openshift集群安全机制

最新推荐文章于 2023-09-06 07:23:31 发布
最新推荐文章于 2023-09-06 07:23:31 发布
阅读量1k 收藏
点赞数
分类专栏: openshift 文章标签: openshift
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/warrior_0319/article/details/80362620
版权

一、用户认证 authentication

openshift通过OAuth进行用户的认证,OAuth是一个开源的认证和授权框架,在openshift的master节点上运行着一个内置的OAuth服务对用户的请求进行认证检查,通过认证的用户,会返回一个token令牌。获取token的api地址为:
https://cluster.example.com:8443/oauth/token/request

openshift可以连接的用户信息管理系统:

  • LDAP
  • Active Directory
  • AllowAL
  • DenyAll
  • HTPassword
  • GitHub
  • Google
  • 等等

/etc/origin/master/master-config.yaml 中定义

二、权限管理 authorization

openshift基于RBAC(Role Based Access Control)

  1. 权限类别:Cluster权限,集群内全局可见;本地权限local,namespace内部可见
  2. Role: 角色,一组权限的集合
  3. Rule:规则;角色、资源、动作但要素组成的规则
  4. Policy:基于Role组成的一个策略
  5. Role binding;角色绑定关系
  6. 6.
vito0319
关注
专栏目录
Openshift API Token生成方法
炮哥技术分享
01-21 3072
概述 openshift API的调用机制遵循OAuth 2.0机制,在调用API进行操作前需要先获取access token,然后拿着这个token再去调用相应的API。 open shift中提供了两种形式的token,一个是session token ,一个是service account token.前者有效期24小时,后者长期有效,但是后者是属于某一 namespace,而且能调用的AP...
Openshift 上运行nginx
weixin_41251391的博客
05-26 482
看log会发现pod没运行起来,原因是nginx 容器需要用root权限去运行,然而openshift为了安全,默认情况下不会让用户以root去运行,而非root用户没有权限开启nginx的80端口,导致报错;Deployment 在k8s和openshift 平台都有,DeploymentConfig k8s 平台上没有,所以选Deployment ,在k8s 上也可以兼容;为什么 OpenShift 集群运行 ngxin (1) 成功, 然而 OpenShift 集群运行 ngxin(2) 失败。
OpenShift 4 - 用Compliance Operator对OpenShift进行安全合规扫描(视频)
多恩斯基的博客
06-13 1340
本文介绍如何在 OpenShift 中进行安全合规扫描以及对违规项目进行自动修复。
openshift认证
毛台
04-21 1028
OpenShift Security (4) - 查看集群中镜像的安全漏洞
多恩斯基的博客
12-08 552
OpenShift 4.x HOL教程汇总》 本文在 OpenShift4.9 环境中进行验证。 容器的安全漏洞来自镜像,红帽 ACS 产品是根据 http://definitions.stackrox.io/ 对其管理的 OpenShift 或 Kubernetes 集群上的镜像进行安全漏洞扫描。 进入 ACS 的 “Vlunerability Management” 可以从各角度查看镜像中包含的安全漏洞。可以点击进入下图右上方 “TOP RISKIEST IMAGES” 区域的 “VIEW ALL”。
Pod健康检查-俩种检测机制
ty-boy的博客
01-07 1023
在Kubernetes集群当中,我们可以通过配置liveness probe(存活探针)和readiness probe(就绪性探针)来影响容器的生存周期。 1 kubelet 通过使用 liveness probe 来确定你的应用程序是否正在运行,通俗点将就是是否还活着。 一般来说,如果你的程序一旦崩溃了, Kubernetes 就会立刻知道这个程序已经终止了,然后就会重启这个程序。 而我们的...
理解与运营OpenShift集群实战指南
这些内容对于基础设施团队来说至关重要,因为他们需要理解如何构建和维护一个可靠的OpenShift集群。 其次,书中详细阐述了OpenShift的架构组件,如Master节点、Worker节点、Persistent Storage、Networking和...
openshift-management:OpenShift管理手册
02-05
Ansible Playbook是其核心概念,通过YAML语法定义了一系列任务,可以用于自动化OpenShift集群的安装、配置和更新。理解如何编写和使用Playbook对于高效管理OpenShift至关重要。 身份验证与授权在OpenShift中扮演着...
openshift-auto-upi:OpenShift自动化的用户提供的基础结构
02-01
