cgv服务器维护,kubernetes API服务器的安全防护

最新推荐文章于 2023-04-14 19:22:41 发布
最新推荐文章于 2023-04-14 19:22:41 发布
阅读量315 收藏
点赞数
文章标签: cgv服务器维护

12.1.了解认证机制

启动API服务器时,通过命令行选项可以开启认证插件。

12.1.1.用户和组

了解用户:

分为两种连接到api服务器的客户端:

1.真实的人

2.pod,使用一种称为ServiceAccount的机制

了解组:

认证插件会连同用户名,和用户id返回组,组可以一次性给用户服务多个权限,不用单次赋予,

system:unauthenticated组:用于所有认证插件都不会认证客户端身份的请求。

system:authenticated组:会自动分配给一个成功通过认证的用户。

system:serviceaccount组:包含 所有在系统中的serviceaccount。

system:serviceaccount:组:包含了所有在特定命名空间中的serviceAccount。

12.1.2 ServiceAccount介绍

每个pod中都包含/var/run/secrets/kubernetes.io/serviceaccount/token文件,如下图所示,文件内容用于对身份进行验证,token文件持有serviceaccount的认证token。

2e015ec90f0ba2e85d47707da66bc95e.png

应用程序使用token去连接api服务器时,认证插件会对serviceaccount进行身份认证,并将serviceaccount的用户名传回到api服务器内部。

serviceaccount的用户名格式如下:

system:serviceaccount::

ServiceAccount是运行在pod中的应用程序,和api服务器身份认证的一中方式。

了解ServiceAccount资源

ServiceAcount作用在单一命名空间,为每个命名空间创建默认的ServiceAccount。

49fee0dc4fd6f7462126b197e1a59ecd.png

多个pod可以使用相同命名空间下的同一的ServiceAccount,

ServiceAccount如何与授权文件绑定

在pod的manifest文件中,可以指定账户名称的方式,将一个serviceAccount赋值给一个pod,如果不指定,将使用该命名空间下默认的ServiceAccount.

可以 将不同的ServiceAccount赋值给pod,让pod访问不同的资源。

12.1.3创建ServiceAccount

为了集群的安全性,可以手动创建ServiceAccount,可以限制只有允许的pod访问对应的资源。

创建方法如下:

$ kubectl get sa

NAME SECRETS AGE

default 1 21h

$ kubectl create serviceaccount yaohong

serviceaccount/yaohong created

$ kubectl get sa

NAME SECRETS AGE

default 1 21h

yaohong 1 3s

使用describe来查看ServiceAccount。

$ kubectl describe sa yaohong

Name: yaohong

Namespace: default

Labels:

Annotations:

Image pull secrets:

Mountable secrets: yaohong-token-qhbxn //如果强制使用可挂载秘钥。那么使用这个serviceaccount的pod只能挂载这个秘钥

Tokens: yaohong-token-qhbxn

Events:

查看该token,

$ kubectl describe secret yaohong-token-qhbxn

Name: yaohong-token-qhbxn

Namespace: default

Labels:

Annotations: kubernetes.io/service-account.name: yaohong

kubernetes.io/service-account.uid: a3d0d2fe-bb43-11e9-ac1e-005056870b4d

Type: kubernetes.io/service-account-token

Data

====

ca.crt: 1342 bytes

namespace: 7 bytes

token: eyJhbGciOiJSUzI1NiIsImtpZCI6IiJ9.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJkZWZhdWx0Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZWNyZXQubmFtZSI6Inlhb2hvbmctdG9rZW4tcWhieG4iLCJrdWJlcm5ldGVzLmlvL3NlcnZpY2VhY2NvdW50L3NlcnZpY2UtYWNjb3VudC5uYW1lIjoieWFvaG9uZyIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VydmljZS1hY2NvdW50LnVpZCI6ImEzZDBkMmZlLWJiNDMtMTFlOS1hYzFlLTAwNTA1Njg3MGI0ZCIsInN1YiI6InN5c3RlbTpzZXJ2aWNlYWNjb3VudDpkZWZhdWx0Onlhb2hvbmcifQ.BwmbZKoM95hTr39BuZhinRT_vHF-typH4anjkL0HQxdVZEt_eie5TjUECV9UbLRRYIqYamkSxmyYapV150AQh-PvdcLYPmwKQLJDe1-7VC4mO2IuVdMCI_BnZFQBJobRK9EdPdbZ9uxc9l0RL5I5WyWoIjiwbrQvtCUEIkjT_99_NngdrIr7QD9S5SxHurgE3HQbmzC6ItU911LjmxtSvBqS5NApJoJaztDv0cHKvlT67ZZbverJaStQdxr4yiRbpSycRNArHy-UZKbNQXuzaZczSjVouo5A5hzgSHEBBJkQpQ6Tb-Ko5XGjjCgV_b9uQvhmgdPAus8GdFTTFAbCBw

