k8s安全框架-rbac授权--网络访问限制

最新推荐文章于 2024-05-11 20:05:57 发布
最新推荐文章于 2024-05-11 20:05:57 发布
阅读量633 收藏
点赞数 1
分类专栏: K8s
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43546282/article/details/116355508
版权

• K8S安全控制框架主要由下面3个阶段进行控制,每一个阶段都 支持插件方式,通过API Server配置来启用插件。

1. Authentication(鉴权)
2. Authorization(授权)
3. Admission Control(准入控制)

• 客户端要想访问K8s集群API Server,一般需要证书、Token或 者用户名+密码;如果Pod访问,需要ServiceAccount

三种客户端身份认证:
• HTTPS 证书认证:基于CA证书签名的数字证书认证
• HTTP Token认证:通过一个Token来识别用户
• HTTP Base认证:用户名+密码的方式认证
1.0鉴权

RBAC(Role-Based Access Control,基于角色的访问控制):负责完成授权(Authorization)工作。
RBAC根据API请求属性,决定允许还是拒绝。
比较常见的授权维度: • user:用户名
• group:用户分组
• 资源,例如pod、deployment
• 资源操作方法:get,list,create,update,patch,watch,delete • 命名空间
• API组

2.0准入控制

Adminssion Control实际上是一个准入控制器插件列表,发送到API Server 的请求都需要经过这个列表中的每个准入控制器插件的检查,检查不通过, 则拒绝请求。

3.0 基于角色的权限访问控制RBAC

RBAC(Role-Based Access Control,基于角色的访问控 制),允许通过Kubernetes API动态配置策略。
角色

• Role:授权特定命名空间的访问权限
• ClusterRole:授权所有命名空间的访问权限 角色绑定
• RoleBinding:将角色绑定到主体(即subject) • ClusterRoleBinding:将集群角色绑定到主体 
主体(subject)
• User:用户
• Group:用户组
• ServiceAccount:服务账号

实战授权

#为zhangfan用户授权default命名空间pod读取权限

1.用k8s ca签发客户端证书
[root@k8s-master rbac]# cat  cert.sh 

cat > ca-config.json <<EOF
{
  "signing": {
    "default": {
      "expiry": "87600h"
    },
    "profiles": {
      "kubernetes": {
        "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ],
        "expiry": "87600h"
      }
    }
  }
}
EOF

cat > aliang-csr.json <<EOF
{
  "CN": "aliang",
  "hosts": [],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "BeiJing",
      "L": "BeiJing",
      "O": "k8s",
      "OU": "System"
    }
  ]
}
EOF

cfssl gencert -ca=/etc/kubernetes/pki/ca.crt -ca-key=/etc/kubernetes/pki/ca.key -config=ca-config.json -profile=kubernetes aliang-csr.json | cfssljson -bare aliangsh

在这里插入图片描述

2.0生成kubeconfig授权文件
[root@k8s-master rbac]# cat  kubeconfig.sh 

kubectl config set-cluster kubernetes \
  --certificate-authority=/etc/kubernetes/pki/ca.crt \
  --embed-certs=true \
  --server=https://172.16.226.4:6443 \
  --kubeconfig=aliang.kubeconfig
 
# 设置客户端认证
kubectl config set-credentials aliang \
  --client-key=aliang-key.pem \
  --client-certificate=aliang.pem \
  --embed-certs=true \
  --kubeconfig=aliang.kubeconfig

# 设置默认上下文
kubectl config set-context kubernetes \
  --cluster=kubernetes \
  --user=aliang \
  --kubeconfig=aliang.kubeconfig

# 设置当前使用配置
kubectl config use-context kubernetes --kubeconfig=aliang.kubeconfig

sh. kubeconfig.sh

3.0创建rbac授权策略

创建授权文件

[root@k8s-master rbac]# cat  rbac.yaml 
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: default       #授权命名空间
  name: pod-reader         #rbac名称
rules:
- apiGroups: [""]         #核心组
  resources: ["pods"]     
  verbs: ["get", "watch", "list"]    #关键字

---

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: read-pods
  namespace: default
subjects:
- kind: User
  name: aliang
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io

去node1节点验证
在这里插入图片描述

3.1增加授权

在这里插入图片描述
增加授权查看资源名称如图所示
mv aliang.kubeconfig /root/.kube/config

在这里插入图片描述
node节点可以看到相应内容,说明授权成功

授权整体流程如下

在这里插入图片描述

4.0网络策略

网络策略(Network Policy),用于限制Pod出入流量,提供Pod级别和Namespace级别网络访问控制。
一些应用场景:
• 应用程序间的访问控制。例如微服务A允许访问微服务B,微服务C不能访问微服务A
• 开发环境命名空间不能访问测试环境命名空间Pod
• 当Pod暴露到外部时,需要做Pod白名单 • 多租户网络环境隔离

