kubernetes(k8s):访问控制(认证+授权+准入控制)

最新推荐文章于 2024-09-20 09:19:40 发布
最新推荐文章于 2024-09-20 09:19:40 发布
阅读量4.2k 收藏 19
点赞数 3
分类专栏: kubernetes 文章标签: kubernetes 访问控制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43936969/article/details/106318259
版权
本文深入探讨了Kubernetes的访问控制机制,包括API访问控制流程、认证(8种方式)、授权(RBAC等)、准入控制以及服务账户的自动化管理。详细介绍了如何创建和管理UserAccounts、ServiceAccounts,以及RoleBinding和ClusterRoleBinding的使用,确保集群资源的安全访问。
摘要由CSDN通过智能技术生成

文章目录

1. kubernetes API 访问控制

官方文档:
https://kubernetes.io/zh/docs/reference/access-authn-authz/controlling-access/
kubernetes api分为:认证授权准入控制
用户通过 kubectl、客户端库或者通过发送 REST 请求访问 API。 用户(自然人)和 Kubernetes 服务账户 都可以被授权进行 API 访问。 请求到达 API 服务器后会经过几个阶段,具体说明如图:
准入控制由上图来介绍一下 Kubernetes API 的请求从发起到其持久化入库 的一个流程。

首先看一下请求的发起,请求的发起分为两个部分:

  1. 第一个部分是人机交互的过程。 是大家非常熟悉的用 kubectl 对 apiserver 的一个请求过程;
  2. 第二个部分是 Pod 中的业务逻辑与 apiserver 之间的交互。

当我们的 apiserver 收到请求后,就会开启访问控制流程。这里面分为三个步骤:

  1. Authentication 认证阶段:判断请求用户是否为能够访问集群的合法用户。如果用户是个非法用户,那 apiserver会返回一个 401 的状态码,并终止该请求;
  2. 如果用户合法的话,我们的 apiserver 会进入到访问控制的第二阶段 Authorization:授权阶段。在该阶段中apiserver 会判断用户是否有权限进行请求中的操作。如果无权进行操作,apiserver 会返回 403的状态码,并同样终止该请求;
  3. 如果用户有权进行该操作的话,访问控制会进入到第三个阶段:AdmissionControl。在该阶段中 apiserver 的admission controller 会判断请求是否是一个安全合规的请求。如果最终验证通过的话,访问控制流程才会结束。

此时我们的请求将会转换为一个 Kubernetes objects 相应的变更请求,最终持久化到 ETCD 中。

认证(任意一种) -->授权(一般是rbac 和 node)–> 准入控制(自己选择)

2. 认证 Authentication

认证一共有8种,可以启动一种或多种认证方式,只要有一种认证方式通过,就不再对其它方式认证,通常启动X 509 Client CertsService Accout Tokens两种认证方式

k8s集群有两类用户由k8s管理的Service Accounts 服务帐号Users Accounts普通账户,k8s种的帐号是形式上存在的。

默认存在的taken:
在这里插入图片描述

1 访问k8s的API Server的客户端

访问k8s的API Server的客户端主要分为两类:

  • kubectl :用户家目录中的 .kube/config 里面保存了客户端访问API Server的密钥相关信息,这样当用kubectl访问k8s时,它就会自动读取该配置文件,向API Server发起认证,然后完成操作请求。
  • pod:Pod中的进程需要访问API Server,如果是人去访问或编写的脚本去访问,这类访问使用的账号为:UserAccount;而Pod自身去连接API Server时,使用的账号是:ServiceAccount,生产中后者使用居多。
[kubeadm@server1 ~]$ cd .kube/   // 用户主目录下的认证文件
[kubeadm@server1 .kube]$ ls
cache  config  http-cache
[kubeadm@server1 .kube]$ cat config
apiVersion: v1
clusters:
- cluster:
certificate-authority-data: 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

kubectl 向 apiserver发起的命令,采用的时http方式,其实就是对URL发起增删改查的操作。

kubectl proxy --port=8888 &                   // 代理
curl http://localhost:8888/api/v1/namespaces/default
curl http://localhost:8888/apis/apps/v1/namespaces/default/deployments

以上两种api的区别是:

  • api它是一个特殊链接,只有在核心v1群组中的对象才能使用。
  • apis 它是一般API访问的入口固定格式名。

2 UserAccount 与 serviceaccount

  • 用户账户是针对人而言的。 服务账户是针对运行在 pod 中的进程而言的。
  • 用户账户是全局性的。 其名称在集群各 namespace 中都是全局唯一的,未来的用户资源不会做 namespace 隔离, 服务账户是namespace 隔离的。
  • 通常情况下,集群的用户账户可能会从企业数据库进行同步,其创建需要特殊权限,并且涉及到复杂的业务流程。服务账户创建的目的是为了更轻量,允许集群用户为了具体的任务创建服务账户 ( 即权限最小化原则 )。
2.1 创建serviceaccount:
[kubeadm@server1 ~]$ kubectl create serviceaccount test
serviceaccount/test created

[kubeadm@server1 ~]$ kubectl get sa
NAME                     SECRETS   AGE
default                  1         19d
nfs-client-provisioner   1         3d7h
test                     1         10s

