kubernetes集群实战——API访问控制(openssl认证、rbac授权和准入控制)

最新推荐文章于 2024-01-31 12:22:21 发布
VIP文章 最新推荐文章于 2024-01-31 12:22:21 发布
阅读量831 收藏 4
点赞数 1
文章标签: kubernetes RBAC api
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45792518/article/details/107202520
版权

1.API 访问控制

在这里插入图片描述
Authentication(认证)
认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式。
Kubernetes集群有两类用户:由Kubernetes管理的Service Accounts (服务账户)和(Users Accounts) 普通账户。k8s中账号的概念不是我们理解的账号,它并不真的存在,它只是形式上存在。

Authorization(授权)
必须经过认证阶段,才到授权请求,根据所有授权策略匹配请求资源属性,决定允许或拒绝请求。授权方式现共有6种,AlwaysDeny、AlwaysAllow、ABAC、RBAC、Webhook、Node。默认集群强制开启RBAC。

Admission Control(准入控制)
用于拦截请求的一种方式,运行在认证、授权之后,是权限认证链上的最后一环,对请求API资源对象进行修改和校验

访问k8s的API Server的客户端主要分为两类:
kubectl :用户家目录中的 .kube/config 里面保存了客户端访问API Server的密钥相关信息,这样当用kubectl访问k8s时,它就会自动读取该配置文件,向API Server发起认证,然后完成操作请求。
pod:Pod中的进程需要访问API Server,如果是人去访问或编写的脚本去访问,这类访问使用的账号为:UserAccount;而Pod自身去连接API Server时,使用的账号是:ServiceAccount,生产中后者使用居多。

kubectl向apiserver发起的命令,采用的是http方式,其实就是对URL发起增删改查的操作。

kubectl  proxy --port=8888 &
curl http://localhost:8888/api/v1/namespaces/default
curl http://localhost:8888/apis/apps/v1/namespaces/default/deployments

在这里插入图片描述
在这里插入图片描述
以上两种api的区别是:
api它是一个特殊链接,只有在核心v1群组中的对象才能使用。
apis 它是一般API访问的入口固定格式名。

2. Authentication(认证)

UserAccount与serviceaccount:
用户账户是针对人而言的。 服务账户是针对运行在 pod 中的进程而言的。
用户账户是全局性的。 其名称在集群各 namespace 中都是全局唯一的,未来的用户资源不会做 namespace 隔离, 服务账户是 namespace 隔离的。
通常情况下,集群的用户账户可能会从企业数据库进行同步,其创建需要特殊权限,并且涉及到复杂的业务流程。 服务账户创建的目的是为了更轻量,允许集群用户为了具体的任务创建服务账户 ( 即权限最小化原则 )。

2.1 创建serviceaccount

[root@server2 cm]# kubectl get sa
NAME      SECRETS   AGE
default   1         30h
[root@server2 cm]# kubectl create serviceaccount admin	##创建serviceaccount
serviceaccount/admin created
[root@server2 cm]# kubectl get sa
NAME      SECRETS   AGE
admin     1         12s
default   1         30h
[root@server2 cm]# kubectl describe sa admin  ##此时k8s为用户自动生成认证信息,但没有授权
Name:                admin
Namespace:           default
Labels:              <none>
Annotations:         <none>
Image pull secrets:  <none>
Mountable secrets:   admin-token-f47hh
Tokens:              admin-token-f47hh
Events:              <none>
[root@server2 cm]#

