【Linux39-15】k8s API 访问控制( sa+ua 认证、RBAC授权、准入控制)

最新推荐文章于 2023-02-16 23:42:39 发布
最新推荐文章于 2023-02-16 23:42:39 发布
阅读量731 收藏 3
点赞数
分类专栏: Kubernetes 文章标签: kubernetes 运维 docker 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46069582/article/details/115164626
版权

文章目录

一、Kubernetes API 访问控制


【k8s访问控制官方文档:https://kubernetes.io/zh/docs/concepts/security/controlling-access/

用户使用 kubectl、客户端库或构造 REST 请求来访问 Kubernetes API。 人类用户和 Kubernetes 服务账户都可以被鉴权访问 API。 当请求到达 API 时,它会经历多个阶段,如下图所示:

在这里插入图片描述访问控制过程:
在这里插入图片描述

1.1 认证


认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。通常启用 X509 Client CertsService Accout Tokens 两种认证方式。

Kubernetes集群有两类用户:(由Kubernetes管理)

  • Service Accounts (服务账户)
  • Users Accounts(普通账户)

k8s中账号的概念不是我们理解的账号,它并不真的存在,它只是形式上存在。

UserAccount
serviceAccount
针对人而言的针对运行在 pod 中的进程而言的
用户账户是全局性的。 其名称在集群各 namespace 中都是全局唯一的,未来的用户资源不会做 namespace 隔离服务账户是 namespace 隔离的
通常情况下,集群的用户账户可能会从企业数据库进行同步,其创建需要特殊权限,并且涉及到复杂的业务流程。 服务账户创建的目的是为了更轻量,允许集群用户为了具体的任务创建服务账户 ( 即权限最小化原则 )

1.2 授权


必须经过认证阶段,才到授权请求,根据所有授权策略匹配请求资源属性,决定允许或拒绝请求。

授权方式现共有6种:AlwaysDeny、AlwaysAllow、ABAC、RBAC、Webhook、Node。

默认集群强制开启RBAC。

1.3 准入控制


用于拦截请求的一种方式,运行在认证、授权之后,是权限认证链上的最后一环,对请求API资源对象进行修改和校验。

请求通过所有准入控制器后,将使用检验例程检查对应的 API 对象,然后将其写入对象存储(如图1步骤 4 所示)

二、认证


2.1 serviceAccount 不安全示例


1)创建secret,名称为myregistrykey(能访问Harbor仓库的所有项目)

# 创建secret
kubectl create secret docker-registry myregistrykey --docker-server=zy.westos.org --docker-username=admin --docker-password=westos --docker-email=zy@westos.org

在这里插入图片描述

2)将secret直接写在pod文件中,但是不安全(调度节点的镜像为Harbor仓库的非公开项目)

# pod.yml
apiVersion: v1
kind: Pod
metadata:
  name: game
  labels:
    app: game
spec:
  containers:
  - name: game
    image: zy.westos.org/westos/game2048
  imagePullSecrets:
      - name: myregistrykey

在这里插入图片描述

2.2 创建 serviceAccount


【服务账户官方文档:https://kubernetes.io/zh/docs/tasks/configure-pod-container/configure-service-account/

1)创建 sa:admin(这时的admin的信息为k8s自动生成的认证信息,但没有授权)

在这里插入图片描述

2)创建 镜像拉取secret,名称为myregistrykey(能访问Harbor仓库的所有项目)

# 创建secret
kubectl create secret docker-registry myregistrykey --docker-server=zy.westos.org --docker-username=admin --docker-password=westos --docker-email=zy@westos.org

3)添加 镜像拉取secrets 到 serviceAccount 中

把认证信息直接添加到sa中,要比直接在pod中指定imagePullSecrets要安全

# 添加认证
kubectl patch serviceaccount admin -p '{"imagePullSecrets": [{"name": "myregistrykey"}]}'

在这里插入图片描述

4)在pod中绑定sa(所需镜像为Harbor仓库的非公开项目)

apiVersion: v1
kind: Pod
metadata:
  name: game
  labels:
    app: game
spec:
  containers:
  - name: game
    image: zy.westos.org/westos/game2048
    ports:
    - name: http
      containerPort: 80
  serviceAccountName: admin

