11、Kubernetes集群安全机制

最新推荐文章于 2023-01-31 11:39:58 发布
最新推荐文章于 2023-01-31 11:39:58 发布
阅读量270 收藏 1
点赞数
分类专栏: Kubernetes 文章标签: kubernetes rbac k8s k8s安全机制 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w918589859/article/details/113180791
版权

文章目录

一、概述

当我们访问K8S集群时,需要经过三个步骤完成具体操作

  • 认证
  • 鉴权【授权】
  • 准入控制

进行访问的时候,都需要经过 apiserver, apiserver做统一协调,比如门卫

  • 访问过程中,需要证书、token、或者用户名和密码
  • 如果访问pod需要serviceAccount

在这里插入图片描述

1.1 认证

对外不暴露8080端口,只能内部访问,对外使用的端口6443

客户端身份认证常用方式

  • https证书认证,基于ca证书
  • http token认证,通过token来识别用户
  • http基本认证,用户名 + 密码认证

1.2 鉴权

基于RBAC进行鉴权操作

基于角色访问控制

1.3 准入控制

就是准入控制器的列表,如果列表有请求内容就通过,没有的话 就拒绝

二、RBAC介绍

基于角色的访问控制,为某个角色设置访问内容,然后用户分配该角色后,就拥有该角色的访问权限
在这里插入图片描述

k8s中有默认的几个角色

  • role:特定命名空间访问权限
  • ClusterRole:所有命名空间的访问权限

角色绑定

  • roleBinding:角色绑定到主体
  • ClusterRoleBinding:集群角色绑定到主体

主体

  • user:用户
  • group:用户组
  • serviceAccount:服务账号

三、RBAC实现鉴权

3.1 创建命名空间

首先查看已经存在的命名空间

[root@k8s-master ~]$ kubectl get namespace

创建一个自己的命名空间 roledemo

[root@k8s-master ~]$ kubectl create ns roledemo

3.2 命名空间创建Pod

为什么要创建命名空间?因为如果不创建命名空间的话,默认是在default下

[root@k8s-master ~]$ kubectl run nginx --image=nginx -n roledemo

3.3 创建角色

通过 rbac-role.yaml进行创建

[root@k8s-master ~]$ cat > rbac-role.yaml << EOF
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: roledemo
  name: pod-reader
rules:
- apiGroups: [""] # "" indicates the core API group
  resources: ["pods"]
  verbs: ["get", "watch", "list"] #这个角色只对pod 有 get、list权限
EOF

通过 yaml创建role

# 创建
[root@k8s-master ~]$ kubectl apply -f rbac-role.yaml

# 查看
[root@k8s-master ~]$ kubectl get role -n roledemo

3.4 创建角色绑定

通过 role-rolebinding.yaml 的方式,来创建角色绑定

[root@k8s-master ~]$ cat > role-rolebinding.yaml << EOF
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: read-pods
  namespace: roledemo
subjects:
- kind: User
  name: mary # Name is case sensitive
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role #this must be Role or ClusterRole
  name: pod-reader # this must match the name of the Role or ClusterRole you wish to bind to
  apiGroup: rbac.authorization.k8s.io
EOF

创建角色绑定

# 创建角色绑定
[root@k8s-master ~]$  kubectl apply -f rbac-rolebinding.yaml

# 查看角色绑定
[root@k8s-master ~]$  kubectl get role,rolebinding -n roledemo

3.5 使用证书识别身份

[root@k8s-master ~]$ vim rbac-user.sh
cat > mary-csr.json <<EOF
{
  "CN": "mary",
  "hosts": [],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "L": "BeiJing",
      "ST": "BeiJing"
    }
  ]
}
EOF

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes mary-csr.json | cfssljson -bare mary 

kubectl config set-cluster kubernetes \
  --certificate-authority=ca.pem \
  --embed-certs=true \
  --server=https://192.168.88.10:6443 \
  --kubeconfig=mary-kubeconfig
  
kubectl config set-credentials mary \
  --client-key=mary-key.pem \
  --client-certificate=mary.pem \
  --embed-certs=true \
  --kubeconfig=mary-kubeconfig

kubectl config set-context default \
  --cluster=kubernetes \
  --user=mary \
  --kubeconfig=mary-kubeconfig