最低0.47元/天 解锁文章
Li_barroco
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
到底谁才是真正的隐形战友——开源软件和OpenSSL的真实故事
03-03
动人的故事很容易让人忽略其真实性,前几天在朋友圈疯传的一篇关于OpenSSL的文章,让大多数人很容易就相信了文中关于开源和安全技术的描述。本文旨在辟谣+科普,开源和安全都是IT技术的热点,我们应该有正确的认识。...
Kubernetes(k8s)权限管理RBAC详解
ss810540895的博客
02-09 1334
kubernetes 集群相关所有的交互都通过apiserver来完成,对于这样集中式管理的系统来说,权限管理尤其重要,在1.5版的时候引入了RBAC(Role Base Access Control)的权限控制机制。启用RBAC,需要在 apiserver 中添加参数–authorization-mode=RBAC,如果使用的kubeadm安装的集群,1.6+版本都默认开启了RBAC。AlwaysDeny:表示拒绝所有请求,一般用于测试。:允许接收所有请求。
Kubernetes RBAC鉴权
Kason_iWiki
11-13 842
文章目录使用RBACKubernetes中配置权限先决条件Kubernetes中的RBAC概念概述角色,ClusterRoles,RoleBindings和ClusterRoleBindings如何在Roles和ClusterRoles中启用权限如何将主题绑定到角色或ClusterRole结语 使用RBACKubernetes中配置权限 确保控制谁有权访问k8s系统以及哪些用户有权访问是身份和访问管理系统的目标。它是安全管理中的基本过程之一,应予以彻底照顾。 在Kubernetes中,身份和用户管理未集
Windows用户账户与访问控制
最新发布
Kali与编程
01-31 935
Windows系统提供了多种不同类型的用户账户,每种账户都具有不同的权限和用途。本地账户是一种在本地计算机上创建的用户账户,可以分为管理员账户和标准用户账户两种类型。Microsoft账户是一种与Windows操作系统和其他Microsoft服务相集成的账户,可以在不同的设备上访问自己的信息和数据。Azure AD账户是一种与Microsoft Azure Active Directory服务相关联的账户,通常用于企业和组织。
使用 OpenSSL API 建立安全连接 - 双向认证
12-05 685
 一、概念: 1.什么是 SSL?   SSL 是一个缩写,全称是 Secure Sockets Layer。   它是支持在 Internet 上进行安全通信的标准,并且将数据密码术集成到了协议之中。   数据在离开您的计算机之前就已经被加密,然后只有到达它预定的目标后才被解密。   证书和密码学算法支持了这一切的运转,使用 OpenSSL,您将有机会切身体会它们。  
学习k8s的接口(Api)使用,并试着调用KubeEdge中(计数器demo)设备的信息
m0_46440313的博客
04-21 3663
学习k8s的接口(Api)使用,并试着调用KubeEdge中(计数器demo)设备的信息
Kubernetes RBAC权限问题
wenwst的专栏
12-25 7153
Kubernetes RBAC权限问题在配置Ingress出现以下问题,是由于RBAC配置引起。RBACKubernetes1.6开始引用。使用API版本也不同,因此,在配置yaml文件时需要注意。这里我们通过一个例子来解决RBAC的问题,当然,关于RBAC的概念在这里好像没有提及到。I0531 02:36:29.882636 7 launch.go:101] &{NGINX 0.9.
OpenSSL与网络信息安全——基础、结构和指令.pdf
07-13
适合入门openssl的同学,自己去买的,很清晰
Kubernetes RBAC with Openssl Authentication.pdf
08-22
Kubernetes RBAC with Openssl Authentication 介绍k8s的认证授权机制
使用OpenSSL生成Kubernetes证书的介绍
01-10
kubernetes支持Base认证/Token认证/CA认证三种,这篇文章用于记录一下CA认证所需要的最简单程度的命令。 kubernetes构成 测试版本为1.10,但不限于此版本,为openssl证书较为通用的方式。 所需证书 所需要的证书...
Kubernetes身份认证授权操作全攻略:K8s 访问控制入门
Rancher
08-14 738
随着Kubernetes被广泛使用,成为业界公认的容器编排管理的标准框架,许多开发人员以及管理员对部署、弹性伸缩以及管理容器化应用程序等Kubernetes的关键概念都十分熟悉。而对于生产部署而言,Kubernetes的安全性至关重要。因此,了解平台如何管理用户和应用程序的身份认证授权十分必要。 我们将推出一系列文章,以一种实践性的视角来了解平台内部的Kubernetes和Pod外部用户...
Kubernetes K8S之鉴权RBAC详解
踏歌行的专栏
12-06 1783
Kubernetes K8S之鉴权概述与RBAC详解
184. 【kubernetes】二进制文件方式安装-Kubernetes-集群(一)
七镜的博客
02-22 104
etcd 节点的配置方式包括启动参数、环境变量、配置文件等,本例使用环境变量方式将其配置到 /etc/etcd/etcd.conf 文件中,供 systemd 服务读取。从 Github 官网下载 etcd 二进制文件,解压缩后得到 etcd 和 etcdctl 文件,将它们复制到 /usr/bin 目录下。下载地址:https://github.com/etcd-io/etcd/releases/tag/v3.5.1。接下来先对 etcd 需要的 CA 证书配置进行说明。