在这里插入图片描述

2.3 创建 userAccount


【用户认证官方文档:https://kubernetes.io/zh/docs/reference/access-authn-authz/authentication/
【证书制作官方文档:https://kubernetes.io/zh/docs/concepts/cluster-administration/certificates/
【证书签名请求官方文档:https://kubernetes.io/zh/docs/reference/access-authn-authz/certificate-signing-requests/#normal-user

1)创建 X509证书

1.生成PKI密钥位数为 2048 的 test.key:
cd /etc/kubernetes/pki/
openssl genrsa -out test.key 2048

2.生成证书签名请求:("/CN=bob"确定用户名)
openssl req -new -key test.key -out test.csr -subj "/CN=test"

3.生成服务器证书(使用 -days 参数来设置证书有效时间)
openssl  x509 -req -in test.csr -CA ca.crt -CAkey ca.key  -CAcreateserial -out test.crt -days 365

4.查看证书:
openssl x509 -in test.crt -text -noout

在这里插入图片描述

2)将这个用户添加到 kubeconfig 文件

kubectl config set-credentials test --client-certificate=/etc/kubernetes/pki/test.crt --client-key=/etc/kubernetes/pki/test.key --embed-certs=true
# 查看
kubectl config view

在这里插入图片描述

3)添加上下文

kubectl config set-context test@kubernetes --cluster=kubernetes --user=test

在这里插入图片描述

4)切换上下文为 test

kubectl config use-context test@kubernetes

在这里插入图片描述

5)测试:此时用户 test 通过认证,但还没有权限操作集群资源,需要继续添加授权。

在这里插入图片描述
6)切换上下文到管理员(在执行部署文件时需要切换成管理员,即kubernetes-admin)

在这里插入图片描述

三、RBAC授权(基于角色的访问控制)


【RBAC官方文档:https://kubernetes.io/zh/docs/reference/access-authn-authz/rbac/

允许管理员通过Kubernetes API动态配置授权策略。RBAC就是用户通过角色与权限进行关联。

RBAC只有授权,没有拒绝授权,所以只需要定义允许该用户做什么即可。

RBAC的三个基本概念 :

  • Subject:被作用者,它表示k8s中的三类主体, user, group, serviceAccount
  • Role:角色,它其实是一组规则,定义了一组对 Kubernetes API 对象的操作权限。
  • RoleBinding:定义了“被作用者”和“角色”的绑定关系。

RBAC的四种 Kubernetes 对象:

  • Role:角色(是一系列的权限的集合,Role只能授予单个 namespace 中资源的访问权限)
  • ClusterRole:集群角色(定义集群范围的角色)
  • RoleBinding:角色绑定(对某个namespace 内授权),将Role中定义的权限授予给用户或用户组。它包含一个subjects列表(users,groups ,service accounts),并引用该Role。
  • ClusterRoleBinding:集群角色绑定(适用在集群范围内执行授权)

在这里插入图片描述

3.1 Role 及 RoleBinding 示例


  • 在执行部署文件时需要切换上下文为管理员,即 kubernetes-admin

1)创建一个位于 “default” 名字空间的 Role 的示例,可用来授予对 pods 的读访问权限

# role.yml 
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: default
  name: myrole
rules:
- apiGroups: [""] # "" 标明 core API 组
  resources: ["pods"]
  verbs: ["get", "watch", "list", "create", "update", "patch", "delete"]

在这里插入图片描述

2)创建RoleBinding 将 “myrole” Role 授予在 “default” 名字空间中的用户 “test”。(即用户 “test” 就具有了读取 “default” 名字空间中 pods 的权限)

