Kubernetes集群安全配置

最新推荐文章于 2022-10-13 10:15:33 发布
最新推荐文章于 2022-10-13 10:15:33 发布
阅读量260 收藏
点赞数
原文链接:https://my.oschina.net/jxcdwangtao/blog/916724
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

更多关于kubernetes的深入文章,请看我csdn或者oschina的博客主页。

这两天在梳理Kubernetes集群的安全配置,涉及到各个组件的配置,最终决定画一个图来展现,应该会更清晰。

这里写图片描述

涉及以下配置:

  1. 其他各个组件作为client,访问kube-apiserver时,各个组件的配置,参考图中黑色线条对应的配置:

    - **kube-apiserver**

    ```

    --secure-port=443 --client_ca_file=/var/run/kubernetes/dd_ca.crt --tls-private-key-file=/var/run/kubernetes/dd_server.key ```

    • kube-controller-manager

        ```
  --kubeconfig=/etc/kubernetes/cmkubeconfig

  apiVersion: v1
  kind: Config
  users
  - name: controllermanager
    user:
      client-certificate: /var/run/kubernetes/dd_cs_client.crt
      client-key: /var/run/kubernetes/dd_cs_client.key
  clusters:
  - name: local
    cluster:
      certificate-authority: /var/run/kubernetes/dd_ca.crt
  contexts:
  - context:
      cluster: local
      user: controllermanager
    name: my-context
  current-context: my-context
  ```

    • kube-scheduler kube-scheduler访问apiserver的安全配置同kube-controller-manager。

    • kubelet

      	--kubeconfig=/var/lib/kubelet/kubeconfig

	apiVersion: v1
	kind: Config
	users:
	- name: kubelet
	  user:
	    client-certificats: /home/dd_kubelet_client.crt
	    client-key: /home/dd_kubelet_client.key
	clusters:
	- name: local
	  cluster:
	    certificate-authority: /home/dd_ca.crt
	contexts:
	- context:
	    cluster: local
	    user: kubelet
	  name: my-context
	current-context: my-context

    • kube-proxy

      	--kubeconfig=/var/lib/kubeproxy/proxykubeconfig 

	apiVersion: v1
	kind: Config
	users:
	- name: kubeproxy
	  user:
	    client-certificate: /home/dd_kubelet_client.crt
	    client-key: /home/dd_kubelet_client.key
	clusters:
	- name: local
	  cluster:
	    certificate-authority: /home/dd_ca.crt
	contexts:
	- context:
	    cluster: local
	    user: kubeproxy
	  name: my-context
	current-context: my-context

  2. kube-apiserver作为client,访问kubelet server时的配置,参考图中绿色线条对应的配置:

    • kube-apiserver

      --kubelet-https
--kubelet-certificate-authority=/var/run/kubelet/kubelet-ca.crt  
--kubelet-client-certificate=/var/run/kubelet/apiserver-kubelet.crt
--kubelet-client-key=/var/run/kubelet/apiserver-kubelet.key

    • kubelet

      --client-ca-file=/var/run/kubelet/kubelet_ca.crt
--tls-private-key-file=/var/run/kubelet/server.key
--tls-cert-file string=/var/run/kubelet/server.crt

  3. Pod访问kube-apiserver,是通过ServiceAccount来提供Token的, 涉及的配置见粉红色线条对应的内容。

    • Pod.Spec

    每个namespace都有一个default ServiceAccount。如果Pod.Spec.serivceAccountName未设置,这默认用default ServiceAccount。上图中的配置中,给Pod指明了一个自定义的Pod.Spec.serivceAccountName:build-rebotautomountServiceAccountToken: true表示自动将该ServiceAccount中的Secret定义的token,ca.crt,namespace挂载到Pod每个container内的以下对应目录:

    ServiceAccount Admission Make Sure Secret Volume Mounted:

/var/run/secrets/kubernetes.io/serviceaccount/token /var/run/secrets/kubernetes.io/serviceaccount/ca.crt /var/run/secrets/kubernetes.io/serviceaccount/namespace ```

- **kube-controller-manager**

    ```
    --root-ca-file=/var/run/kubernetes/dd_ca.crt 
    --service-account-private-key-file=/var/run/kubernetes/dd_server.key
    ```

这样Pod内的应用就能通过以下两种方式访问apiserver了:

- 添加kubectl proxy container,示例见[kubectl-container](https://github.com/kubernetes/kubernetes/tree/master/examples/kubectl-container/)

- use the Go client library, and create a client using the rest.InClusterConfig() and kubernetes.NewForConfig() functions. They handle locating and authenticating to the apiserver. [example](https://github.com/kubernetes/client-go/blob/master/examples/in-cluster/main.go)

4. kube-apiserver作为client,通过TLS访问etcd对应的配置见图中蓝色线条对应的内容。

- **kube-apiserver**

    ```
    --kubelet-https
    --kubelet-certificate-authority=/var/run/kubelet/etcd-ca.crt  
    --kubelet-client-certificate=/var/run/kubelet/etcd-kubelet.crt
    --kubelet-client-key=/var/run/kubelet/etcd-kubelet.key
    ```
- **etcd**

    ```
    --client-cert-auth 
    --trusted-ca-file=/etc/ssl/etcd/etcd-ca.crt 
    --cert-file=/etc/ssl/etcd/server.crt 
    --key-file=/etc/ssl/etcd/server.key
    ```

  1. apiserver的Authentication Config:

    • kube-apiserver 以下三个flag,分别表示enable apiserver的x509 client certs, static token, static password三种认证方式。

      --client-ca-file=/var/run/kubernetes/dd_ca.crt    
--token-auth-file=SOMEFILE  
--basic-auth-file=SOMEFILE

    其中token-auth-file对应文件内容格式为:

     ```
 token1,user1,uid1,”group1,group2,group3"
 token2,user2,uid2,”group1,group2"
 ```

