k8s 权限理解

最新推荐文章于 2024-05-17 14:10:47 发布
最新推荐文章于 2024-05-17 14:10:47 发布
阅读量1k 收藏
点赞数
文章标签: 运维 数据库
原文链接:http://blog.51cto.com/running/2323375
版权

kubernetes 权限管理

kubernetes 主要通过 APIServer 对外提供服务,请求访问的安全性是非常重要的考虑因素
kubernetes 对于访问 API 来说提供了两个步骤的安全措施:认证和授权
认证:解决用户是谁
授权:解决用户能做什么
注:k8s在访问时,只有通过 HTTPS 访问的时候才会通过认证和授权,HTTP 不需要

认证(Authentication)

客户端证书认证

在kube-apiserver配置文件中添加 --client-ca-file=/srv/kubernetes/ca.crt,也就是client证书校验机制。apiserver会用/etc/kubernetes/pki/ca.crt对client端发过来的client.crt进行验证

静态密码文件认证

在kube-apiserver配置文件是指定明文的文件存放用户名,密码,id号
--basic-auth-file=/etc/kubernetes/base_file.csv
--anonymous-auth=false (匿名认证要关闭,不然访问url不会提示输入用户名和密码,会提示system:anonymous)
静态密码文件是 CSV 格式,每行对应一个用户的信息,前面三列密码、用户名、用户 ID 是必须的,第四列是可选的组名(如果有多个组,必须用双引号)password,user,uid,"group1,group2,group3"

搭建好dashboard后kube-apiserver配置文件中没有加入(--anonymous-auth=false)浏览器访问下面链接是不会出现下图的登录页面

https://masterip或者mastervip:6443/api/v1/namespaces/kube-system/services/https:kubernetes-dashboard:/proxy
访问链接可以通过执行下面命令查看,172.16.0.100是keepalived为kube-apiserver负载均衡vip
#root@<cc_172.16.0.2|~/cfssl>:#kubectl cluster-info
Kubernetes master is running at https://172.16.0.100:6443
CoreDNS is running at https://172.16.0.100:6443/api/v1/namespaces/kube-system/services/kube-dns:dns/proxy
kubernetes-dashboard is running at https://172.16.0.100:6443/api/v1/namespaces/kube-system/services/https:kubernetes-dashboard:/proxy

浏览器会报如下错误

{
  "kind": "Status",
  "apiVersion": "v1",
  "metadata": {

  },
  "status": "Failure",
  "message": "services \"https:kubernetes-dashboard:\" is forbidden: User \"system:anonymous\" cannot get services/proxy in the namespace \"kube-system\"",
  "reason": "Forbidden",
  "details": {
    "name": "https:kubernetes-dashboard:",
    "kind": "services"
  },
  "code": 403
}

kube-apiserver配置文件里添加--anonymous-auth=false才会出现如下登录页面

k8s 权限理解

用户名和密码是在kube-apiserver的--basic-auth-file=/etc/kubernetes/base_file.csv文件里配置的,格式如上面所示
当输入用户名和密码后发现还是打不开页面,提示以下页面

{
  "kind": "Status",
  "apiVersion": "v1",
  "metadata": {

  },
  "status": "Failure",
  "message": "Unauthorized",
  "reason": "Unauthorized",
  "code": 401
}

那是因为base_file.csv中的admin没有授权,执行下面命令进行授权

kubectl create clusterrolebinding login-dashboard-admin --clusterrole=cluster-admin --user=admin

然后再打开页面就会出现下面的页面
k8s 权限理解

此处进行令牌验证,如何获取令牌,如下

#root@<cc_172.16.0.2|~/cfssl>:# kubectl get secret -n kube-system 
NAME                               TYPE                                  DATA   AGE
admin-token-wbjtp                  kubernetes.io/service-account-token   3      2d18h
coredns-token-lxsg5                kubernetes.io/service-account-token   3      4d19h
default-token-b4jq9                kubernetes.io/service-account-token   3      8d
kubernetes-dashboard-certs         Opaque                                0      2d18h
kubernetes-dashboard-key-holder    Opaque                                2      2d18h
kubernetes-dashboard-token-tbkh5   kubernetes.io/service-account-token   3      2d18h
#root@<cc_172.16.0.2|~/cfssl>:# kubectl describe secret -n kube-system kubernetes-dashboard-token-tbkh5
Name:         kubernetes-dashboard-token-tbkh5
Namespace:    kube-system
Labels:       <none>
Annotations:  kubernetes.io/service-account.name: kubernetes-dashboard
              kubernetes.io/service-account.uid: 34fc9238-f181-11e8-94ca-5254f7a51592