# roleBinding.yml
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: test-read-pods
  namespace: default
subjects:
# 可以指定不止一个“subject(主体)”
- kind: User
  name: test # "name" 是不区分大小写的
  apiGroup: rbac.authorization.k8s.io
roleRef:
# "roleRef" 指定与某 Role 或 ClusterRole 的绑定关系
  kind: Role # 此字段必须是 Role 或 ClusterRole
  name: myrole # 此字段必须与你要绑定的 Role 或 ClusterRole 的名称匹配
  apiGroup: rbac.authorization.k8s.io

在这里插入图片描述

3)切换上下文为 test,测试结果:具有了读取 “default” 名字空间中 pods 的权限

在这里插入图片描述

4)但是 test 并不具有读取其他命名空间的 pods 权限,最后切换上下文为管理员

在这里插入图片描述

3.2 ClusterRole 示例


ClusterRole 可以和 Role 相同完成授权。 因为 ClusterRole 属于集群范围,所以它也可以为以下资源授予访问权限:

  • 集群范围资源(比如 节点(Node))
  • 非资源端点(比如 /healthz
  • 跨名字空间访问的名字空间作用域的资源(如 Pods),比如,你可以使用 ClusterRole 来允许某特定用户执行 kubectl get pods --all-namespaces

示例:

1)创建 ClusterRole(可以读取任何一个命名空间的 pods 及 deployments)

# clusterRole.yml
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  # "namespace" 被忽略,因为 ClusterRoles 不受名字空间限制
  name: myclusterrole
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "watch", "list", "delete", "create", "update"]
- apiGroups: ["extensions", "apps"]
  resources: ["deployments"]
  verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]

在这里插入图片描述

3.2.1 RoleBinding(指定namespace授权)


RoleBinding 也可以引用 ClusterRole以将对应 ClusterRole 中定义的访问权限授予 RoleBinding 所在名字空间的资源。这种引用使得你可以跨整个集群定义一组通用的角色, 之后在多个名字空间中复用。


1)创建RoleBinding(获得 ClusterRole 制定的权限,但是只针对 RoleBinding 指定的命名空间)

# roleBinding.yml
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: rolebind-myclusterrole
  namespace:  default
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: myclusterrole
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: User
  name: test

在这里插入图片描述

2)测试权限:切换上下文为 test ,发现只针对 RoleBinding 指定的命名空间

在这里插入图片描述

3)最后切换上下文为管理员

kubectl config use-context kubernetes-admin@kubernetes

3.2.2 ClusterRoleBinding(跨集群授权)


ClusterRoleBinding:跨整个集群完成访问权限的授予

1)创建 ClusterRoleBinding

# clusterRoleBinding.yml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: clusterrolebinding-myclusterrole
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: myclusterrole
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: User
  name: test