OpenShift Auto UPI(User Provided Infrastructure)是一种自动化工具,用于在用户自定义的基础架构上部署OpenShift集群。这个项目基于Ansible,允许用户在他们自己的硬件或云提供商上设置和配置OpenShift 4.x版本...
OpenShift Container Platform 4.7 Installing.pdf
04-29
6. **安全性和认证**:OpenShift强化了Kubernetes的安全特性,如Role-Based Access Control (RBAC) 和Service Accounts,以确保只有授权的用户和系统能访问资源。 7. **OpenShift Web Console**:这是一个图形化...
转(Openshift 用户权限管理 )
完颜振江
06-30 326
创建本地role○ ,本地角色的名称○ ,以逗号分隔的、应用到角色的操作动词列表○ ,角色应用到的资源○ ,项目名称例:要创建一个本地角色来允许用户查看 blue 项目中的 Pod#新角色绑定到用户创建集群role○ ,本地角色的名称○ ,以逗号分隔的、应用到角色的操作动词列表○ ,角色应用到的资源。
Openshift API调用方法
炮哥技术分享
01-21 3093
概述 请思考以下场景: 你们已经有了一套发布平台,用于生产环境或者开发,测试,预发布和生产都已经在使用了,然后你也想推广容器平台,但是容器平台的界面和现有的发布平台是割裂的,而且现有的数据也没法用到容器平台,要怎么做才能实现两个平台的整合呢? 解决思路: 由于没有大规模使用过容器来跑业务应用,你希望把容器平台作为测试环境,那么你可以这样做,把生成Dockerfile和Template的界面移到发布...
OpenShift 4 - 利用 OpenShift 的 OAuth Proxy 实现应用身份认证
最新发布
多恩斯基的博客
09-06 327
说明:本文已经在 OpenShift 4.13 的环境中验证。
OpenShift 4 - 提升客户端访问 API Server 安全
多恩斯基的博客
04-20 984
OpenShift / RHEL / DevSecOps 汇总目录》 文章目录kubeconfig 文件的作用kubeconfig 文件构成用户认证 Token了解 OpenShift 认证和 Token 关系更改 Token 有效时间,增强客户端访问安全参考 kubeconfig 文件的作用 OpenShift 或 Kubernetes 的客户端每次向 OpenShift或 Kubernetes 发出命令,Kubernetes 都需要对其身份进行识别。如果 Kubernetes 识别出客户端没有认证登录
OpenShift 4 - 配置基于 Red Hat SSO 的 Identity Providers(附视频)
多恩斯基的博客
04-04 1602
文章目录安装并配置Red Hat SSO环境安装Red Hat SSO创建Realm创建用户创建Client为OpenShift创建和配置Identity Providers获取openshift-ingress-operator项目的证书创建基于Red Hat SSO的Identity Provider测试验证 安装并配置Red Hat SSO环境 环境要求:OpenShift 4.2及其式样版........................
阿里云搭建openshift
lfxyan的专栏
02-11 1183
阿里云搭建openshift 步骤 1.hostnamectl set-hostname node.example.com echo "172.20.62.195 master.example.com" >> /etc/hosts echo "172.20.62.196 node.example.com" >> /etc/hosts 2.yum install ...
OpenShift 4 - 获取能访问API服务的用户认证Token
多恩斯基的博客
06-10 1728
OpenShift 4.x HOL教程汇总》 说明:本文已经在OpenShift 4.7环境中验证 文章目录方法1方法2方法3参考 方法1 $ oc login -u admin -p password $ oc whoami -t sha256~LhbScBPjgsa_fyQTg-JM7UNDc-M3ZPyrdT1oH9hTIB8 方法2 获取OpenShift的Oauth服务访问地址。 $ OAUTH=$(oc get route oauth-openshift -n openshift-aut
openshift 学习笔记-6 secret and quota
vito
10-18 3993
容器是在linux命名空间和CGroup的基础上,通过SELinux限制容器进程对资源的读取访问或限制容器的容量。容器的安全隔离已经达到了生产可用级别。 容器安全涉及到多个层面:1、容器自身安全;2、容器镜像安全;3、宿主机安全; 1、用户认证openshift通过OAuth进行用户认证,OAuth是一个开源的认证和授权框架,OAuth通过用户登录认证以后,返回一个token,用户可以在有效的时间内
Openshift服务部署中的权限控制
cloudvtech的博客
05-07 5374
一、前言Openshift具有很优秀的权限管理机制,提供非常细粒度的权限管理。访问Openshift平台服务的方式包括GUI、命令行、API、POD运行的权限,而可能的访问实体包括自然用户、外部应用程序、内部模块、POD内程序。这些不同的访问方式和访问实体需要使用灵活的机制去进行权限赋予和权限认证。自然用户访问Openshift平台的时候凭借用户名和密码或者kubeconfig的key文件可以在进...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值