    basic-auth-file对应文件内容格式为:

     ```
 password1,user1,uid1,”group1,group2,group3"
 password2,user2,uid2,”group1,group2,group3"
 ```

  2. apiserver的Authorization Config:

    • kube-apiserver 当前我们的环境中,使用默认值AlwaysAllow,如果有需要,后续会考虑enable RBAC

      --authorization-mode=AlwaysAllow

  3. apiserver的Admission Control Config:

    • kube-apiserver 使用官方推荐的,v1.6+之后的配置为:

      --admission-control=NamespaceLifecycle,
LimitRanger,
ServiceAccount,
PersistentVolumeLabel,
DefaultStorageClass,
ResourceQuota,
DefaultTolerationSeconds

更多关于kubernetes的深入文章,请看我csdn或者oschina的博客主页。

转载于:https://my.oschina.net/jxcdwangtao/blog/916724

weixin_34383618
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Kubernetes集群的安全设置
隔壁老姚的博客
06-28 262
Kubernetes集群的安全设置 1 基于CA签名的双向数字证书认证方式 在一个安全的内网环境中,Kubernetes的各个组件与Master之间可以通过kube-apiserver的非安全端口http://<kube-apiserver-ip>:8080进行访问。但如果API Server需要对外提供服务,或者集群中的某些容器也需要访问API Server以获取集群中的某些信息,则更安全的做法是启用HTTPS安全机制。Kubernetes提供了基于CA签名的双向数字证书认证方式和简单的基
Kubernetes 的证书认证
Kubernetes中文社区
09-20 9238
今天让我们聊聊 Kubernetes 的公私钥和证书认证。 本文内容会提及如何根据需要对 CA、公私钥进行组织并对集群进行设置。 Kubernetes 的组件中有很多不同的地方可以放置证书之类的东西。在进行集群安装的时候,我感觉有一百多亿个不同的命令参数是用来设置证书、密钥的,真不明白是怎么弄到一起工作的。 当然了,没有一百亿那么多的参数,不过的确很多的。比如 API Serve
利用kubernetes的go语言sdk,client-go 操作kubernetes集群
韦远科的专栏
04-24 2501
(1)采用minikube启动一个k8s集群 $minikube start
k8s源码解析 - 如何使用yaml创建k8s的资源
much efforts, much luck
03-29 2139
如何初始化k8s中的client 1、kubernetes.Clientset 参考链接 集群内访问创建k8s-client - 直接获取集群内的config, 通过config创建clientSet。 // creates the in-cluster config config, err := rest.InClusterConfig() if err != nil { pan...
2、Kubernetes 集群安全 - 认证1
08-04
Kubernetes集群中,安全是至关重要的,特别是...理解并正确配置这些认证方法是保障Kubernetes集群安全的基础。同时,管理和监控ServiceAccount和Secret也非常重要,因为它们是Pod与API Server通信的关键认证元素。
Kubernetes集群部署
最新发布
02-27
Kubernetes集群部署是指将Kubernetes集群安装和配置到多台机器上,实现高可用性和负载均衡的分布式系统。下面将详细介绍Kubernetes集群部署的步骤和相关知识点: Step 1: 准备环境 在开始部署Kubernetes集群之前,...
使用Kubeadm工具快速安装Kubernetes集群.pdf
10-20
本文档主要介绍使用Kubeadm工具快速安装Kubernetes集群的步骤和详细配置过程。Kubeadm是Kubernetes官方提供的一个用于快速安装和管理Kubernetes集群的工具。通过本文档,读者可以快速地安装和配置Kubernetes集群,...
pikube:我的本地Raspberry Pi Kubernetes集群的配置
04-07
在描述中,“皮库”可能是指这个项目的昵称或者特定的命名,它强调了这是一个用户的本地Raspberry Pi Kubernetes集群配置。这意味着用户已经将Kubernetes环境设置在了自己的Raspberry Pi设备上,这通常涉及到安装...
kubernetes集群部署redis
10-21
