k8s集群安全机制

最新推荐文章于 2023-07-18 17:20:14 发布
最新推荐文章于 2023-07-18 17:20:14 发布
阅读量161 收藏 1
点赞数
分类专栏: k8s Docker 云计算 文章标签: k8s docker linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45181388/article/details/120864392
版权
Docker 同时被 3 个专栏收录
35 篇文章 1 订阅
订阅专栏
云计算
29 篇文章 0 订阅
订阅专栏
k8s
22 篇文章 0 订阅
订阅专栏

k8s集群安全机制

概述

(1) 访问k8s集群的时候,需要经历三个步骤完成具体操作
第一步 认证
第二步 鉴权(授权)
第三步 准入控制
(2)进行访问的时候,过程中都要经过apiserver,apiserver做同意协调,比如门卫,访问过程中需要证书、token或者用户名+密码
如果访问pod,需要serviceAccount
在这里插入图片描述

认证,传输安全

传输安全:

对外不暴露8080端口,只能内部访问,对外使用端口6443

认证:

客户端身份认证常用方式:

  • https证书认证,基于ca证书
  • http token认证,通过token识别用户
  • http基本认证,用户名+密码

鉴权(授权)

  • 基于RBAC进行鉴权操作
  • 基于校色访问控制

准入控制

  • 就是准入控制器的列表,如果列表有请求内容,通过,没有拒绝。

RBAC介绍(基于角色的访问控制)

  • 基于角色访问控制
    在这里插入图片描述

*角色
**role:特定命名空间访问权限
查看命名空间
** ClusterRole: 所有命名空间访问控制

kubectl get ns  //查看命名空间
kubectl create ns roletest   //创建命名空间

在这里插入图片描述

  • 角色绑定
    ** roleBinding:角色绑定到主体上
    ** ClusterRloe: 集群角色绑定到主体上

  • 主体
    user:用户
    group:用户组
    serviceAccount: 服务

实战

创建命名空间

kubectl get ns // 查看命名空间
kuebctl create ns roledemo //创建新的命名空间

在这里插入图片描述

在新创建的命名空间下创建pod

kubectl run nginx --image=nginx -n [命名空间名字] //在新建的命名空间中创建新的pod
kuebctl get pods -n roledemo   // 在新建的命名空间中查看pod的信息

在这里插入图片描述

创建角色

kind: Role
apiVersion: rbac.autohorization.k8s.io/v1
metadata:
  namespace: ctnrs
  name: pod-reader
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get","watch","list"]

kubectl apply -f rbac-role.yaml // 创建角色
kubectl get role -n [命名空间]  //查看角色

在这里插入图片描述

创建角色绑定

kind:RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: read-pods
  namespace: roledemo
subjects:
- kind: User
  name: lieon
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io