在这里插入图片描述

2)测试权限:切换上下文为 test ,可以读取整个集群的pod权限

在这里插入图片描述

3)最后切换上下文为管理员

kubectl config use-context kubernetes-admin@kubernetes
sdsnzy_9
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
go-admin:go web api,包含gin + gorm + jwt + rbac
02-06
转到网络管理员一个Go Web Api尽可能简单的例子,包含用户,权限,菜单,JWT,RBAC(Casbin)等!表用户用户名密码角色名称菜单名称路径方法API注释目录结构conf:用于存储配置文件docs:文档sql执行命令API注释日志...
猿创征文|云原生|kubernetes学习之多账户管理--权限精细化分配方案(两种方式-sa和用户)
zsk_john的技术分享专用博客
09-06 1908
这里的set-cluster 可以任意设置,想叫什么集群名字都可以。此命令执行后会在当前目录生成test.kubeconfig这个文件。,用户名称也是前面定义的,这个不能乱写哦,要匹配。cluster 就是前面定义的集群名称。
k8s 原生安全机制
leechm的博客
09-07 1115
目录 机制说明 Authentication 安全性说明 关于证书颁发 关于kubeconfig文件 ServiceAccount Secret 与 SA 的关系 鉴权 Authorization RBAC 授权模式 RBACAPI 资源对象说明 Role and ClusterRole RoleBinding and ClusterRoleBinding Resources to Subjects 实践:创建一个用户只能管理 dev 空间 1. 首先创建一个新的用户
kubernetes--pod安全策略(podSecurityPolicy)
m0_57911290的博客
02-16 4245
Kubernetespod部署时重要的安全校验手段,能够有效地约束应用运行时行为安全。使用PSP对象定义一组pod在运行时必须遵循的条件及相关字段的默认值,只有Pod满足这些条件才会被K8s接受。PodSecurityPolicy 在 Kubernetes v1.21 被弃用, 在 Kubernetes v1.25 被移除。
大白话的方式跟你聊k8sSAUA
weixin_46403879的博客
08-01 2407
一、Service Account总结 1、service account到底是什么? 在k8s,service account是给集群的进程使用的,当集群pod/进程需要跟apiserver申请调用资源时使用时使用的;我们用户是不会去使用它的;举个很形象的例子,就像nginx服务的nginx账号一样,我们一般是不会使用su去登录它并且使用它的;如下,就能很直观的明白了: # For more information on configuration, see: # * Official
K8S认证授权准入控制(RBAC)详解
weixin_33915554的博客
04-17 825
相关推荐 本文的kubernetes环境:https://blog.51cto.com/billy98/2350660 RBAC官方文档:https://kubernetes.io/docs/reference/access-authn-authz/rbac/ 前言 RBAC (Role-Based Access Control,基于角色的访问控制)是一种新型、灵活且使用广泛的访问控制机制,它...
laravel-casbin-admin:vue-element-admin + laravel + jwt + casbin前拆分rbac鉴权权限管理系统
03-19
vue-element-admin + laravel + jwt + casbin前重新分离 rbac鉴权权限管理系统[email protected][email protected]密码: 123456使用了一下技术后台界面登录安装使用git clone ...admin.git初步环境配置····省略 cd...
论文研究-基于属性和RBAC的混合扩展访问控制模型.pdf
07-22
针对单纯的RBAC模型在动态授权、细粒度授权等方面存在的不足,将属性与RBAC相结合,并保持RBAC以角色为心的核心思想,提出了两者结合的混合扩展访问控制模型HARBAC。模型支持基于属性的用户—角色分配、角色—权限...
gin-admin:基于Gin + Gorm + Casbin + Wire的RBAC脚手架
04-29
RESTful API 设计规范 & 基于接口的编程规范基于 GIN 框架,提供了丰富的间件支持(JWTAuth、CORS、RequestLogger、RequestRateLimiter、TraceID、CasbinEnforce、Recover、GZIP)基于 Casbin 的 RBAC 访问控制...
fastapi-authz:在FastAPI使用Casbin,Casbin是功能强大且高效的开源访问控制
03-04
fastapi-authz fastapi-AuthZ的是授权间件 ,它是基于 。安装从pip安装pip install fastapi-authz 克隆此仓库git clone https://github.com/pycasbin/fastapi-authz.gitpython setup.py install快速开始该间件...
K8S-安全(认证授权准入控制)
迷雾总会解
08-26 1272