[kubeadm@server1 ~]$ kubectl describe sa test  //此时k8s为用户自动生成认证信息,但没有授权
Name:                test
Namespace:           default
Labels:              <none>
Annotations:         <none>
Image pull secrets:  <none>
Mountable secrets:   test-token-nxqrn
Tokens:              test-token-nxqrn
Events:              <none>

在这里插入图片描述

2.2 添加secrets到serviceaccount中

博客 中创建的kubernetes.io/dockerconfigjson类型的sercets:myregistrykey用于存储docker registry的认证信息

[kubeadm@server1 ~]$ kubectl patch serviceaccount test -p '{"imagePullSecrets": [{"name": "myregistrykey"}]}'
serviceaccount/test patched

[kubeadm@server1 ~]$ kubectl describe sa test
Name:                test
Namespace:           default
Labels:              <none>
Annotations:         <none>
Image pull secrets:  myregistrykey  //可以读取拉取镜像的秘钥
Mountable secrets:   test-token-nxqrn
Tokens:              test-token-nxqrn
Events:              <none>

在这里插入图片描述

2.3 把serviceaccount和pod绑定起来

让test对私有仓库进行认证

[kubeadm@server1 auth]$ cat pod.yaml 
apiVersion: v1
kind: Pod
metadata:
  name: myapp
  labels:
    app: myapp
spec:
  containers:
  - name: myapp
    image: reg.westos.org/westos/game2048
    ports:
    - name: http
      containerPort: 80
  serviceAccountName: test