在命名空间中查看绑定角色信息

kubectl get role,rolebinding -n roledemo

在这里插入图片描述

使用证书识别身份

在这里插入图片描述

Lieon Chou
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【云原生】k8s核心技术—集群安全机制 & Ingress & Helm & 持久化存储-20230222
我是小bā吖的博客
02-22 1334
k8s核心技术笔记记录
云原生Kubernetes:K8S安全机制
cronaldo91的博客
09-26 2057
k8s 中的 namespace 就类似于 windows 中的多个桌面,或者 linux 中的多个终端;namespace 之间的 api 对象是不可见的。Token 认证和 Base 认证方式只能进行服务端对客户端的单向认证,而客户端不知道服务端是否合法;而 HTTPS 证书认证方式 则可以实现双向认证。1)用户账户(user) : 是在集群外部访问apiserver时使用的用户,如kubectl命令就是作为kubernetes的admin用户来执行的。
【云原生】k8s安全机制
zhangchang3的博客
07-18 2116
认证(Authentication) .鉴权(Authorization)准入控制(Admission Control)
k8s容器集群讲义.zip
11-29
10. **故障排查与维护**:学习如何使用kubectl、describe、logs、exec等命令诊断和解决K8s集群问题,以及如何执行备份和恢复操作。 通过阅读黑马讲义中的“Kubernetes第1天”至“Kubernetes第5天”的PDF文档,你...
k8s集群部署简易应用资源
最新发布
10-27
本文将深入探讨如何利用k8s集群部署简易应用资源,以及涉及的相关概念和技术。 首先,让我们理解k8s的核心概念。Kubernetes是一个开源平台,设计目的是为了使部署、扩展和管理容器化应用程序变得简单而高效。它的...
K8s集群部署配置文件包
10-27
本压缩包“K8s集群部署配置文件包”提供了全面的资源,帮助用户快速构建并配置Kubernetes集群。以下将详细阐述其中涉及的关键知识点。 首先,ETCD是Kubernetes集群的核心组件,它是轻量级、分布式的键值存储系统,...
K8S集群搭建.zip
10-27
Kubernetes是一个开源的,用于管理云平台中多个主机上的容器化的应用,Kubernetes的目标是让部署容器化的应用简单并且高效(powerful),Kubernetes提供了应用部署,规划,更新,维护的一种机制
K8S监控模板,用于k8S集群Pod监控
03-08
为了确保K8S集群的高效运行和稳定性能,监控是必不可少的一环。标题和描述提到的"K8S监控模板"是为了帮助用户更好地观测和管理K8S集群中的Pods,确保应用程序的正常运行。下面我们将详细探讨K8S监控的关键知识点,...
k8s-集群安全机制
weixin_43025075的博客
11-18 175
1、概述 (1)访问k8s集群时候,需要经过三个步骤完成具体操作 认证 鉴权(授权) 准入控制 (2)进行访问时候,过程中都需要经过apiserver, apiserver做统一协调,比如门卫。 访问过程中需要证书、token、或者用户名+密码 如果访问pod需要serviceAccount 第一步 认证 传输安全 传输安全:对外不暴露8080端口,只能内部访问,对外使用端口6443 认证 客户端身份认证常用方式: HTTPS证书认证,基于ca证书 http token认证,通过token识别
Kubernetes系统化学习之集群安全
weixin_68320784的博客
12-08 192
需要注意的是,Kubernetes内置了一组系统级别的用户/用户组,以“system:”开头,用户自定义的名称不应该使用这个前缀。在通常情况下,我们会设置授权策略为 Node,RBAC,APIServer 在收到请求后,会读取该请求中的数据,生成一个访问策略对象,APIServer 会将这个访问策略对象和配置的授权模式逐条进行匹配,第一个被满足或拒绝的授权策略决定了该请求的授权结果,如果匹配的结果是禁止访问,则 APIServer 会终止 API 调用流程,并返回客户端的错误调用码。
7 步保障 Kubernetes 集群安全
分享平台工程、应用部署的最佳实践
10-24 600
依赖 K8s 作为后端的 DevOps 团队必须意识到集群和可以在其中运行的 Docker 容器可能面临的所有风险和攻击。由于可用的攻击向量种类繁多、技术的不断进步以及该工具的一致、广泛采用,恶意攻击者发现渗透集群能够有效发起攻击并获得利益。保护 K8s 集群是一项艰巨的任务,密切关注并尽可能检测系统漏洞或恶意攻击行为至关重要。
阿里云、华为云、腾讯云容器k8s安全组出口、入口限定
CodingAnHour
03-15 2214
100.64.0.0/10 不能限制集群访问一部分阿里云云服务的公网地址 其他地址,我觉得您不用都加上,用到的时候再加也可以(把这些域名解析成功IP加一下),参考: ecs.cn-hangzhou.aliyuncs.com ecs-cn-hangzhou.aliyuncs.com vpc.cn-hangzhou.aliyuncs.com slb.cn-hangzhou.aliyuncs.com location-readonly.aliyuncs.com location.aliyuncs.com pvtz
Kubernetes集群安全配置
大树叶 技术专栏
11-25 4269
使用kubernetes/cluster/kube-up.sh脚本在装有Ubuntu操作系统的bare metal上搭建的Kubernetes集群并不安全,甚至可以说是“完全不设防的”,这是因为Kubernetes集群的核心组件:kube-apiserver启用了insecure-port。insecure-port背后的api server默认完全信任访问该端口的流量,内部无任何安全机制
Kubernetes 集群安全机制详解
qhh0205
08-22 3348
本文主要介绍 Kubernetes 的安全机制,如何使用一系列概念、技术点、机制确保集群的访问是安全的,涉及到的关键词有:api-server,认证,授权,准入控制,RBAC,Service Account,客户端证书认证,Kubernetes 用户,Token 认证等等。虽然涉及到的技术点比较琐碎,比较多,但是了解整个机制后就很容易将其串起来,从而能很好地理解 Kubernetes 集群安全机制...
k8s(六):配置管理与集群安全机制
qq_39198749的博客
02-13 3074
1. 配置管理 1.1 Secret Secret的主要作用就是加密数据,然后存在etcd里面,让Pod容器以变量或挂载Volume方式进行访问 场景:如用户名 和 密码进行加密,凭证 一般场景的是对某个字符串进行base64编码 进行加密 [root@iZ2zedqr9yeos47fg4uor5Z ~]# echo -n 'admin' | base64 YWRtaW4= 1.1.1 变量形式挂载到Pod 创建secret加密数据 创建secret加密数据的yaml文件 secret.yaml 执
使用Prometheus全方位监控K8s集群
02-07
"本文主要探讨如何使用Prometheus全方位监控Kubernetes(K8s)集群,并与Zabbix进行对比,介绍Prometheus的架构、部署方法、数据可视化以及K8s集群对象的监控告警策略。" 在现代云原生环境中,监控系统扮演着至关重要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值