Pod网络入口方向隔离:

• 基于Pod级网络隔离:只允许特定对象访问Pod(使用标签定义),允许白名单上的IP地址或者IP段访问Pod • 基于Namespace级网络隔离:多个命名空间,A和B命名空间Pod完全隔离。

Pod网络出口方向隔离:

• 拒绝某个Namespace上所有Pod访问外部
• 基于目的IP的网络隔离:只允许Pod访问白名单上的IP地址或者IP段 • 基于目标端口的网络隔离:只允许Pod访问白名单上的端口

实战

需求1:将default命名空间携带app=web标签的Pod隔离,只允 许default命名空间携带run=client1标签的Pod访问80端口。

4.1 创建网络策略控制yaml

cat. np1.yaml

apiVersion: networking.k8s.io/v1 
kind: NetworkPolicy
metadata:
  name: np1
  namespace: default  #指定默认命名空间
spec:
  podSelector: 
    matchLabels:
      app: web       #
  policyTypes: 
  - Ingress 
  ingress:
  - from:
    - podSelector: 
        matchLabels:
          run: client1
    ports:
    - protocol: TCP
      port: 80

kubectl apply -f np1.yaml
kubectl get networkpolicy #查看授权
在这里插入图片描述

4.2验证

kubectl run client1 --image=busybox – sleep 36000
kubectl run client2 --image=busybox – sleep 36000
在这里插入图片描述
测试
测试结果
client1 只能访问web.80端口,client2 无法访问
需求2:default命名空间下所有pod可以互相访问,也可以访问其 他命名空间Pod,但其他命名空间不能访问default命名空间Pod。

[root@k8s-master ~]# cat np2.yaml 
apiVersion: networking.k8s.io/v1 
kind: NetworkPolicy
metadata:
  name: np2
  namespace: default 
spec:
  podSelector: {}
  policyTypes: 
  - Ingress 
  ingress:
  - from:
    - podSelector: {}

