1635994812298)(D:\0\I-Line\Other Notes\K8s\0.png)] K8s是轻量级的,因为是用Go开发的,Go效率跟C看齐,但是在语言级别支持进程管理,K8s还有个特点就是弹性伸缩,负载均衡采用IPVS(LVS是一种服务器,IPVS是它的负载均衡实现技术) K8s中所有的内容都被抽象成资源,资源实例化后叫做对象 总体章节:介绍、基础概念、K8s集群构建
k8s笔记
怨行客
10-03 751
ETCD是高可用分布式的键值存储系统。
k8s
无畏D尘埃
12-14 2464
文章目录pod容器初始化InitCInit容器的作用:容器探针检测探针-就绪检测检测探针-存活检测启动退出动作pod phase(相位):状态资源控制器Pod控制器什么是控制器控制器类型ReplicationController 和 ReplicaSetDeploymentDaemonSetJobCronJobStatefulSetHorizontal Pod AutoscalingDeploym...
Kubernetes 准入控制
RAB
11-07 266
Kubernetes 准入控制 - LimitRange/StorageQuota。
kubernetes安全机制
Drw_Dcm的博客
11-14 2606
kubernetes安全机制
K8s安全管理:认证、授权、准入控制
weixin_49888547的博客
06-07 4155
k8s 对我们整个系统的认证,授权,访问控制做了精密的设置;对于 k8s 集群来说,apiserver 是整个集群访问控制的唯一入口,我们在 k8s 集群之上部署应用程序的时候,也可以通过宿主机的NodePort 暴露的端口访问里面的程序,用户访问 kubernetes 集群需要经历如下认证过程:认证->授权->准入控制(adminationcontroller)1.认证(Authenticating)是对客户端的认证,通俗点就是用户名密码验证2.授权(Authorization)是对资源的授权,k8s
Kubernetes认证和准入控制
最新发布
qq42004的博客
04-13 817
让一个用户(Users)扮演一个角色(Role),角色拥有权限,从而让用户拥有这样的权限,随后在授权机制当中,只需要将权限授予某个角色,此时用户将获取对应角色的权限,从而实现角色的访问控制。当采用RBAC的方式进行授权时,把对对象(k8s的资源一类)的操作权限定义到一个角色当中,再将用户绑定到该角色,从而使用户得到对应角色的权限。如果是通过rolebinding绑定role,只能对rolebingding所在的名称空间的资源有权限,属于名称空间级别的。
k8s准入控制器Admission Webhook研究
weixin_47575974的博客
08-06 1253
k8s准入控制器Admission Webhook研究
api k8s restful 创建pods_【大强哥-k8s从入门到放弃10】RBAC详解
weixin_36339157的博客
01-01 266
一、何为RBAC在Kubernetes中,授权有ABAC(基于属性的访问控制)、RBAC(基于角色的访问控制)、Webhook、Node、AlwaysDeny(一直拒绝)和AlwaysAllow(一直允许)这6种模式RBAC全称基于角色的访问控制。Service Account为服务提供了一种方便的认证机制,但它不关心授权的问题。可以配合RBAC来为Service Account鉴权从1.6版起,...
kube-apiserver准入
qiaotl的博客
07-04 803
介绍k8s中的准入插件以及如何自定义mutating插件
学习笔记三十一:k8s安全管理:认证、授权、准入控制概述SA介绍
weixin_43258559的博客
11-02 878
认证基本介绍:kubernetes主要通过APIserver对外提供服务,那么就需要对访问apiserver的用户做认证,如果任何人都能访问apiserver,那么就可以随意在k8s集群部署资源,这是非常危险的,也容易被黑客攻击渗透,所以需要我们对访问k8s系统的apiserver的用户进行认证,确保是合法的符合要求的用户。授权基本介绍:认证通过后仅代表它是一个被apiserver信任的用户,能访问apiserver,但是用户是否拥有删除资源的权限, 需要进行授权操作,常见的授权方式有rbac授权。
K8S基础服务(apiserver、controller、scheduler、etcd)时区设置
那个那个
11-08 1058
K8S基础服务(apiserver、controller、scheduler、etcd)时区设置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

格洛米爱学习

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值