Kubernetes中的认证,授权,准入控制分别是什么

最新推荐文章于 2024-08-20 14:15:34 发布
最新推荐文章于 2024-08-20 14:15:34 发布
阅读量138 收藏
点赞数
文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46660849/article/details/135140433
版权

Kubernetes 中,认证(Authentication)、授权(Authorization)和准入控制(Admission Control)是三个关键的安全机制,它们共同确保了集群的安全和资源的正确使用。这三者的作用各不相同:

1. 认证(Authentication)

认证是确定用户或进程身份的过程。在 Kubernetes 中,它涉及到确认一个请求是否来自一个有效的用户。这个过程不涉及判断用户能做什么或应该有哪些权限,仅仅是确认其身份。常见的认证方法包括:

  • 静态令牌文件: 通过令牌来识别用户。
  • 客户端证书认证: 使用 TLS 客户端证书。
  • Bearer Token: 提供 OAuth2 令牌。
  • HTTP 基本认证: 使用基本的用户名和密码方法。
  • 身份验证代理: 使用外部的认证服务。

2. 授权(Authorization)

授权发生在认证之后,是决定一个已认证的用户可以执行哪些操作的过程。它基于用户的身份来决定他们可以访问哪些 Kubernetes 资源以及可以对这些资源执行哪些操作。Kubernetes 提供了多种授权机制,例如:

  • Node: 特别为 Kubernetes 节点设计的授权模式。
  • ABAC(基于属性的访问控制): 使用属性来定义访问规则。
  • RBAC(基于角色的访问控制): 通过角色来定义权限,是最常用的授权方法。
  • Webhook: 使用外部的 REST 服务来决定访问权限。

3. 准入控制(Admission Control)

准入控制器在认证和授权之后运行,是一种用于拦截、修改或拒绝对 API 的请求的机制。这些控制器可以在对象被持久化到 Kubernetes 集群的数据库之前修改或验证这些对象。它们用于执行各种策略,如资源配额、安全策略等。常见的准入控制器包括:

  • PodSecurityPolicy: 确保 Pod 符合预定义的安全策略。
  • ResourceQuota: 管理对资源的使用。
  • LimitRanger: 设置资源使用的默认或最大值。

总的来说,这三个机制共同构成了 Kubernetes 的安全架构,确保了只有合法的用户才能以合适的权限访问集群资源,同时对于这些资源的使用和修改提供了额外的策略限制和控制。