12.1.4将ServiceAccount分配给pod

在pod中定义的spec.serviceAccountName字段上设置,此字段必须在pod创建时设置后续不能被修改。

自定义pod的ServiceAccount的方法如下图

02d64f835bd26af087ab5ef806356f51.png

12.2通过基于角色的权限控制加强集群安全

12.2.1.介绍RBAC授权插件

RBAC授权插件将用户角色作为决定用户能否执行操作的关机因素。

12.2.2介绍RBAC授权资源

RBAC授权规则通过四种资源来进行配置的,他们可以分为两组:

Role和ClusterRole,他们决定资源上可执行哪些动词。

RoleBinding和ClusterRoleBinding,他们将上述角色绑定到特定的用户,组或者ServiceAccounts上。

Role和RoleBinding是namespace级别资源

ClusterRole和ClusterRoleBinding是集群级别资源

12.2.3使用Role和RoleBinding

Role资源定义了哪些操作可以在哪些资源上执行,

创建Role

service-reader.yml

apiVersion: rbac.authorization.k8s.io/v1

kind: Role

metadata:

namespace: kube-system

name: service-reader

rules:

- apiGroups: [""]

verbs: ["get", "list"]

resources: ["services"]

在kube-system中创建Role

#kubectl -n kube-system create -f service-reader.yml

查看该namespace下的role

$ kubectl -n kube-system get role

NAME AGE

extension-apiserver-authentication-reader 41h

kube-state-metrics-resizer 41h

service-reader 2m17s

system::leader-locking-kube-controller-manager 41h

system::leader-locking-kube-scheduler 41h

system:controller:bootstrap-signer 41h

system:controller:cloud-provider 41h

system:controller:token-cleaner 41h

绑定角色到ServiceAccount

将service-reader角色绑定到default ServiceAccount

$ kubectl create rolebinding test --role=service-reader

rolebinding.rbac.authorization.k8s.io/test created

dda4302fbf991045a7f864a411edb065.png

$ kubectl get rolebinding test -o yaml

apiVersion: rbac.authorization.k8s.io/v1

kind: RoleBinding

metadata:

creationTimestamp: 2019-08-11T03:40:51Z

name: test

namespace: default

resourceVersion: "239323"

selfLink: /apis/rbac.authorization.k8s.io/v1/namespaces/default/rolebindings/test

uid: d0aff243-bbe9-11e9-ac1e-005056870b4d

roleRef:

apiGroup: rbac.authorization.k8s.io

kind: Role

name: service-reader

12.2.4使用ClusterRole和ClusterRoleBinding

查看集群ClusterRole

# kubectl get clusterrole

NAME AGE

admin 42h

cluster-admin 42h

edit 42h

flannel 42h

kube-state-metrics 42h

system:aggregate-to-admin 42h

...

创建ClusterRole

kubectl create clusterrole flannel --verb=get,list -n kube-system

查看yaml文件

# kubectl get clusterrole flannel -o yaml

apiVersion: rbac.authorization.k8s.io/v1

kind: ClusterRole

metadata:

annotations:

kubectl.kubernetes.io/last-applied-configuration: |

{"apiVersion":"rbac.authorization.k8s.io/v1","kind":"ClusterRole","metadata":{"annotations":{},"name":"flannel"},"rules":[{"apiGroups":[""],"resources":["pods"],"verbs":["get"]},{"apiGroups":[""],"resources":["nodes"],"verbs":["list","watch"]},{"apiGroups":[""],"resources":["nodes/status"],"verbs":["patch"]}]}

creationTimestamp: 2019-08-09T09:58:42Z

name: flannel

resourceVersion: "360"

selfLink: /apis/rbac.authorization.k8s.io/v1/clusterroles/flannel

uid: 45100f6f-ba8c-11e9-8f57-005056870608

rules:

- apiGroups:

- ""

resources:

- pods

verbs:

- get

- apiGroups:

- ""

resources:

- nodes

verbs:

- list

- watch

- apiGroups:

- ""

resources:

- nodes/status

verbs:

- patch

创建clusterRoleBinding

$ kubectl create clusterrolebinding cluster-tetst --clusterrole=pv-reader --serviceaccount=kuebsystem:yaohong

clusterrolebinding.rbac.authorization.k8s.io/cluster-tetst created

57556a3415e315dbaaf3fbcf2b001a8f.png

12.2.5了解默认的ClusterRole和ClusterRoleBinding

如下所示使用kubectl get clusterroles和kubectl get clusterrolesbinding可以获取k8s默认资源。

用edit ClusterRole允许对资源进行修改

用admin ClusterRole赋予一个命名空间全部的权限

$ kubectl get clusterroles

NAME AGE

admin 44h

cluster-admin 44h

edit 44h

flannel 44h

kube-state-metrics 44h

system:aggregate-to-admin 44h

system:aggregate-to-edit 44h

system:aggregate-to-view 44h

system:auth-delegator 44h

system:aws-cloud-provider 44h

system:basic-user 44h

system:certificates.k8s.io:certificatesigningrequests:nodeclient 44h

system:certificates.k8s.io:certificatesigningrequests:selfnodeclient 44h

system:controller:attachdetach-controller 44h

system:controller:certificate-controller 44h

system:controller:clusterrole-aggregation-controller 44h

。。。

wps@wps:~$ kubectl get clusterrolebindings

NAME AGE

clust-tetst 17m

cluster-admin 44h

cluster-tetst 13m

flannel 44h

kube-state-metrics 44h

kubelet-bootstrap 44h

system:aws-cloud-provider 44h

system:basic-user 44h

system:controller:attachdetach-controller 44h

system:controller:certificate-controller 44h

。。。

商汤科技SenseTime
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【云原生 | Kubernetes 系列】K8s 实战 Kubernetes 声明式对象的 增 删 改 查
半身风雪
08-11 2235
使用声明式对象配置时,用户对本地存储的对象配置文件进行操作,但是用户 未定义要对该文件执行的操作。 kubectl 会自动检测每个文件的创建、更新和删除操作。 这使得配置可以在目录上工作,根据目录中配置文件对不同的对象执行不同的操作。...
Kubernetes(2)
weixin_43604021的博客
09-22 650
k8s
云原生 | Kubernetes - apply 操作是如何计算配置差异并合并变更的?
Trollz的博客
12-14 1104
Cloud Native | Kubernetes - How dose the apply operation calculate configuration differences and merge changes?
kubernetes—实战入门
qq_43427354的博客
03-04 284
六、实战入门 1、Namespace Namespace是kubernetes系统中的一种非常重要资源,他的主要作用是用来实现多套环境的资源隔离或者多租户的资源隔离。 默认情况是,kubernetes集群中的所有的pod都是可以相互访问的。但是在实际中,可能不想让两个pod之间进行相互的访问,那此时就可以将两个pod划分到不同的namespace下,kubernetes通过将集群内部的资源分配到不同的Nameapace中,可以形成逻辑上的组,以方便不同的组资源进行隔离使用何管理。 可以通过kubernete
Kubernetes学习总结(8)—— Kubernetes Pod 资源管理 和 Pod 服务质量
科技D人生
11-25 2445
一、Pod 资源管理 1.1、resource 的定义 容器运行过程中需要分配所需的资源,如何与 cggroup 联动配合呢?答案是通过定义resource来实现资源的分配,资源的分配单位主要是 cpu 和 memory,资源的定义分两种:requests 和 limits,requests 表示请求资源,主要用于初始 kubernetes 调度 pod 时的依据,表示必须满足的分配资源;limits 表示资源的限制,即 pod 不能超过 limits 定义的限制大小,超过则通过 cggroup 限制.
CGVCGV영화관PJ
02-14
5. `scripts` - 可能包含更复杂的脚本,如服务器端逻辑或API调用。 6. `data` - 存储电影信息、影院数据等静态内容的JSON或其他格式的文件。 7. `lib` - 第三方库和框架,如jQuery或Bootstrap,用于简化开发和增强...