Type:  kubernetes.io/service-account-token

Data
====
ca.crt:     1359 bytes
namespace:  11 bytes
token:      eyJhbGciOiJSUzI1NiIsImtpZCI6IiJ9.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJrdWJlLXN5c3RlbSIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VjcmV0Lm5hbWUiOiJrdWJlcm5ldGVzLWRhc2hib2FyZC10b2tlbi10YmtoNSIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VydmljZS1hY2NvdW50Lm5hbWUiOiJrdWJlcm5ldGVzLWRhc2hib2FyZCIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VydmljZS1hY2NvdW50LnVpZCI6IjM0ZmM5MjM4LWYxODEtMTFlOC05NGNhLTUyNTRmN2E1MTU5MiIsInN1YiI6InN5c3RlbTpzZXJ2aWNlYWNjb3VudDprdWJlLXN5c3RlbTprdWJlcm5ldGVzLWRhc2hib2FyZCJ9.39CU5S9vc3oXVvblSYdAo4_GStyBroXX3PETPQ9xw1kOmIBcM-0qFRIV5uFrFKyWHSt0hSm7QMOCPJvjlTkB2ZmwhSFApwHosKpBmhKPinBGDXK1lRZJq_kwq6pQU_Ys8mhZ_yM74VyfKjCQ6YvKvuiv3iC_hncVG1aAs3VXbrM6o271hhoovOH4pr4YHrNNFMAzsxbbfNa5zfSe3oOtuP1CQfSb464Wnsn5KBI5p0nuvClCqUco_GpgfadW6zSLDiRcuaYsy25UMQwlLNyLx-SdenpLv5aGhw9Ml1ts5q3fxe58-dw4ALUTFJTFF4y3s-RQR0sqy9l7kdcxxJGnoA

把最下面token那一段复制出来拷贝到浏览器中进行令牌验证,然后点击确认就可以登录了
k8s 权限理解

静态 Token 文件认证

事先在一个文件中写上用户的认证信息(用户名、用户 id、token、用户所在的组名),apiserver 启动通过参数
--token-auth-file=SOMEFILE
指定这个文件,apiserver 把这些信息加载起来。token 文件是 CSV 格式的文件,每行代表一个用户的信息,至少包含 token、用户名和用户 ID 三列,最后一列组名列表是可选的(如果有多个组必须用双引号括起来),比如:token,user,uid,"group1,group2,group3",这样才会出现下面的登录页面

Service Account Tokens 认证

Service Account 是面向 namespace 的,每个 namespace 创建的时候,kubernetes 会自动在这个 namespace 下面创建一个默认的 Service Account;并且这个 Service Account 只能访问该 namespace 的资源。Service Account 和 pod、service、deployment 一样是 kubernetes 集群中的一种资源,用户也可以创建自己的 serviceaccount。

授权(Authorization)

授权发生在认证之后,通过认证的请求就能知道 username,而授权判断这个用户是否有权限对访问的资源执行特定的动作
控制不同用户能操作哪些内容就是授权要做的事情。
在启动 apiserver 可以通过 --authorization_mode 参数来指定授权模式,目前支持的模式有:

AlwaysAllow,AlwaysDeny,ABAC,Webhook,RBAC,Node

AlwaysDeny:阻止所有的请求访问,只用于测试环境
AlwaysAllow:允许所有的请求访问,注意这个模式下没有对请求进行限制,只有你能确保没有恶意请求的时候使用
ABAC:基于属性的访问控制
RBAC:基于角色的访问控制,这是 1.6 版本之后开始推荐的授权方式
WebHook:
kubernetes apiserver 根据事先定义的授权策略 来决定用户是否有权限访问。每个请求都带上了用户和资源的信息:比如发送请求的用户、请求的路径、请求的动作等,授权就是根据这些信息和授权策略进行比较,如果符合策略,则认为授权通过,否则会返回 403 Unauthorized 错误。

kubernetes 把请求分成了两种:资源请求和非资源请求。资源请求是对 kubernetes 封装的资源实体的请求,比如 pods、nodes、services 等;非资源请求相反,是对诸如 /api、/metrics、healthz 等和资源无关的请求。它们两者的授权也有区别