kubectl config use-context default --kubeconfig=mary-kubeconfig

这里包含了很多证书文件,在TSL目录下,需要复制过来

通过下面命令执行我们的脚本

[root@k8s-master ~]$ chmod +x rbac-user.sh && ./rbac-user.sh

测试

# 用get命令查看 pod 【有权限】
[root@k8s-master ~]$ kubectl get pods -n roledemo

# 用get命令查看svc 【没权限】
[root@k8s-master ~]$ kubectl get svc -n roledmeo
路人甲_passerby
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kubernetes ---集群安全机制
weixin_43273856的博客
06-15 131
k8s 中,所有资源的访问和变更都是围绕 APIServer 展开的。比如说 kubectl 命令、客户端 HTTP RESTFUL 请求,都是去 call APIServer 的 API 进行的。上面这张图,描述了用户在访问或变更资源的之前,需要经过 APIServer 的认证机制、授权机制以及准入控制机制。这三个机制可以这样理解,先检查是否合法用户,再检查该请求的行为是否有权限,最后做进一步的验证或添加默认参数。k8s 中有两种用户,一种是内置“用户” ServiceAccount,另一种我称之为自
kubernetes-----安全机制
qq_42761527的博客
05-24 681
一.kubernetes安全框架 管理kubernetes的有kubectl、api、UI界面 如下是k8s安全框架图 安全认证流程:kubectl请求api资源,然后通过三层安全机制。 第一层是认证(Authentication),验证身份、用户名和密码或者token; 第二层是授权(Authorization)角色绑定(RBAC),以获得权限; 第三层是准入控制(Admission Control,资源使用限定)。 请求只有通过这三层安全机制,才会被k8s响应请求,创建资源。
【云原生 • Kuberneteskubernetes 核心技术 - 集群安全机制
热门推荐
商务合作 | 共同学习 | 携手共进
09-03 5万+
Kubernetes 核心技术之集群安全机制(RBAC)详细介绍。
kubernetes(9)集群安全机制
учёба
10-07 688
集群安全机制简单说明
Kubernetes 集群安全 - 机制说明.pdf
10-17
本系列文档介绍使用二进制部署 kubernetes 集群的所有步骤,而不是使用 kubeadm 等自动化方式来部署集群,同时开启了集群的TLS安全认证,该安装步骤适用于所有bare metal环境、on-premise环境和公有云环境。
3、Kubernetes 集群安全 - 鉴权1
08-04
Kubernetes 集群安全 - 鉴权1 Kubernetes 集群安全是确保集群安全的重要方面之一,而...RBACKubernetes 集群安全中的一个重要组件,它提供了一种灵活的权限控制和访问控制机制,可以满足不同场景下的安全需求。
2、Kubernetes 集群安全 - 认证1
08-04
本文将详细阐述Kubernetes集群安全中的认证机制,主要关注HTTP Base认证、HTTP Token认证以及HTTPS证书认证。 首先,HTTP Base认证是一种常见的认证方式,它涉及到用户名和密码的使用。在HTTP请求的Header中的`...
Kubernetes集群部署
02-27
* 防火墙(firewall):防火墙是防止非法访问的安全机制,在Kubernetes集群部署中,需要关闭防火墙以便于集群之间的通信。 * SElinux:SElinux安全增强型Linux的缩写,用于控制进程的访问权限。在Kubernetes集群...
深入分析集群安全机制1
08-03
本篇文章将深入分析集群安全机制中的一个重要组件:基于角色的访问控制(RBAC,Role-Based Access Control)。RBAC允许管理员精细地控制用户、组和服务账户对集群资源的访问权限,以确保数据和系统的安全性。 1. **...
kubernetes 集群安全机制
vito
05-15 948
一、概述 kubernetes通过一系列安全机制来实现集群安全控制,以下从几个方面来保证集群安全 Authentication: API Server认证管理 Authorization:API Server授权管理 Admission Control 准入控制 Service Account Secret 二、逐个安全机制总结 1、Authentication ...
#yyds干货盘点# Kubernetes 如何保障集群安全?(21)
wangzan18的博客
02-27 195
Kubernetes 作为一个分布式集群的管理工具,提供了非常强大的可扩展能力,可以帮助你管理容器,实现业务的高可用性和弹性能力,保障业务的规模。现在也有越来越多的企业正在逐步将核心应用部署到 Kubernetes 集群中。 但是当业务规模扩大,集群的承载能力变大的时候,Kubernetes 平台自身的安全性...
kubernetes集群中的安全保障
浪花的博客
02-02 231