Kubernetes(简称K8s)...综上所述,Kubernetes集群部署Redis高可用读写分离数据库涉及到K8s的核心组件、主从复制、故障转移机制以及读写分离策略。通过理解这些概念和实践,可以构建出健壮且灵活的数据库解决方案。
kubernetes/k8s源码分析】 kubernetes csi external-provisioner源码分析
zhonglinzhang
04-28 3250
Git Repository:https://github.com/kubernetes-csi/external-provisioner Latest stable release Branch Min CSI Version Max CSI Version Container Image Min K8s Version Max K8s Version ...
kubernetes/k8s源码分析】 external nfs storage 源码分析
zhonglinzhang
05-28 2396
https://github.com/kubernetes-incubator/external-storage/tree/master/nfs-client storageclass.yaml apiVersion: storage.k8s.io/v1 kind: StorageClass metadata: name: managed-nfs-storage provisio...
深入理解kubelet认证和授权
fhzp123的博客
11-30 2416
在通过kubectl访问pod信息,例如执行kubectl logs,常常会遇到类似如下错误: Error from server (Forbidden): Forbidden (user=system:anonymous, verb=get, resource=nodes, subresource=proxy) ( pods/log tiller-deploy-6b5ffb6f-lg9jb)...
(三)Kubernetes 源码剖析之学习Informer机制
随笔记录-分享&记忆
08-16 877
文章目录书籍资料5.3 Informer 机制5.3.1 Informer机制架构设计 按照学习计划,本周是学习Informer机制 网上资料还是比较多了,最近看下来,还是书箱资料比较易懂,有带入感,blog笔记只做个个人理解+记录。 书籍资料 纸质书籍京东 微信读书web版 5.3 Informer 机制 在Kubernetes系统中,组件之间通过HTTP协议进行通信,在不依赖任何中间件的情况下需要保证消息的实时性、可靠性、顺序性等。那么Kubernetes是如何做到的呢?答案就是Informer
【实战加详解】二进制部署k8s高可用集群教程系列十一 - 部署kubelet手动证书方式
JohnYang's CSDN Home
10-13 658
实战加详解 - 完美解决二进制部署k8s高可用集群中ssl证书以及TLS Bootstrap机制的问题
Kubernetes 配置 kubeconfig 访问多个集群
啦啦啦啦 la
10-23 8592
Kubernetes 配置 kubeconfig 访问多个集群 如果有多个不同的集群,需要切换访问,就需要配置多个 Kubernetes 账号和 Context;集群的 KubeConfig 文件一般为~/.kube/config,默认只能访问一个集群,如果需要访问多个集群就需要修改这个文件 可以参考文档 https://kubernetes.io/zh/docs/tasks/access-...
使用client-go自定义开发Kubernetes
kubernetes中文社区
04-27 6279
1. 安装client-go client-go 安装很简单,前提是本机已经安装并配置好了 Go 环境,安装之前,我们需要先查看下其版本针对 k8s 版本 兼容性列表,针对自己本机安装的 k8s 版本选择对应的 client-go 版本,当然也可以默认选择最新版本,来兼容所有。 client-go 安装方式有多种,比如 go get、Godep、Glide 方式。如果我们本地没有安装 Gode...
使用 client-go 对 Kubernetes 进行自定义开发及源码分析
哎_小羊的博客
12-03 5874
client-go 是一种能够与 Kubernetes 集群通信的客户端,通过它可以对 Kubernetes 集群中各资源类型进行 CRUD 操作,它有三大 client 类,分别为:Clientset、DynamicClient、RESTClient。通过它,我们可以很方便的对 Kubernetes 集群 API 进行自定义开发,来满足个性化需求。本文介绍如何使用 client-go 对 k8s 集群进行自定义开发及源码分析。
部署 kubernetes 集群.docx
06-21
TLS认证通信将确保Kubernetes集群中的所有组件之间进行安全的通信。RBAC授权将控制对Kubernetes资源的访问权限。 最后,我们还可以安装一些插件来增强Kubernetes集群的功能。这些插件包括kubedns、dashboard、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值