k8s往secret里导入证书_k8s实践记录(四)

最新推荐文章于 2022-06-07 16:08:56 发布
最新推荐文章于 2022-06-07 16:08:56 发布
阅读量295 收藏
点赞数
文章标签: k8s往secret里导入证书
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42562124/article/details/112401970
版权

7f445c5c1818fce198fa3a37d526e310.png

16 如何对pod做权限限制?(认证、授权篇)

要想知道k8s如何对pod做权限限制,首先我们得知道pod是怎么访问k8s集群的资源的。

由于k8s本身是没有提供用户管理能力的,所以只要“用户”(非linux用户)持有kubeconfig凭据或者服务(如pod)具有访问集群资源的ServiceAccount,经过k8s认证流程之后,api-server 就会将请求凭证中的用户身份转化为对应的usergroups这样的用户模型,使用这个用户模型通过鉴权流程准入控制流程就可以访问api-server中有权限访问的资源。

上面提到的k8s访问请求流程具体可以分为认证authentication(是否为集群合法用户)、鉴权authorization(用户是否有权限操作所请求的资源)、准入控制admissioncontrol(请求是否安全合规)、持久化数据到etcd这几个步骤。

而集群资源访问控制的两种方式,使用kubeconfig凭据和使用serviceaccount就是这次实践内容。而k8s对pod做权限限制使用的就是serviceaccount的方式。

一、第一种访问方式:使用kubeconfig凭据方式访问集群

先看使用kubeconfig的方式,k8s使用证书请求资源的认证方式基本都是X509证书认证,访问者通常会使用由集群 CA 签发的客户端证书config去访问api-server。这种方式通常是用户本地连接k8s集群使用的方式。pod使用的就是serviceaccount的方式。

X509证书认证的证书由放在集群master节点的/etc/kubernetes/pki/目录下的公钥ca.crt和私钥ca.key来签发,那证书如何签发呢,k8s提供了个签发的apicertificates.k8s.io/v1beta1

第一种访问方式实践

比如现在我要创建一个‘用户’vickey来访问集群的资源,首先要创建一个证书签名请求CSR certificate signing request和一个私钥。

[root@master-1 yamlfiles]# openssl req -new -newkey rsa:4096 -nodes -keyout vickey.key -out vickey.csr -subj "/CN=vickey/O=dev"
Generating a 4096 bit RSA private key
..........................................++
.........++
writing new private key to 'vickey.key'
-----
[root@master-1 yamlfiles]# ls vickey.*
vickey.csr  vickey.key

然后用生成的证书签名请求csr文件创建一个k8s对象csr,在未被有权限的管理员审批approve之前会处于pending状态,只有审批后状态才会变成Approved,Issued

[root@master-1 yamlfiles]# kubectl get csr --all-namespaces 
No resources found

[root@master-1 yamlfiles]# cat <apiVersion: certificates.k8s.io/v1beta1kind: CertificateSigningRequestmetadata:name: vickey-access-testspec:request: $(cat vickey.csr | base64 | tr -d '\n')usages:
  - client auth
EOF
certificatesigningrequest.certificates.k8s.io/vickey-access-test created
[root@master-1 yamlfiles]# ls vickey.*
vickey.csr  vickey.key
[root@master-1 yamlfiles]# kubectl  get csr
NAME                 AGE   REQUESTOR          CONDITION
vickey-access-test   14s   kubernetes-admin   Pending
[root@master-1 yamlfiles]# kubectl certificate approve vickey-access-test
certificatesigningrequest.certificates.k8s.io/vickey-access-test approved
[root@master-1 yamlfiles]# kubectl  get csr
NAME                 AGE     REQUESTOR          CONDITION
vickey-access-test   8m15s   kubernetes-admin   Approved,Issued

