Kubernetes集群的安全设置

最新推荐文章于 2022-08-11 00:21:21 发布
最新推荐文章于 2022-08-11 00:21:21 发布
阅读量319 收藏 1
点赞数
分类专栏: k8s 文章标签: docker kubernetes 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42143049/article/details/106993784
版权

Kubernetes集群的安全设置

1 基于CA签名的双向数字证书认证方式

在一个安全的内网环境中,Kubernetes的各个组件与Master之间可以通过kube-apiserver的非安全端口http://<kube-apiserver-ip>:8080进行访问。但如果API Server需要对外提供服务,或者集群中的某些容器也需要访问API Server以获取集群中的某些信息,则更安全的做法是启用HTTPS安全机制。Kubernetes提供了基于CA签名的双向数字证书认证方式和简单的基于HTTPBase或Token的认证方式,其中CA证书方式的安全性最高。本节先介绍如何以CA证书的方式配置Kubernetes集群,要求Master上的kube-apiserver、kube-controller-manager、kube-scheduler进程及各Node上的kubelet、kube-proxy进程进行CA签名双向数字证书安全设置。

基于CA签名的双向数字证书的生成过程如下:

(1)为kube-apiserver生成一个数字证书,并用CA证书签名。

(2)为kube-apiserver进程配置证书相关的启动参数,包括CA证书(用于验证客户端证书的签名真伪)、自己的经过CA签名后的证书及私钥。

(3)为每个访问Kubernetes API Server的客户端(如kube-controller-manager 、kube-scheduler、kubelet、kube-proxy及调用API Server的客户端程序kubectl等)进程都生成自己的数字证书,也都用CA证书签名,在相关程序的启动参数里增加CA证书、自己的证书等相关参数。

1.1设置kube-apiserver的CA证书相关的文件和启动参数

使用OpenSSL工具在Master服务器上创建CA证书和私钥相关的文件:

openssl genrsa -out ca.key 2048
openssl req -x509 -new -nodes -key ca.key -subj "/laoyao-1.novalocal=k8s-master" -days 5000 -out ca.crt
openssl genrsa -out server.key 2048

注意:在生成ca.key时,-subj参数中“/laoyao-1.novalocal”的值为Master主机名。

准备master_ssl.cnf文件,该文件用于x509 v3版本的证书。在该文件中主要需要设置Master服务器的hostname(k8s-master)、IP地址(192.168.10.9),以及Kubernetes Master Service的虚拟服务名称(kubernetes.default等)和该虚拟服务的ClusterIP地址(10.96.0.1)。

master_ssl.cnf文件的示例如下:

[req]
req_extensions=v3_req
distinguished_name=req_distinguished_name
[req_distinguished_name]
[v3_req]
basicConstraints=CA:FALSE
keyUsage=nonRepudiation,digitalSignature,keyEncipherment
subjectAltName=@alt_names
[alt_names]
DNS.1=kubernetes.default
DNS.3=kubernetes.default.svc
DNS.4=kubernetes.default.svc.cluster.local
DNS.5=k8s-master
IP.1=10.96.0.1
IP.2=192.168.10.9
​

基于master_ssl.cnf创建server.csr和server.crt文件。在生成server.csr时,-subj参数中“/laoyao-1.novalocal”的值需为Master的主机名:

openssl req -new -key server.key -subj "/laoyao-1.novalocal=k8s-master" -config master_ssl.cnf -out server.csr
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days 5000 -extensions v3_req -extfile master_ssl.cnf -out server.crt

在全部执行完后会生成6个文件:ca.crt、ca.key、ca.srl、server.crt、server.csr、server.key。

将这些文件复制到一个目录下(例如/var/run/kubernetes/),然后设置kube-apiserver的三个启动参数“--client-ca-file”“--tls-cert-file”和“--tls-private-key-file”,分别代表CA根证书文件、服务端证书文件和服务端私钥文件:

--client-ca-file=/var/run/kubernetes/ca.crt
--tls-private-key-file=/var/run/kubernetes/server.key
--tls-cert-file=/var/run/kubernetes/server.crt

同时,可以关闭非安全端口(设置--insecure-port=0),设置安全端口为6443(默认值):