容器内用非root用户运行容器,不能有curl等命令 原因分析: 防止某些坏的镜像窃取主机的root权限并造成伤害。 有些运行时容器内部的root用户与主机的root用户是同一个用户,如不进行用户切换很可能因为权限过大引发严重问题,比如最简单的case,主机上的重要文件夹被mount到容器内部,并被容器修改配置。 pod安全上下文 API Server的认证、授权、审计和准入控制 数据加密机制等 ...
Kubernetes 集群安全
果子哥丶的博客
10-07 628
Kubernetes作为一个分布式集群的管理工具,保证集群安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介,也是外部控制的入口。所以Kubernetes安全机制基本就是围绕保护API Server来设计的。Kubernetes使用了认证(Authentication)、鉴权(Authorization)、准入控制(Admission Control)三步来保证API Server的安全
k8s安全机制
砚墨
01-22 190
k8s安全机制 kubernetes安全框架 访问k8s集群的资源需要过三关:认证、鉴权、准入控制 普通用户若要安全访问集群API Server,往往需要证书、token或者用户名+密码;pod访问,需要serviceAccount k8s安全控制框架主要由下面三个阶段警醒控制,每一个阶段都支持插件方式,通过API Server配置来启用插件。 Authentication Authenrization Admission Control [外链图片转存失败,源站可能有防盗链机制,建议将图片
k8s-集群安全机制
吴大侠的博客
09-05 324
一、概述 1.访问k8s集群的时候,需要经过三个步骤完成具体操作 第一步:认证 第二步:鉴权(授权) 第三步:准入控制 2.进入访问时候,过程找那个都需要经过apiServer,apiserver做统一协调控制 访问过程中需要证书、token或者用户名+密码 如果访问pod需要serviceAccount 3.第一步认证 传输安全 传输安全:对外不能暴露8080端口,只能对内部访问,...
k8s集群安全机制
weixin_45181388的博客
10-20 161
k8s集群安全机制
k8s学习八-安全机制
qq_35930102的博客
01-02 3410
1 安全机制概述 访问k8s集群的时候,需要经过三个步骤完成具体操作 1 认证 传输安全:对外不暴露8080端口,只能内部访问,对外使用6443端口,客户端认证常用方式: https证书认证,基于CA证书 http token认证,通过token识别用户 http基本认证,用户名+密码认证 2 鉴权 基于RBAC进行鉴权操作 基于角色访问控制 3 准入控制 就是准入控制器的列表,如果列表中有请求内容则通过,没有则拒绝 访问过程中,都需要经过apiserver,apiserver做统一协调。同时需
kubectl 及namespace使用
01-31 418
【代码】kubectl 及namespace使用。
创建ArcSDE服务出现错误“You must have administrator privileges to perform this operation
积思园
03-29 7934
今天接到用户的一个问题,分布式安装使用命令行创建服务 C:/Users/hbmrcc>sdeservice -o create -p sde -d ORACLE,mrcc -i esri_sde –n error opening SCManager. You must have administrator privileges to perform this operation Error creating SDE Service(esri_sde) - err(5). ==========
如何设置Kubernetes集群中的APIserver
最新发布
05-17
Kubernetes集群中,API Server是控制平面中最重要的组件之一,它是所有组件的入口点,用于管理整个集群。API Server对外提供RESTful API接口,供客户端和其他组件访问和操作集群中的资源。因此,正确地配置API Server对于集群的稳定性和安全性至关重要。 下面是设置Kubernetes集群中API Server的一些步骤: 1. 选择API Server的认证方式:Kubernetes支持多种认证方式,包括基于Token的认证、基于证书的认证等。在设置API Server之前,需要确定所使用的认证方式,并进行相应的配置。 2. 配置API Server的访问控制:使用Kubernetes中的RBAC(Role-Based Access Control)机制来配置API Server的访问控制。可以通过RBAC配置不同用户或组的权限,确保只有授权的用户才能访问API Server。 3. 配置API Server的TLS证书:为API Server配置TLS证书,确保通信过程中的安全性。 4. 配置API Server的访问地址和端口:API Server的默认监听地址和端口为127.0.0.1:6443,如果需要改变API Server的监听地址和端口,可以通过命令行参数或配置文件进行配置。 5. 配置API Server的HA模式:当需要保证API Server的高可用性时,可以使用Kubernetes提供的HA模式,通过使用多个API Server来实现。 以上是设置Kubernetes集群中API Server的一些基本步骤,具体配置可以根据实际情况进行调整。建议使用Kubernetes提供的工具和文档进行配置,以确保正确性和安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值