将已签名的证书内容持久化到.crt文件中

[root@master-1 yamlfiles]# kubectl get csr vickey-access-test -o jsonpath='{.status.certificate}' | base64 --decode > vickey-access-test.crt
[root@master-1 yamlfiles]# cat vickey-access-test.crt 
-----BEGIN CERTIFICATE-----
MIIEBjCCAu6gAwIBAgIUbSNC1co5FiJ4rUd3zN15ITBLQxYwDQYJKoZIhvcNAQEL
......
d2xAmipqTuhqnjLbx+OZDsMjuTktiAXA+OHZcF/JjpLP5xjibbfYwkziLZEiuPON
usiDR2nUKLeCEp2CcJG/1/hzCrQNnuVQrgc=
-----END CERTIFICATE-----

有了签名证书还需要集群的ca.crt证书,因为下面配置集群权限需要用到。可以直接从/etc/kubernetes/pki/ca.crt复制一份过来,因为kubectl config view -o jsonpath='{.clusters[0].cluster.certificate-authority-data}' --raw | base64 --decode - > k8s-cluster-ca.crt获取的就是ca.crt的内容。

[root@master-1 yamlfiles]# kubectl config view -o jsonpath='{.clusters[0].cluster.certificate-authority-data}' --raw | base64 --decode - > k8s-cluster-ca.crt
[root@master-1 yamlfiles]# cat k8s-cluster-ca.crt 
-----BEGIN CERTIFICATE-----
MIICyDCCAbCgAwIBAgIBADANBgkqhkiG9w0BAQsFADAVMRMwEQYDVQQDEwprdWJl
......
4IzuQQRMTa7QqzyHCYlbp6Sb7YFxkwcwfMbLpqlUPWGDFGqepnKFp5aHhd0=
-----END CERTIFICATE-----

[root@master-1 yamlfiles]# diff k8s-cluster-ca.crt /etc/kubernetes/pki/ca.crt
[root@master-1 yamlfiles]#

因为kubeconfig是用户本地连接k8s集群使用的重要访问凭证,使用kubeconfig凭据方式访问集群最关键的一步就是生成config凭据,它是一个包含‘用户’已被签名的证书、集群的ca证书等信息的证书。这个生成凭据过程又细分为3步。