Kubernetes API 访问控制
wangzan18的博客
01-17 760
Access control 访问控制 KubernetesAPI 访问提供了三种安全访问控制措施:Authentication、Authorization 和 Admission Control。认证解决用户是谁的问题,授权解决用户能做什么的问题,Admission Control 则是资源管理方面的...
微服务系列之二:kubernetes API使用(集群外部调用)
LY猿的博客
04-23 5649
上篇文章主要讲述如何在centos7上利用kubeadm搭建一个最新的kubernetes集群,也记录了一些踩过的坑。在kubernetes的master节点上,我们可以利用kubectl与集群进行交互,比如对pod,service或者deployment进行增删改查等等。但是很多时候,我们可能需要从集群外的服务器上对集群进行一些操作,这种需求该如何实现呢?通过调用kubernetes本身提供的H...
kubernetes API 访问控制之:授权
看,未来的博客
06-02 1097
可以使用kubectl、客户端库方式对REST API访问Kubernetes的普通账户和Service帐户都可以实现授权访问APIAPI的请求会经过多个阶段的访问控制才会被接受处理,其中包含认证授权以及准入控制(Admission Control)等。如下图所示: 需要注意:认证授权过程只存在HTTPS形式的API中。也就是说,如果客户端使用HTTP连接到kube-apiserver,是不会进行认证授权的。所以说,可以这么设置,在集群内部组件间通信使用HTTP,集群外部就使用HTTPS,这样既增加
k8s 基于RBAC认证授权介绍和实践
「 虚幻私塾」
01-23 828
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 在K8S中,当我们试图通过API与集群资源交互时,必定经过集群资源管理对象入口kube-apiserver。显然不是随随便便来一个请求它都欢迎的,每个请求都需要经过合规检查,包括Authentication(身份验证)、Authorization(授权)和Admission C
关于 KubernetesAPI Server授权(RBAC)管理的一些笔记
山河已无恙
01-28 1247
我也突然懂得,原来痛苦、失望和悲愁不是为了惹恼我们,使我们气馁或者无地自容;它们的存在,是为了使我们心智成熟,臻于完善。 ——赫尔曼·黑塞《彼得·卡门青》
K8s 授权认证 命令
05-23
Kubernetes (K8s) 提供了多种授权认证机制,以下是一些常用的命令: 1. 创建一个 ServiceAccount: ``` kubectl create serviceaccount <name> ``` 2. 查看 ServiceAccount: ``` kubectl get serviceaccount <name> ``` 3. 创建一个 Role: ``` kubectl create role <name> --verb=<verb> --resource=<resource> ``` 4. 查看 Role: ``` kubectl get role <name> ``` 5. 创建一个 RoleBinding: ``` kubectl create rolebinding <name> --role=<role> --serviceaccount=<serviceaccount> ``` 6. 查看 RoleBinding: ``` kubectl get rolebinding <name> ``` 7. 创建一个 ClusterRole: ``` kubectl create clusterrole <name> --verb=<verb> --resource=<resource> ``` 8. 查看 ClusterRole: ``` kubectl get clusterrole <name> ``` 9. 创建一个 ClusterRoleBinding: ``` kubectl create clusterrolebinding <name> --clusterrole=<clusterrole> --serviceaccount=<serviceaccount> ``` 10. 查看 ClusterRoleBinding: ``` kubectl get clusterrolebinding <name> ``` 11. 创建一个 TLS 证书: ``` openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout <keyfile> -out <certfile> -subj "/CN=<username>" ``` 12. 创建一个 kubeconfig 文件: ``` kubectl config set-credentials <name> --client-certificate=<certfile> --client-key=<keyfile> kubectl config set-context <name> --cluster=<cluster-name> --user=<name> kubectl config use-context <name> ``` 以上是一些常用的 K8s 授权认证命令,可以根据实际需求进行调整和组合。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值