RBAC 定义了 Role 和 ClusterRole,分别对应单个 namespace 的权限和整个集群的权限,来对两者进行区分
权限就是对某个资源可以执行什么样的操作,操作可以是 get、list、watch、create、update、patch 和 delete,资源对应 kubernetes API 管理的资源

比如

rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "list", "watch"]
- apiGroups: ["batch", "extensions"]
  resources: ["jobs"]
  verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]
上面定义了两个权限,分别是读取 pods 和读写 jobs 资源

有了权限之后,最终还是要对应到用户上面,用户和角色之间可以进行绑定,绑定后的用户就能拥有对应角色的所有权限。比如我们可以添加一个管理员角色,然后把公司的某几个人设置(绑定)成管理员。一个用户可以和多个角色进行绑定,同时应用这些角色的权限。

和 Role 一样,RBAC 也有两种资源:RoleBinding 和 ClusterRoleBinding,分别对应单个 namespace 和整个集群范围

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: read-pods
  namespace: default
subjects:
- kind: User
  name: jane
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io

把用户 jane 绑定到 pod-reader 这个角色

转载于:https://blog.51cto.com/running/2323375

weixin_34106122
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
k8s报错error: You must be logged in to the server (Unauthorized)
小啊宇的博客
12-24 7179
背景:故意修改Kubernetes集群所在服务器节点上的时间使Kubernetes证书过期,重新颁发证书后,使用kubeadm alpha certs check-expiration命令查看证书有效时间,相关证书都已重新颁发。 也可以使用openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text |grep ’ Not ’ 进行查看证书的有效期 但是在Kubernetes集群master节点上执行kubectl命令报如下错误: err.
k8s报错收集汇总
weixin_43010385的博客
06-11 3228
k8s
K8s 身份认证和权限
go|Python的个人博客
05-17 807
服务账号与用户账号不同,用户账号是集群中通过了身份认证的人类用户。Service Account Controller 在 namespaces 里管理ServiceAccount,并确保每个有效的 namespaces 中都存在一个名为 “default” 的 ServiceAccount。普通账户是假定被外部或独立服务管理的,由管理员分配 keys,用户像使用 Keystone 或 google 账号一样,被存储在包含 usernames 和 passwords 的 list 的文件里。
解决microk8s 报错error: You must be logged in to the server (Unauthorized)
weixin_45000409的博客
10-18 913
3、用microk8s.config里的token替换掉name和password即可。修改kubeconfig后发现执行kubectl命令出现错误。在次执行kubectl get node没有报错,问题解决。2、sudo microk8s.config 查看默认配置。1、kubectl config view查看全部配置。
k8s api 接口 401
qq_36270681的博客
03-04 5432
想直接调用https的,没有token就会 [root@k8s-master1 ~]# curl https://10.1.234.100:6443/api/v1/namespaces/default/pods --insecure { "kind": "Status", "apiVersion": "v1", "metadata": { }, "status": "Failure", "message": "pods is forbidden: User \"sy.
解决:拉取k8s服务列表时token过期 + 创建serviceaccount
の博客
05-09 273
k8s api 接口 401_k8s 401_xiangzilong的博客-CSDN博客
k8s-utils
02-13
首先,我们来理解一下k8s-utils的核心价值。这个开源项目提供了一系列针对Kubernetes的命令行工具,这些工具专注于解决常见的管理与调试问题。通过这些工具,用户可以更轻松地进行资源操作、监控、故障排查以及自动...
阿里云k8s 一键部署nacos2.0.3
01-10
阿里云Kubernetes(简称k8s)是一款强大的容器编排系统,它可以帮助用户轻松管理和部署分布式应用。Nacos是阿里巴巴开源的一款动态服务发现、配置管理和服务管理平台,它为微服务架构提供了关键的支持。在本场景中,...