第一步:设置连接集群的必要信息(集群名,集群url)并写入到用来连接集群的访问凭据vickey-config中。

[root@master-1 yamlfiles]# kubectl config set-cluster $(kubectl config view -o jsonpath='{.clusters[0].name}') --
最低0.47元/天 解锁文章
腻子防水涂装设备厂家
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
k8ssecret导入证书_Kubernetes K8S之存储Secret详解
weixin_39604598的博客
12-22 912
K8S之存储Secret概述与类型说明,并详解经常使用Secret示例html主机配置规划服务器名称(hostname)系统版本配置内网IP外网IP(模拟)k8s-masterCentOS7.72C/4G/20G172.16.1.11010.0.0.110k8s-node01CentOS7.72C/4G/20G172.16.1.11110.0.0.111k8s-node02CentOS7.72C/...
k8ssecret导入证书_k8s获取私有仓库之secret从原理到实践
weixin_35653679的博客
01-13 3251
前面的话在master上面创建一个secret,写在deploy的yaml面,部署的时候,先由master权衡在哪个节点去部署,哪个节点就回去pull那个image(假如不存在这个镜像的话),所以每个节点要先去login我们的私库,这个操作可以由ansible去完成。secret存储的是一些加密过的账号密码,不在yaml面泄漏代码在master上创建一个secret创建一个secret这要注...
认证插件
邓乐来Jacob的博客
07-01 515
Kubernetes使用客户端证书,令牌,或者HTTP基本身份验证用户的API调用。在API服务器中配置—client-ca-file=SOMEFILE选项,就会启动客户端证书认证。引用文件必须包含一个或多个认证机制,通过认证机制验证传给API服务器的客户端证书。当一个客户端证书通过认证,该证书主题的名字就被作为该请求的用户名。在API服务器中配置选项:–token-auth-file=SOMEF...
k8ssecret导入证书_K8S集群中部署Secret保存密钥(14)
weixin_39866867的博客
12-22 334
之前我们学习了ConfigMap的时候,我们说ConfigMap这个资源对象是Kubernetes当中非常重要的一个对象,但是如果要是密码之类的文件存放到这就不合适了,k8s已经为我们准备了另外的一种方式专门保存密码的文件,就是我们今天要介绍的secret。Secret用来保存敏感信息,例如密码、OAuth 令牌和 ssh key等等,将这些信息放在Secret中比放在Pod的定义中或者dock...
K8S 认证和授权
qq_39124041的博客
02-14 4458
k8s认证方式一般为token和kubeconfig
k8s-v1.21.0-x86_64离线安装包.zip
08-19
文件复制到服务器,执行,就可以安装完成 sudo rpm -ivh *.rpm --...执行完成后再执行启动k8s: sudo systemctl daemon-reload sudo systemctl enable kubelet sudo systemctl start kubelet 然后 kubeadm init 初始化
k8s-test_java和k8s_k8s环境日常_k8s_
09-30
介绍了如何通过JAVA来进行K8S环境的日常操作和运维
K8S主机Prometheus监控ssl证书资源清单及镜像文件
01-14
原文链接:https://blog.csdn.net/m0_37814112/article/details/122349602
k8s证书过期处理方案
11-17
k8s默认的证书有效期为一年,在实际生产中,经常遇到证书过期导致的节点故障问题。 K8S集群证书过期后,会导无法创建Pod,通过kubectl get nodes也无法获取信息,甚至dashboard也无法访问。 执行命令发现报错: ...
cloud-运维平台_k8s_k8s运维平台_cloud_
09-30
k8s的运维平台,helm模板自动化生成,自动化部署
K8S对象-secret及应用(k8s 使用harbor镜像仓库,http,https 自签CA证书
运维玄德公
06-07 1523
1. 概述 1.1 作用 1.2 三种类型 2. docker registry 2.1 http库的使用 2.2 https仓库的使用 2.2.1 获取config.json的编码 2.2.2 创建secret 2.2.3 使用 3. generic 4. tls
k8s实践(7)- k8s Secrets
黄规速博客:学如逆水行舟,不进则退
06-16 1054
Secrets是Kubernetes中一种对象类型,用来保存密码、私钥、口令等敏感信息。与直接将敏感信息嵌入image、pod相比,Secrets更安全、更灵活,用户对敏感信息的控制力更强。同Docker对敏感信息的管理类似,首先用户创建Secrets将敏感信息加密后保存在集群中,创建pod时通过volume、环境变量引用Secrets。 1. Secret类型 Secret有三种类型: O...
k8s集群安装
leo19861231的博客
12-27 281
设置主机名 hostnamectl set-hostname master hostnamectl set-hostname node01 修改hosts文件 vim /etc/hosts 192.168.1.91 master 192.168.1.92 node01 关闭防火墙 systemctl stop firewalld systemctl disable firewalld 禁用SELI...
K8S集群tls证书管理
weixin_33905756的博客
08-31 605