RoleBinding 同样可以引用 ClusterRole 来对当前 namespace 内用户、用户组或 ServiceAccount 进行授权,这种操作允许集群管理员在整个集群内定义一些通用的 ClusterRole,然后在不同的 namespace 使用 RoleBinding 来引用。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。...
k8s--基础--23.1--认证-授权-准入控制--介绍
zhou920786312的博客
08-15 211
对于k8s访问来讲,ssl认证能让客户端确认服务器认证身份。我们在跟服务器通信的时候,需要服务器发过来一个证书,我们需要确认这个证书是不是ca签署的,如果是我们认可的ca签署的,里面的subj信息与我们访问的目标主机信息保持一致,没有问题,那么我们就认为服务器的身份得到认证了,k8s最重要的是服务器还需要认证客户端的信息,kubectl也应该有一个证书,这个证书也是server所认可的ca签署的证书,双方需要互相认证,实现加密通信,这就是ssl认证。...
k8s--基础--23.3--认证-授权-准入控制--授权
zhou920786312的博客
08-15 600
就是给用户(Users)授予一个角色(Role),那么这个用户就有这个角色的权限。Role是有名称空间的限制的。
Kubernetes身份认证授权操作全攻略:K8s 访问控制入门
Rancher
08-14 740
随着Kubernetes被广泛使用,成为业界公认的容器编排管理的标准框架,许多开发人员以及管理员对部署、弹性伸缩以及管理容器化应用程序等Kubernetes的关键概念都十分熟悉。而对于生产部署而言,Kubernetes的安全性至关重要。因此,了解平台如何管理用户和应用程序的身份认证授权十分必要。 我们将推出一系列文章,以一种实践性的视角来了解平台内部的KubernetesPod外部用户...
k8s创建基于sa的访问凭据kubeconfig文件
学亮编程手记
08-11 1793
K8S 提供了丰富的认证授权机制,可以满足各种场景细粒度的访问控制。而访问k8s集群是需要通过认证授权准入控制三个阶段的。其常见的包括用户使用kubectl客户端工具与kube-apiserver进行交互,那么这就需要kubeconfig凭据。下面会演示如果创建权限的kubeconfig凭据访问k8s集群某个namespace下的资源。1、集群2、命名空间。...
K8s存储------(五)访问控制认证授权(RBAC)、准入控制
qq_41582883的博客
03-04 643
拉取私有仓库的镜像 (1)应用文件:kubectl apply -f pod3.yml apiVersion: v1 kind: Pod metadata: name: pod spec: containers: - name: redis-photo image: reg.westos.org/linux/redis-photon 查看pod的信息:kubectl get pod,私有仓库镜像拉取失败 查看pod的详细信息:kubectl describe pod p
Linux企业运维——Kubernetes(十三)访问控制
weixin_44310047的博客
08-23 308
Linux企业运维——Kubernetes(十三)访问控制 文章目录Linux企业运维——Kubernetes(十三)访问控制1、基本概念2、API Server认证2.1、ServiceAccount(SA)2.2、UserAccount(UA)3、授权 1、基本概念 kubernetes API 访问控制过程:认证授权准入控制 Authentication(认证认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。通常启用X509 Client C
k8s安全机制(认证授权
BushRo
03-28 2014
文章目录Kubernetes 安全机制Authentication 认证https证书认证需要认证的节点两种类型安全性说明证书颁发kubeconfigServiceAccountSecret 与 SA 的关系授权 Kubernetes 安全机制 Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部各个组件通信的介,也是外部控制的入口。所以 Kubernetes 的安全机制基本就是围绕保护 API Server 来设计的。Kubernete
k8s访问控制认证+授权+准入控制
yrx420909的博客
05-05 3124
1. kubernetes API 访问控制 由上图来介绍一下 Kubernetes API 的请求从发起到其持久化入库的一个流程。 首先看一下请求的发起,请求的发起分为两个部分: 第一个部分是人机交互的过程。 是大家非常熟悉的用 kubectl 对 apiserver 的一个请求过程; 第二个部分是 Pod 的业务逻辑与 apiserver 之间的交互。 当我们的 apiserver 收到请...
使用Spring-security+jwt+springboot+mysql+jpa或mybatisplus完成RBAC权限管理
最新发布
04-25
RBAC(Role-Based Access Control)权限管理是一种广泛使用的准则,用于控制基于角色的权限访问。它允许为用户的角色分配精细的权限,而不是管理每个用户的权限。在Spring Boot应用程序,可以使用Spring Security...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值