calico flannel k8s 安装yaml文件
03-05
在Kubernetes(k8s)集群中,网络插件起着至关重要的作用,它们负责为Pod之间提供网络通信。在本话题中,我们将探讨两个流行的网络插件:Calico和Flannel,以及如何通过YAML文件来安装它们。YAML是Kubernetes的主要...
个人学习k8s相关资料
最新发布
06-01
这个“个人学习k8s相关资料”压缩包很可能是包含了一系列的学习资源,帮助你深入理解和掌握Kubernetes的核心概念和技术。下面将详细阐述K8s的关键知识点。 一、Kubernetes基础 1. **容器化**:Kubernetes建立在...
k8s dashboard v2.7.0离线镜像包
10-15
Kubernetes Dashboard 是 Kubernetes 集群管理的一个重要组件...同时,理解 Kubernetes 的基本概念和操作是有效使用 Dashboard 的前提,包括了解 YAML 配置文件、Pods、Deployments、Services 和 Network Policies 等。
k8s node节点无法执行kubectl命令
weixin_45678438的博客
11-10 1050
k8s node节点无法执行kubectl命令
k8s在其他用户下报错: /etc/kubernetes/admin.conf permission denied
xuxuxu1222的博客
08-14 2万+
背景:最近客户需要回收root权限,需要自己创建audio用户并设置为sudo权限 问题:项目都是用k8s部署的,创建了audio用户并设置了sudo权限之后,切换到audio用户下执行 kubectl get po报错: error: Error loading config file "/etc/kubernetes/admin.conf": open /etc/kubernetes/adm...
k8s权限管理
u013289746的博客
07-16 1万+
                            K8s的用户和权限管理K8s的用户和权限管理包括两个方面:认证和授权。认证解决用户是谁的问题,授权解决用户能做什么的问题。通过合理的权限管理,能够保证系统的安全可靠。K8s的认证包含以下3种方式。这3种方式可以同时存在,认证时只按一种即可。证书认证       设置apiserver的启动参数:--client_ca_file=SOMEFIL...
使用kubectl、docker命令(非root用户)
谦虚使人发胖的博客
10-25 1004
一、创建非root用户 useradd dev #创建用户 passwd dev #修改密码<br> 二、赋予sudo权限 root ALL=(ALL) ALL dev ALL=(ALL) ALL #新增用户信息 三、配置dev用户使用kubectl使用权限 1、切换到普通用户操作: su - dev mkdir -p /home/dev/.kube sudo cp -i /etc/kubernetes/admin.kubeconfig /home/dev/.kube/conf
解密HTTP错误码401 Unauthorized:探索身份验证的奥秘
博客
08-15 9492
HTTP身份验证是Web应用程序中常用的一种安全机制,用于验证用户的身份并控制对资源的访问。它通过在客户端和服务器之间传递身份验证凭证来完成身份验证过程。摘要身份验证是一种更安全的身份验证方法。它使用摘要算法对用户名、密码和其他参数进行加密,以确保身份验证凭证的安全性。HTTP错误码401 Unauthorized是一种常见的错误码,表示客户端请求未经身份验证或身份验证失败。
Docker & kubernetes(k8s) 集群搭建
dddxxy的博客
08-09 8318
文章目录kubernetes介绍:kubernetes组件:kubernetes安装:kubernetes集群搭建:1.管理节点初始化2. 开启kubelet服务,加入集群3.创建普通用户,进行集群管理4. 网络配置可视化插件网页登陆: kubernetes介绍: kubernetes,简称K8s,是用8代替8个字符“ubernete”而成的缩写。是一个开源的,用于管理云平台中多个主机上的容器化...
k8s使用命令报错:error: You must be logged in to the server (Unauthorized)
小啊宇的博客
08-05 1512
k8s使用命令报错:error: You must be logged in to the server (Unauthorized)
Kubernetes拉取Pod失败 failed with status code [manifests v1]: 401 Unauthorized
热门推荐
weixin_46660849的博客
10-25 5万+
Kubernetes拉取Pod失败 failed with status code [manifests v1]: 401 Unauthorized
Kubernetes K8S详尽安装与部署指南
本篇文章详细介绍了Kubernetes(K8S)的安装部署过程,Kubernetes是一种用于容器编排的开源系统,它将一组服务器集群组织起来,旨在自动化资源管理和容器的生命周期管理。以下是文章中的关键知识点: 1. **K8S前言**...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值