大風起雲飛揚
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
kubernetes的用户权限认证体系
01-20
kubernetes认证 我们知道任何应用的控制都需要通过一定的认证之后,我们才可以获取到应用的控制权。而此处,我们来了解k8s的认证授权是怎么做。 像一般应用,都是提供一个登陆界面,然后我们输入账号密码,登陆后,...
kubernetes-zh文手册
09-19
- **访问控制**:涉及认证、RBAC授权准入控制等方面。 - **Scheduler扩展**:允许用户扩展默认的调度程序。 - **网络插件**:如CNI、Flannel、Calico等不同的网络解决方案。 - **运行时插件CRI**:如CRI-tools、...
Kubernetes认证准入控制
qq42004的博客
04-13 778
让一个用户(Users)扮演一个角色(Role),角色拥有权限,从而让用户拥有这样的权限,随后在授权机制当,只需要将权限授予某个角色,此时用户将获取对应角色的权限,从而实现角色的访问控制。当采用RBAC的方式进行授权时,把对对象(k8s的资源一类)的操作权限定义到一个角色当,再将用户绑定到该角色,从而使用户得到对应角色的权限。如果是通过rolebinding绑定role,只能对rolebingding所在的名称空间的资源有权限,属于名称空间级别的。
Kubernetes 安全机制 认证 授权 准入控制
低温热源的博客
08-20 534
Role 受命名空间的影响,只能在指定的命名空间操作资源ClusterRole 默认能够在K8S集群所有的命名空间操作资源,不要配置 namespace如果使用 RoleBinding 绑定 ClusterRole,仍会受到命名空间的影响;如果使用 ClusterRoleBinding 绑定 ClusterRole, 将会作用于整个 K8S 集群。Role (受限命名空间)+ RoleBinding(受限命名空间)
Kubernetes_认证授权_初识认证授权
毛毛的专栏
03-12 671
UserAccount、ServiceAccount、RBAC的关系
k8s笔记八(kubernetes认证授权准入控制
热门推荐
dayi_123的博客
05-24 1万+
1、k8s的访问控制 API server作为kubernetes集群系统的网关,是访问及管理资源对象的唯一入口,而其他所有的组件及kubectl命令都要经由此网关进行集群的访问和管理。而各组件及客户端每一次的访问请求都要有api server进行合法性校验,包括身份鉴别、操作权限验证等。所有的检查通过之后才能访问或存入数据于后端的etcd。客户端的认证操作是由api ser...
kubernetes认证授权准入控制
cbmljs的博客
11-07 964
1 总述 1 概述 kubernetes 的资源访问类型有两种,一种是由POD提供的服务资源,其可通过service或 ingress提供接口以供外部访问,这种访问不需要经过API server的认证,而另一种对集群内部资源的操作则需要经过一定的认证授权操作才能完成。 2 认证授权准入控制概述 1 概述 任何客户端在操作相关资源对象时必须经过三个步骤: 认证: 身份鉴别,正确...
Kubernetes 身份认证授权准入控制
CSDN1154366625的专栏
05-09 2068
Kubernetes 身份认证授权准入控制 API Server作为Kubernetes网关,是访问和管理资源对象的唯一入口,其各种集群组件访问资源都需要经过网关才能进行正常访问和管理。每一次的访问请求都需要进行合法性的检验,其包括身份验证、操作权限验证以及操作规范验证等,需要通过一系列验证通过之后才能访问或者存储数据到etcd当。如下图: ServiceAccount Servic...
kubernetes API 访问控制之:准入控制
看,未来的博客
06-02 746
可以使用kubectl、客户端库方式对REST API的访问,Kubernetes的普通账户和Service帐户都可以实现授权访问API。API的请求会经过多个阶段的访问控制才会被接受处理,其包含认证授权以及准入控制(Admission Control)等。如下图所示: 需要注意:认证授权过程只存在HTTPS形式的API。也就是说,如果客户端使用HTTP连接到kube-apiserver,是不会进行认证授权的。所以说,可以这么设置,在集群内部组件间通信使用HTTP,集群外部就使用HTTPS,这样既增加
Kubernetes APIServer 准入控制
小楼一夜听春雨,深巷明朝卖杏花
07-14 708
作为多租户集群方案的一环,我们需要在namespace的准入控制,获取用户信息,并将用户信息更新的namespace的annotation。只有当namespace有有效用户信息时,我们才可以在namespace创建时,自动绑定用户权限,namespace才可用。准入控制通常有两种主要的目的,一个是你给了我request,这个request长的这个样子,是你填的所有的属性,但是我从平台的一个层面,我希望给它添加一些附加属性。......
kubernetes集群安全——认证、鉴权、准入控制
m0_37642477的博客
03-03 2792
机制说明 Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部 各个组件通信的介,也是外部控制的入口。所以 Kubernetes 的安全机制基本就是围绕保护 API Server 来设计 的。Kubernetes 使用了认证Authentication)、鉴权(Authorization)、准入控制(Admission Control)三步来保证API Server的安全。 认证(Authentication) HTTP Token
17+18+19+20、认证+鉴权+准入控制+HEML-V2.pdf
10-11
综上所述,Kubernetes认证、鉴权和准入控制机制构成了一个强大的安全框架,确保了集群内资源的安全管理。通过理解并正确配置这些机制,可以有效地保护Kubernetes环境,防止未经授权的访问和潜在的安全威胁。
kubernetes基础入门
09-27
- **4.2.3 准入控制**: 控制对象创建和修改的行为。 **4.3 Scheduler扩展** - **4.3.1 自定义调度器**: 扩展默认的调度器行为。 **4.4 网络插件** - **4.4.1 CNI**: 容器网络接口规范。 - **4.4.2 Flannel**: 一...
kubernetes 源码分析.pdf
12-13
apiserver service的实现包括认证授权准入控制以及资源存储的管理。apiserver还处理watch请求,提供实时资源变化的通知。 2. **Controller Manager**: 控制器是Kubernetes的核心组件,它们是无状态的后台进程...
Kubernetes】k8s集群之包管理器Helm
F12138X的博客
08-16 951
时间是由分秒积成的,善于利用零星时间的人,才会做出更大的成绩来
2024-07-12 - 基于 sealos 部署高可用 K8S 管理系统
最新发布
weixin_36532747的博客
08-20 368
Sealos 是一款以 Kubernetes 为内核的云操作系统发行版。它以云原生的方式,抛弃了传统的云计算架构,转向以 Kubernetes 为云内核的新架构,使企业能够像使用个人电脑一样简单地使用云。selaos 可以快速的完成 K8s 集群的搭建和部署用于产品的快速交付,但是需要具备一定的代码研发能力可以足够掌握软件运行的细节并且结合实际的业务需求进行开发。
Kubernetes】k8s集群图形化管理工具之rancher
F12138X的博客
08-16 1075
成功离你很近,只要再多一点点坚持,你就会尝到胜利的果实
k8s笔记——资源对象
e891377的专栏
08-20 723
以下列举的内容都是 Kubernetes 的对象(Object),这些对象都可以在 YAML 文件作为一种 API 类型来配置。
认证 鉴权 准入控制Kubernetes 集群安全认证机制说明及https证书认证
作为一个文件,"17 18 19 20、认证 鉴权 准入控制 HEML-V2.pdf"是关于Kubernetes集群安全认证的内容。该文件总结了认证机制的说明和Authentication认证的细节。其提到了三种认证介绍,包括HTTPS证书认证和需要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值