--insecure-port=0
--secure-port=6443
隔壁老姚
关注
专栏目录
Kubernetes集群安全配置
WaltonWang's Blog
06-07 1万+
更多关于kubernetes的深入文章,请看我csdn或者oschina的博客主页。这两天在梳理Kubernetes集群安全配置,涉及到各个组件的配置,最终决定画一个图来展现,应该会更清晰。
Kubernetes安全机制
weixin_45724795的博客
05-30 1564
文章目录一、kubernetes安全框架1.框架2.机制二、三大模块1.第一模块:认证1)kubernetes的用户系统一般用户ServiceAccount2)认证Https证书认证Http Token认证Http Basic认证3)认证策略3)CA认证2.第二模块:授权1)Kubernetes的授权模式2)授权模式的设置方法3.第三模块:准入控制1)为什么需要准入控制2)如何运行准入控制插件3)插件推荐版本三、RBAC授权1.RBAC的API资源对象说明2.使用RBAC授权1)创建用户并做限制2)制作证
security-profiles-operator:Kubernetes安全配置文件操作员
02-10
Kubernetes安全配置文件运营商 该项目是Security Profiles Operator的起点,这是树外的Kubernetes增强功能,旨在使在Kubernetes中更轻松,更直接地管理和应用seccomp和AppArmor配置文件。 关于 该项目的动机可以在相应的找到。 对本项目有直接影响的相关Kubernetes增强提案(KEP): 除了这些KEP之外,还有Kubernetes世界中用于安全配置文件的现有方法: 角色和用户故事 与其他任何软件一样,该操作员也可以帮助他人。 因此,目标角色已反映中。 该操作员要启用的功能被捕获。 如果您认为未正确捕获用户故事,请随时提交请求请求。 团队将非常乐于审查并帮助您反映要求。 路线图 该项目试图不与那些现有实现重叠,以在更安全Kubernetes上下文中提供有价值的添加。 我们创建了一个思维导图,以更好地了解我们想要实现的所有功
k8s技术预研5--Kubernetes集群安全设置
watermelonbig的专栏
02-28 945
一、基于HTTP BASE的简单认证方式各组件与apiserver之间的通信方式仍然采用HTTPS,但不使用CA数字证书。不建议在生产环境中这样使用。1、配置支持HTTP BASE认证在Master Node上创建/etc/kubernetes/basic_auth文件,文件中每行的格式为password,user,uid,"group1,group2,group3"。 [root@bogon k...
Kubernetes 集群安全 - 机制说明.pdf
10-17
本系列文档介绍使用二进制部署 kubernetes 集群的所有步骤,而不是使用 kubeadm 等自动化方式来部署集群,同时开启了集群的TLS安全认证,该安装步骤适用于所有bare metal环境、on-premise环境和公有云环境。
Kubernetes 集群安全-教程与笔记习题
05-22
Kubernetes集群安全机制的核心,就是确保APIServer的安全,这是集群中各个组件间通信的桥梁,同时也是外部进行集群控制的接入点。 Kubernetes集群安全机制主要包括三个步骤:认证(Authentication)、鉴权...
3、Kubernetes 集群安全 - 鉴权1
08-04
Kubernetes 集群安全是确保集群安全的重要方面之一,而鉴权是 Kubernetes 集群安全中的一个关键组件。鉴权是指确定请求方有哪些资源的权限,而不是简单地确认通信的双方都是可信的。API Server 目前支持多种授权...
2、Kubernetes 集群安全 - 认证1
08-04
Kubernetes集群中,安全是至关重要的,特别是...理解并正确配置这些认证方法是保障Kubernetes集群安全的基础。同时,管理和监控ServiceAccount和Secret也非常重要,因为它们是Pod与API Server通信的关键认证元素。
Kubernetes集群安全最佳实践
Docker的专栏
05-26 641
这是题为《保护Kubernetes for Cloud Native Applications》系列文章的倒数第二篇,延续我们关于如何保护集群重要组件的讨论,如API s...
kubernetes 集群安全机制
vito
05-15 990
一、概述 kubernetes通过一系列安全机制来实现集群安全控制,以下从几个方面来保证集群安全 Authentication: API Server认证管理 Authorization:API Server授权管理 Admission Control 准入控制 Service Account Secret 二、逐个安全机制总结 1、Authentication ...
Kubernetes10--API访问控制
大魔王
12-03 1596
使用API来访问k8s集群,方便使用第三方客户端来访问和管理k8s集群资源,在此准备使用Java语言来封装API使用。 1.API Server 配置文件解析 如上图所示,k8s集群中主要使用Api Server来作为系统通信的中心,因此使用api相当于主要与api server来进行信息交互。 在此之前使用kubeadm方式来部署k8s集群,查看一下apiserver的yaml文件: ...
[问题已处理]-k8s修改k8s api insecure port 8080
爷来辣的博客
03-06 2903
导语: 想将k8s api 的8080端口变成非本地访问 因为默认是127.0.0.1:8080 /opt/kubernetes/bin/kube-apiserver --logtostderr=false --v=2 --log-dir=/opt/kubernetes/logs --etcd-servers=https://192.168.10.177:2379,https://192.168.10.179:2379,https://192.168.10.180:2379 --bind-address=0
k8s安全04--kube-apiserver 安全配置
脚步不能达到的地方,眼光可以达到;眼光不能达到的地方,精神可以飞到
11-14 5484
k8s安全04--kube-apiserver 安全配置1 介紹2 安全配置2.1 配置 insecure-port2.2 RBAC2.3 Service Accounts2.4 Researching Pod Security Policies限制pods使用指定的目录控制pod 的网络配置 allowedUnsafeSysctls2.5 Enable Pod Security Policies2.6 Enabling API Server Auditing2.7 Encrypting Secrets注意
Kubernetes安装系列之tls方式下的kubectl设定
知行合一 止于至善
03-30 2891
这篇文章整理一下apiserver的缺省8080端口关闭的方法,以及这种方式下kubectl的设定方式,本文以脚本的方式进行固化,内容仍然放在github的easypack上。
Kubernetes(k8s)安全机制
weixin_56270746的博客
08-11 2051
Kubernetes 作为一个分布式集群的管理工具,保证集群安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介, 也是外部控制的入口。
你应该了解的10个 Kubernetes 安全上下文设置[译]
因上努力,果上随缘。但行好事,莫问前程。
08-02 1748
在用加固你的应用时,有很多事情需要注意。如果使用得当,它们是一种非常有效的工具,我们希望这个列表能帮助你的团队为你的工作负载和环境进行正确的安全配置。https。
kube-apiserver启动命令参数解释
小云的博客
03-07 3932
在apiserver启动时候会有很多参数来配置启动命令,有些时候不是很明白这些参数具体指的是什么意思。我的kube-apiserver启动命令参数:cat > /usr/lib/sy...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值