• podSelector: {}:如果未配置,默认所有Pod
• from.podSelector: {} : 如果未配置,默认不允许

运维-大白同学
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
k8s 基于RBAC的认证、授权介绍和实践
「 虚幻私塾」
01-23 857
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 在K8S中,当我们试图通过API与集群资源交互时,必定经过集群资源管理对象入口kube-apiserver。显然不是随随便便来一个请求它都欢迎的,每个请求都需要经过合规检查,包括Authentication(身份验证)、Authorization(授权)和Admission C
K8s-ceph-csi-rbd连接资源
06-15
确保这些镜像能够被K8s集群访问,避免部署时出现因找不到镜像导致的错误。 总之,K8s-ceph-csi-rbd连接资源涉及到Kubernetes的存储管理、Ceph RBD块存储以及CSI接口的使用。通过正确配置和部署,Kubernetes可以方便...
k8s pod网络限速
魏志标的博客
04-28 3548
在生产环境中有时候需要对pod进行网络限速,具体的步骤如下: 本次测试网络插件为calico 一、确认k8s版本 [root@node1 ~]# kubectl get node NAME STATUS ROLES AGE VERSION node1 Ready master 42h v1.18.6 node2 Ready master 42h v1.18.6 node3 Ready master 42h v1.18.6 二、修改c
2024年网络安全最全k8s安全控制、授权管理介绍,2024年大厂程序员进阶宝典
最新发布
2401_84281648的博客
05-11 825
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
k8s——15、访问控制
qq_43604376的博客
06-14 616
k8s基于角色访问控制授权rbac
helm prometheus clusterroles.rbac.authorization.k8s.io forbidden: attempt to grant extra privileges
shida's blog
07-16 2733
问题描述:使用 helm 安装 prometheus ,出现如下错误:Error: release monitor failed: clusterroles.rbac.authorization.k8s.io "monitor-prometheus-server" is forbidden: attempt to grant extra privileges: [PolicyRule{NonRes...
k8s安全控制、授权管理介绍
树下一少年的博客
03-09 1384
两者最终都是面向kubernetes的单独位于kubernetes外的用户账号kubernetes管理账号,为pod中的服务进程在访问kubernete时提供身份标识我是以kubeadm安装的kubernetes,主要是用到rbac的角色访问控制。
K8S之 metrics-server 组件
06-17
在Kubernetes(K8S)生态系统中,metrics-server是一个至关重要的组件,它为集群提供了核心资源利用率的度量数据,如CPU和内存使用率。这些度量数据对于集群的自动扩展、调度以及整体性能监控至关重要。本文将深入...
K8S用户权限管理工具permission-manager-v1.6.0
12-13
在Kubernetes(K8S)集群环境中,权限管理是至关重要的,它确保了资源的安全性和访问控制。"permission-manager-v1.6.0"是一个专为K8S设计的用户权限管理工具,它帮助管理员更好地控制和管理用户对Kubernetes资源的...
Go-RBAC-简单并发基于角色的访问控制GOlang
08-14
在IT行业中,安全是至关重要的一个领域,尤其是在网络和软件开发中。Go语言,作为一种高效、简洁且适合并发编程的编程语言,也被广泛应用于构建安全系统。本项目"Go-RBAC-简单并发基于角色的访问控制GOlang"旨在实现...
gcr.io/kubebuilder/kube-rbac-proxy:v0.13.0 镜像
10-16
gcr.io/kubebuilder/kube-rbac-proxy:v0.13.0 镜像
【云原生 | Kubernetes 实战】18、K8s 安全实战篇之 RBAC 认证授权(下)
Stars.Sky 的博客
12-30 1057
k8s限制用户的权限!
kubernetes系列之《k8s基于RBAC授权
西西工作室
04-02 988
一、RBAC介绍 基于角色的访问控制(Role-Based Access Control,即“RBAC”)使用“rbac.authorization.k8s.io” Apo Group实现授权决策,允许管理员通过Kubernetes Api动态配置策略。 要启用RBAC,请使用 --authorization-mode=RBAC启动API Server。 在RABC API中,通过如下的步骤进行授...
Kubernetes(k8s)权限管理RBAC
驰兔的博客
03-13 940
前面文章中知道了KubernetesConfigMap和Secret,其实到这里我们基本上已经覆盖到Kubernetes中一些重要的资源对象了,来部署一个应用程序是完全没有问题的了。RBAC- 基于角色的访问控制。RBAC使用API Group 来实现授权决策,允许管理员通过 Kubernetes API 动态配置策略,要启用RBAC,需要在 apiserver 中添加参数,如果使用的kubeadm安装的集群,1.6 版本以上的都默认开启了RBAC
k8s基础(14)之RBAC角色权限控制
qq_23435961的博客
09-21 1141
k8s基础()之RBAC角色权限控制 RBAC是基于角色的访问控制 (Role-Based Access Control) 在RBAC中,权限与角色相关联。Kubernetes 基于角色的访问控制使用rbac.authorization.k8s.io API组来实现权限控制,RBAC允许管理员通过Kubernetes API动态的配置权限策略。如果需要开启RBAC授权需要在apiserver组件中指定--authorization-mode=Node,RBAC 在Kubernetes中所有的API对象都保存
k8s——Kubernetes-RBAC基于角色的访问控制
weixin_55985097的博客
07-27 859
kubernetes-RBAC 一:RBAC详解 RBAC基于角色的访问控制 Service Account为服务提供了一种方便的认证机制,但它不关心授权的问题。可以配合RBAC来为Service Account鉴权,在Kubernetes中,授权有ABAC(基于属性的访问控制)、RBAC(基于角色的访问控制)、Webhook、Node、AlwaysDeny(一直拒绝)和AlwaysAllow(一直允许)这6种模式。 从1.6版起,Kubernetes 默认启用RBAC访问控制策略。 从1.8开始,RBAC
k8s WEB-UI页面无数据,pod报RABC权限问题
liao__ran的博客
08-19 1289
登陆WEB-UI页面发现无任何数据,整体页面为空 查看 kubernetes-dashboard 的pod日志是RABC权限问题 2021/08/19 07:33:30 [2021-08-19T07:33:30Z] Outcoming response to 10.244.0.0:39799 with 200 status code 2021/08/19 07:33:34 [2021-08-19T07:33:34Z] Incoming HTTP/2.0 GET /api/v1/crd?itemsPerPa
kubernetes(k8s)之rbac权限管理详解
qq_44823950的博客
08-14 2136
kubernetes(k8s)之rabc权限
Kubernetes K8S之鉴权RBAC详解
踏歌行的专栏
12-06 1818
Kubernetes K8S之鉴权概述与RBAC详解
K8s-CKS深度解析:从框架网络、存储
"K8s-cks必备技能攻略,涵盖了K8s框架、CNI网络、CSI存储、资源管理、应用生命周期管理、弹性伸缩、容器调度和用户认证授权体系等方面。" 在 Kubernetes (K8s) 中,理解其基本框架至关重要。K8s 框架由控制节点和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值