在前文介绍的k8s master高可用实践方案中,需要对kube-apiserver的证书进行更新,加入VIP和从节点的IP,然后重新下发证书。回顾K8S集群整个搭建过程中,最容易让人懵圈的也就是配置证书环节,因此本文对K8S集群所用到的证书进行梳理一下。 一、根证书 ca.pem 根证书公钥文件ca-key.pem 根证书私钥文件ca.csr 证书签名请求...
k8ssecret导入证书_K8SSecret
weixin_39805998的博客
12-22 1203
简介secret顾名思义,用于存储一些敏感的需要加密的数据。这些数据可能是要保存在pod的定义文件或者docker的镜像中。把这些数据通过加密的方式存放到secrets对象中,可以降低信息泄露的风险。在secret中存储的数据都需要通过base64进行转换加密后存放。创建secret1、加密用户名密码假设有两个敏感数据,分别是用户名breeze,密码:123456。首先需要使用base64来转换数...
k8ssecret导入证书_k8ssecret
weixin_33268464的博客
12-31 1523
secret介绍1、configmap都是明文存数据的,所以我们不能用它来访问,所以我们使用secret,但它比configmap要麻烦一点,只有敏感数据采用secrt来存放,比如你的私钥和证书,这个时候私钥和证书要放在secret中,其它内容应该放在configmap中,另外还有,比如我们连接mysql是我们打算把密码写在配置文件中,这个时候我们要把密码写成secret,而不能定义成config...
Kubernetes为所有默认的ServiceAccount授权
ch717828的专栏
05-19 3405
环境准备: 创建一个私有的命名空间 mynamespace,创建一个pod,让这个pod使用默认的service account #cat mynamespace.yaml apiVersion: v1 kind: Namespace metadata: name: mynamespace #cat example-pod3.yaml apiVersion: v1 kind: Pod metadata: name: test-default-verbs namespace: mynamesp
执行kubectl get csr显示NoT found.
weixin_46923884的博客
01-17 1597
本次是在集群中添加新的节点,按照之前的操作(本次忽略操作流程),分享一下这个报错解决经过 创建 bootstrap 配置文件,并分发到每个 node 节点, [root@master01 admin]# cd /software/kubernetes-ha-binary/target/pki/admin/ [root@master01 admin]# export BOOTSTRAP_TOKEN=$(kubeadm token create \ --description kubelet-b..
Kubernetes集群中部署Node节点
热门推荐
用心做事
10-16 1万+
Kubernetes集群中的Node节点部署kubernetes的Node节点包含如下组件: flanneld docker kubelet kube-proxy 环境变量需要的变量。$ # 替换为 kubernetes master 集群任一机器 IP $ export MASTER_IP=10.50.101.41 $ export KUBE_APISERVER="https://${MASTER
k8s secret 证书
最新发布
05-13
Kubernetes Secret 是一个用来存储敏感数据的 Kubernetes 对象,包括 API 密钥、密码、 OAuth 令牌和 TLS 证书等。要创建一个 TLS 证书Secret,可以执行以下步骤: 1. 创建一个包含证书和私钥的 PEM 文件。可以通过 OpenSSL 等工具生成这个文件。 2. 将 PEM 文件的内容放入 Kubernetes Secret 中。可以使用 `kubectl create secret tls` 命令创建 Secret,如下所示: ``` kubectl create secret tls <secret-name> --cert=<path-to-cert-file> --key=<path-to-key-file> ``` 也可以将 PEM 文件的内容以 base64 编码的形式放入 Secret 中,如下所示: ``` kubectl create secret tls <secret-name> --cert=<path-to-cert-file> --key=<path-to-key-file> --dry-run=client -o yaml | kubectl apply -f - ``` 其中 `--dry-run=client -o yaml` 选项会将 Secret 的 YAML 配置输出到标准输出,`| kubectl apply -f -` 会将 YAML 配置应用到 Kubernetes 集群中。 3. 在需要使用证书的 Kubernetes 对象(如 Ingress、Service 等)的 YAML 配置中,将 Secret 的名称和证书密钥的名称指定为 TLS 配置的一部分,如下所示: ``` apiVersion: extensions/v1beta1 kind: Ingress metadata: name: my-ingress annotations: nginx.ingress.kubernetes.io/ssl-cert: <secret-name> spec: tls: - hosts: - example.com secretName: <secret-name> ... ``` 在这个例子中,`nginx.ingress.kubernetes.io/ssl-cert` 注解指定了使用哪个 Secret,`tls.secretName` 指定了 Secret 的名称。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值