将认证信息添加到serviceAccount中,要比直接在Pod指定imagePullSecrets要安全很多。
在这里插入图片描述

2.4 创建useraccount
[root@server2 pki]# cd /etc/kubernetes/pki/   // 证书的存放位置
[root@server2 pki]# ll . -d  // 只允许超户写入
drwxr-xr-x 3 root r
最低0.47元/天 解锁文章
鲸鱼妹子‍
关注
专栏目录
kubernetes安全机制
Drw_Dcm的博客
11-14 2636
kubernetes安全机制
k8s访问控制认证+授权+准入控制
yrx420909的博客
05-05 3295
1. kubernetes API 访问控制 由上图来介绍一下 Kubernetes API 的请求从发起到其持久化入库的一个流程。 首先看一下请求的发起,请求的发起分为两个部分: 第一个部分是人机交互的过程。 是大家非常熟悉的用 kubectl 对 apiserver 的一个请求过程; 第二个部分是 Pod 中的业务逻辑与 apiserver 之间的交互。 当我们的 apiserver 收到请...
Linux企业实战之容器(二十一)——Kubernetes(10)
bdkl9998的博客
07-11 204
kubernetes访问控制
k8s安全管理:认证授权准入控制概述
最新发布
weixin_44800629的博客
09-20 1080
认证基本介绍 kubernetes主要通过APIserver对外提供服务,那么就需要对访问apiserver的用户做认证,如果任何人都能访问apiserver,那么就可以随意在k8s集群部署资源,这是非常危险的,也容易被黑客攻击渗透,所以需要我们对访问k8s系统的apiserver的用户进行认证,确保是合法的符合要求的用户。 授权基本介绍: 认证通过后仅代表它是一个被apiserver信任的用户,能访问apiserver,但是用户是否拥有删除资源的权限, 需要进行授权操作,常见的授权方式有rbac授权
k8s中的访问控制
weixin_43849415的博客
10-20 2041
本文主要介绍了k8s中的访问控制,包括认证授权准入控制,最后通过几个小case进行案例演示。
k8s 访问控制--认证与鉴权】
嘻哈记的运维学习之路
02-29 1500
操作k8s的所有请求都是通过https的方式进行请求,通过REST协议操作我们的k8s接口,所以在k8s中有一套认证和鉴权的资源。
kubernetes视频教程笔记 (32)-安全-准入控制Admission Control
软件工程小施同学 的专栏
12-15 383
准入控制 准入控制是API Server的插件集合,通过添加不同的插件,实现额外的准入控制规则。甚至于API Server的一些主 要的功能都需要通过 Admission Controllers 实现,比如 ServiceAccount 官方文档上有一份针对不同版本的准入控制器推荐列表,其中最新的 1.14 的推荐列表是: NamespaceLifecycle,LimitRanger,ServiceAccount,DefaultStorageClass,DefaultTolerationSe.
【Linux39-15】k8s API 访问控制( sa+ua 认证、RBAC授权准入控制
weixin_46069582的博客
03-24 1144
文章目录一、Kubernetes API 访问控制1.1 认证1.2 授权1.3 准入控制二、认证2.1 serviceAccount 不安全示例2.2 创建 serviceAccount2.3 创建 userAccount三、RBAC授权(基于角色的访问控制)3.1 Role 及 RoleBinding 示例3.2 ClusterRole 示例3.2.1 RoleBinding(指定namespace授权)3.2.2 ClusterRoleBinding(跨集群授权) 一、Kubernetes API
Kubernetes身份认证授权操作全攻略:K8s 访问控制入门
Rancher
08-14 816
随着Kubernetes被广泛使用,成为业界公认的容器编排管理的标准框架,许多开发人员以及管理员对部署、弹性伸缩以及管理容器化应用程序等Kubernetes的关键概念都十分熟悉。而对于生产部署而言,Kubernetes的安全性至关重要。因此,了解平台如何管理用户和应用程序的身份认证授权十分必要。 我们将推出一系列文章,以一种实践性的视角来了解平台内部的Kubernetes和Pod外部用户...
kubernetes--01(k8s认证方式)
最后的武艺集大成者
03-15 2758
1.了解kubernetes 滚动部署的过程: 我们所管理的层面在Deployment上,RS和pPOD不需要们去管理的。当重新更新的时候会新Deployment会重新起一个RS,然后根据新的镜像起一个POD,POD健康检查通过后,然后旧的RS删除掉原来的POD,然后同样的方式更新第二个。 Service与Lable:lable可以打在很多东西上,比如POD可以打标签,N...
auth-proxy:K8S身份验证代理
04-07
认证代理 身份验证代理,用于向本身不支持此功能的应用程序添加SSO身份验证支持。 配置Google Project 首先,我们需要创建我们的Google Project并创建OAuth2凭据。 转到Google Cloud Platform 创建一个新项目,或者如果已有的话选择一个。 转到凭据,然后选择“ OAuth客户端ID”以创建一个新凭据 添加“授权重定向URL”,例如localhost:8000 / auth / google / callback 复制client_id和客户机密
K8S证书认证--基于CA签名的双向数字证书认证方式
chaishi1991的博客
07-16 3411
kubernetes 提供了多种安全认证机制, 其中对于集群通讯间可采用 TLS(https) 双向认证机制,也可采用基于 Token 或用户名密码的单向 tls 认证k8s一般在内网部署,采用私有 IP 地址进行通讯,权威CA只能签署域名证书,我们这里采用自建CA。环境:Master:172.20.103.1Node:172.20.103.2基于CA签名的双向数字证书的生...
kubernetes API 访问控制之:准入控制
看,未来的博客
06-02 763
可以使用kubectl、客户端库方式对REST API的访问,Kubernetes的普通账户和Service帐户都可以实现授权访问API。API的请求会经过多个阶段的访问控制才会被接受处理,其中包含认证授权以及准入控制(Admission Control)等。如下图所示: 需要注意:认证授权过程只存在HTTPS形式的API中。也就是说,如果客户端使用HTTP连接到kube-apiserver,是不会进行认证授权的。所以说,可以这么设置,在集群内部组件间通信使用HTTP,集群外部就使用HTTPS,这样既增加
K8S 安全认证
elihe2011的专栏
12-27 4005
1. 安全机制 1.1 认证 (Authentication) 1.1.1 认证方式 HTTP Token:Authorization: Bearer $TOKEN HTTP Basic: Authorization: Basic $(base64encode USERNAME:PASSWORD), HTTPS: 基于CA根证书签名的客户端身份认证方式(推荐) 证书颁发: 手动签发:通过k8s集群的根 ca 进行签发 HTTPS 证书 自动签发:kubelet 首次访问 API Serv
kubernetes视频教程笔记 (30)-安全-鉴权Authorization
软件工程小施同学 的专栏
12-10 440
一、Authentication 1. HTTP Token 认证: 通过一个 Token 来识别合法用户 HTTP Token 的认证是用一个很长的特殊编码方式的并且难以被模仿的字符串 - Token 来表达客户的一种方式。 Token 是一个很长的很复杂的字符串,每一个 Token 对应一个用户名存储在 API Server 能访问的文件中。 当客户端发起 API 调用请求时,需要在 HTTP Header 里放入 Token 2. HTTP Base 认证: 通过 用户名+密码 的.
K8S 认证授权
qq_39124041的博客
02-14 4537
k8s认证方式一般为token和kubeconfig
k8s认证鉴权准入控制
fourierr的博客
04-29 844
k8s认证,Authentication,检查用户是否为合法用户。认证方式有很多,常用的是 X509 Client Certs(用于外部用户如kubectl)和Service Accout Tokens(用于pod中进程),kubeconfig使用X509 Client Certs方式。 同时ServiceAccount Resource中主要包含了三个内容:namespace、token和ca.crt,其中namespace表示当前管理的命名空间;ca.crt用于校验服务端的的证书信息,即apiserve
k8s--基础--23.4--认证-授权-准入控制--准入控制
zhou920786312的博客
08-15 400
Kubernetes的Admission Control实际上是一个准入控制器(Admission Controller)插件列表,发送到APIServer的请求都需要经过这个列表中的每个准入控制器插件的检查,如果某一个控制器插件准入失败,就准入失败。...
Kubernetes日志平台搭建:EFK+logstash+kafka实战指南
描述中提到的链接是指向一篇关于 Kubernetes (K8s) 企业项目实战的文章,文章中介绍了如何在 Kubernetes 集群中构建一个基于 EFK(Elasticsearch, Fluentd, Kibana)的日志平台,同时加入了 Logstash 和 Kafka 以...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值