NXP新款CGV高速转换器演示板采用LatticeECP3 FPGA器件
01-19
恩智浦半导体(NXP Semiconductors)近日宣布,CGV高速数据转换器系列新增两款低成本、低功耗演示板,新产品采用了莱迪思半导体公司生产的LatticeECP3器件。新演示板旨在证明恩智浦CGV转换器与莱迪思ECP3 FPGA系列器件...
portfolio--cgv
04-01
ECMAScript 6(ES6)及以后的版本提供了更多的语法糖和新特性,如箭头函数、模板字符串、模块系统等,提高了代码的可读性和可维护性。 在"portfolio--cgv"项目中,开发者可能利用HTML5的语义化标签来组织内容,CSS3...
CGV-Web-App-Project
03-09
总的来说,【CGV-Web-App-Project】是一个涵盖了JavaScript全栈开发的项目,可能包括前端用户界面、后端API接口、数据库交互以及一系列支持开发和部署的工具链。要深入理解该项目,需要查看源代码并熟悉其中使用的...
共轭梯度法(CGV
04-21
共轭梯度法(Conjugate Gradient Method,简称CGV)是一种在数值分析领域中用于求解线性方程组的高效算法,特别是在处理大型稀疏对称正定矩阵时表现尤为出色。它是由Richard H. Byrd、Gordon W. Pfister、John E. ...
【博客554】k8s 中的 Client-Side Apply 和 Server-Side Apply
qq_43684922的博客
12-11 1487
是使用 kubectl apply 进行 Client-Side Apply 时,由 kubectl 自行填充的。则是由 kubectl apply 的增强功能—— Server-Side Apply 的引入而添加。
k8s 部署rocketmq集群
weixin_44770684的博客
10-25 8039
kubernetes k8s mq rocketmq rocketmq-dashboard 灵活调整 部署在 k8s 集群中的 rocketmq 集群副本数
K8S 日常故障处理
热门推荐
建伟博客
01-28 1万+
K8S 日常故障处理
Kubernetes 对象管理的三种方式
weixin_30745553的博客
05-06 1079
Kubernetes 中文文档 1. Kubernetes 对象管理的三种方式对比 Kubernetes 中的对象管理方式,根据对象配置信息的位置不同可以分为两大类: 命令式:对象的参数通过命令指定 配置式:对象的参数通过 YAML 配置文件指定 其中,对于配置式对象管理方式,根据在执行 kubectl 命令时是否指定具体操作,又可以...
kubectl命令管理kubernetes对象的三种方式
山不转的博客
07-06 5390
    kubenetes中的抽象概念,如Pod、Service、Volume、Namespace、ReplicaSet、Deployment、StatefulSet、DaemonSet、Job统称为对象,kubectl命令提供了三种方式对这些对象进行操作、管理,本文分别详细介绍三种管理方式,并相互之间比较优缺点。在正式介绍之前,先说明一个重要的概念:live objects(实时对象)。一个实时...
Docker+K8S+Rancher集群搭建
最新发布
公众号Technology_stack作者,IT咨询请公众号私信
04-14 996
【代码】Docker+K8S+Rancher集群搭建。
Istio超时与重试
Micky_Yang的博客
07-24 5023
一、理解超时与重试   超时的原理是,如果程序请求长时间无法返回结果,则需要设置超时机制,超过设置的时间则返回错误的信息;这样做既可以节约等待时消耗的资源,也可以避免由于级联错误引起的一系列问题。设置超时的方式也有很多种,比如通过修改代码在应用程序侧设置请求超时时间,但是这样非常的不灵活,也很容易出现遗漏的现象,而Istio则可以在基础设施层解决这一问题。   重试的原理是,在网络环境不稳定的情况下,会出现暂时的网络不可达的现象,这时就需要重试机制,通过多次的尝试来获取正确的返回信息。    二、配置超时
云原生之容器编排实践-Kubernetes资源管理:标签选择器,注解以及命名空间
Heartsuit的博客
10-07 619
例如,指定创建对象的人员姓名的注解可以使在集群中工作的人员之间的协作更加便利。此外,我们做物联网平台开发时,为了方便对设备的管理,我们会对设备进行分组,同样也是通过不同的标签来实现,说白了,标签无非就是为了进行。也是为了对资源进行分组与隔离,而且可以将对象分割成完全独立且不重叠的组(显然,这一点与前面的标签进行分组有区别啦。作为一种容器编排工具,面临的服务实例动辄成百上千,需要一种手段通过一次操作对属于某个组的所有。的标签管理操作中新增、修改、删除也很简单,关键在查询过滤标签:标签选择器。
k8s-通过 Service访问 Pod
weixin_44848382的博客
07-19 1283
k8s-通过 Service访问 Pod创建 Service创建 Deployment创建 serviceDNS 访问 Service外网访问 Service 创建 Service k8s 从逻辑上代表了一组 Pod,具体是哪些 Pod 则是由 label 来挑选。 Service 有自己的 IP,而且这个 IP 是不变的,客户端只需要访问 Service 的 IP, k8s 则负责建立和维护 Service 与 Pod 的映射关系,无论后端 Pod 如何变化,对客户端不会有任何影响,因为 Service
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值