k8s中kubelet接口的认证和授权

最新推荐文章于 2024-07-06 09:09:03 发布
最新推荐文章于 2024-07-06 09:09:03 发布
阅读量1.4k 收藏 2
点赞数
分类专栏: k8s 文章标签: kubelet kubernetes docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47729423/article/details/126279816
版权

出于监控的目的,需要获取k8s中pod的CPU以及内存使用率等指标,经过了解发现需要调用kubelet的指标接口去获取相应信息。然而调接口时发现得认证和授权,下面说明一下kubelet接口认证授权的过程。
默认情况下,没有携带身份凭证的匿名请求会被认证为用户system:anonymous以及组system:unauthenticated。如果要拒绝将匿名请求认证为以上的用户与组,配置kubelet的如下启动参数,那么匿名请求就会认证失败

authentication:
  anonymous:
    enabled: false

kubelet的认证方法与apiserver相似,有client证书认证及token认证。
开启client认证和token认证需要做如下配置

authentication:
  webhook:
    enabled: true
  x509: 
    clientCAFile: /xxxx.crt

以上配置表示开启了token认证以及X509证书认证。如果两个都开启,只需要一个验证通过即可。
当采用证书认证的方式时,需要一个ca.crt来验证apiserver的证书,还需要携带一个client.crt来表明自已的身份。在实际中,客户端还需要携带client.key。举例如下,

curl https://localhost:10250/metrics --cacert /etc/kubernetes/pki/ca.crt --cert /etc/kubernetes/pki/apiserver-kubelet-client.crt --key /etc/kubernetes/pki/apiserver-kubelet-client.key

除了认证之外,还需要进行授权。
kubelet的默认授权模式为AlwaysAllow,所有通过认证的请求(包括通过认证的匿名请求)有权限访问kubelet所有的API。这显然是不合理的,所以我们需要像apiserver那样对不同的请求赋予不同的权限。
kubelet通过如下的方法把授权委托给apiserver:
在apiserver中开启authorization.k8s.io/v1beta1这个API组
配置kubelet的启动参数

authorization:
  mode: Webhook

然后kubelet就会通过apiserver的SubjectAccessReviewAPI来决定是否给每一个请求授权。kubelet与apiserver的API不一样,当访问kubelet的API时,kubelet需要把这个API映射到apiserver的API,apiserver才知道该授予怎样的权限。kubelet与apiserver的资源映射如下。比如A用户访问kubelet的Get /healthz,那么会映射为apiserver的Get /api/v1//nodes//proxy,然后kubelet会通过apiserver的SubjectAccessReview判断A用户是否有权限访问apiserver对应的API

kubelet APIresourcesub-resource
/stats/*nodesstats
/metrics/*nodesmetrics
/logs/*nodeslogs
/spec/*nodesspec
all othersnodesproxy

下面以token认证授权为例。
首选需要创建一个sa

kubectl create sa kubelet-test

创建clusterrole

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: kubelet-test
rules:
- apiGroups:
  - ""
  resources:
  - nodes/metrics
  verbs:
  - get

接着绑定权限

Kubectl create clusterrolebinding kubelet-test --clusterrole=kubelet-test --serviceaccount=default:kubelet-test

现在就可以获取认证授权的token了。

kubectl describe secret kubelet-test-xxxx

当客户端使用该认证方式来发起请求的时候,需在Header参数中添加以下字段

Authorization: Bearer <token>

测试如下:

curl https://localhost:10250/metrics "Authorization: Bearer XXXXXX" -k
dgbstarsky
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
云安全—kubelet授权
qq_50854662的博客
10-18 517
云安全—kubelet授权
如何访问kubelet API接口
丰年留客的专栏
01-11 864
如何访问kubelet的API接口
云上攻防-云原生篇&Kubernetes&K8s安全&API&Kubelet授权访问&容器执行
最新发布
qq_53058639的博客
07-06 846
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。其核心的特点就是能够自主的管理容器来保证云平台的容器按照用户的期望状态运行着,管理员可以加载一个微型服务,让规划器来找到合适的位置,同时,Kubernetes在系统提升工具以及人性化方面,让用户能够方便的部署自己的应用。
深入理解kubelet认证授权
徒行沙漠
01-31 2387
参考官网说明文档:https://kubernetes.io/zh/docs/reference/command-line-tools-reference/kubelet/ 在通过kubectl访问pod信息,例如执行kubectl logs,常常会遇到类似如下错误: [root@master01 ssl]# kubectl logs nginx-deployment-6b474476c4-gdbdn Error from server: Get https://172.31.3.205:10250/
kubelet-api接口-一图流
a1023934860的博客
07-03 193
kubelet的api接口的使用,以及各个含义
k8s】9、安全认证
努力充实,远方可期
06-20 423
第九章 安全认证 本章节主要介绍Kubernetes的安全认证机制。 访问控制概述 ​ Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。所谓的安全性其实就是保证对Kubernetes的各种客户端进行认证和鉴权操作。 客户端 在Kubernetes集群,客户端通常有两类: User Account:一般是独立于kubernetes之外的其他服务管理的用户账号。 Service Account:kubernetes管理的账号,用于为Pod的服务进程在访问K
kube-apiserver 报错 Unable to authenticate the request“ err=“[x509: certificate signed by unknown ...
rockstics的博客
02-11 7544
问题描述: 采用ansible 二进制方式部署kubernetes, 部署完成后kubectl get node 节点状态 NotReady kubectl get pod -n kube-system 发现 calico 处于 Pending 状态 查看pod日志 kubectl logs -f calico-node-7fw9h -n kube-system 报错为: Authorization error (user=kubernetes, verb=get, resource=nodes,
K8s-cks必备技能攻略
02-07
用户认证授权体系(RBAC)是指在K8s集群对用户进行认证授权的机制,可以根据用户的角色和权限来控制用户对K8s集群的访问权限。 CNI网络介绍: CNI(container network interface)是容器网络接口,它是一种...
k8s入门介绍,k8s多master多noede安装部署教程
07-28
是整个系统的对外接口,提供资源操作的唯一入口,供客户端和其它组件调用,提供了k8s各类资源对象(pod,deployment,Service等)的增删改查,是整个系统的数据总线和数据心,并提供认证授权、访问控制、API注册和...
Kubernetesk8s)面试题.pdf
05-10
### Kubernetesk8s)面试题详解 #### 一、基础知识 ...以上概述了Kubernetesk8s)面试题提到的基础、级和高级知识点,希望能够帮助读者更好地理解和掌握Kubernetes的相关概念和技术细节。
青云高效运维k8s集群.pdf
10-18
文档提到的常见故障包括Pod状态异常、容器网络问题、节点异常、基础网络异常和k8s组件异常等。为了解决这些故障,需要按顺序进行排查,比如检查Pod状态是否正常、容器网络是否正常、DNS和kube-proxy服务是否正常、...
k8s二进制安装资源包
02-18
Kubernetes(简称k8s)是Google开源的一款容器编排系统,用于自动化容器化应用程序的部署、扩展和管理。本文将详细解析"K8s二进制安装资源包"的核心概念,以及如何进行二进制方式安装Kubernetes。 在二进制安装...
Kubernetes Kubelet 相关知识整理
weixin_39873598的博客
10-18 798
Kubelet是运行在每个节点上面,接收Api server 发来的pod修改/新增/删除等操作,并且监听节点状态、pod的状态、管理镜像等等。
prometheus获取kubelet接口监控数据
ApexPredator的博客
10-17 1485
prometheus获取kubelet接口监控数据
[k8s] kubelet 10250端口漏洞
onlyellow的博客
11-23 7616
最近服务器cpu又跑了100%, 卡的不行。一查发现是/tmp/docker 这个进程 Google一下,挖矿木马 蛋疼的一笔。物理服务器没有入侵痕迹,检查下进程是从容器内映射到物理服务器上的 然后检查容器,初步怀疑是容器登录账号泄露导致入侵。 杀掉挖矿进程后,修改容器登录密码,第二天依然被入侵。 继续Google,发现可能是kubelet 10250溢出漏洞导致任意代码远程执行。 链...
部署Node节点 配置kubelet证书自动申请 CSR、审核及自动续期
码农崛起
02-09 4665
apiserver 预先放置 token.csv,内容样例如下,master节点的token格式 id,用户名,编号,组 [root@localhost cfg]# cat token.csv d3f6263fa65e375967541947834b3988,kubelet-bootstrap,10001,"system:kubelet-bootstrapper" 允许 kubelet-bootstrap 用户创建首次启动的 CSR 请求 和RBAC授权规则 kubectl create ...
k8s二进制安装—kubelet证书过期
屈帅波的技术博客
12-25 2156
一.第一种解决方法 1.修改kube-controller-manager.service添加或者修改如下内容 –experimental-cluster-signing-duration=87600h \ 然后执行以下命令重启kube-controller-manager systemctl daemon-reload systemctl restart kube-controller-...
k8s 证书过期的处理方法(k8s v13.4)
Juwenzhe_HEBUT的博客
07-11 707
k8s 证书过期的处理方法(k8s v13.4) kubeadm安装的k8s集群有一个证书问题,证书的有效期为一年,过期的话kubectl命令就会异常。解决办法如下: 查看证书是否有效: # sudo openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text |grep ’ Not ' 输出: Not Before: May 24 03:32:37 2019 GMT Not After : May 23 03:32:38 2020 GMT
kubelet.crt 过期了,集群竟然还能正常运行?揭秘背后的秘密!
Tommy Xiao
05-18 97
我们在搭建 Kubernetes 集群时,一般只声明用于集群 Master、Etcd等通信的证书 为 10年 或者 更久,但未声明集群 Kubelet 组件证书 ,Kubelet 组件证书 默认有效期为1年。集群运行1年以后就会导致报 certificate has expired or is not yet valid 错误,导致集群 Node不能和集群 Master正常通信。那么这个 kubelet.crt 是干啥的?它是 kubelet 本地端口需要的证书。
K8s如何实现授权认证
05-23
Kubernetes (K8s) 提供了多种身份验证和授权机制,包括基于令牌、基于证书、基于 OpenID Connect 等。以下是 K8s认证授权机制: 1. 基于令牌的认证K8s 使用令牌进行用户身份验证。用户可以使用用户名和密码向 K8s 集群请求令牌,该令牌可用于后续请求的身份验证。 2. 基于证书的认证K8s 还支持使用证书进行身份验证。集群管理员可以在集群生成证书,然后将证书分发给用户,让其用于身份验证。这种方法更加安全,因为证书可以被撤销。 3. OpenID Connect 认证K8s 还支持 OpenID Connect,这是一种基于 OAuth 2.0 的身份验证协议。它使得用户可以使用 Google、GitHub 等身份提供者进行身份验证,并获取到一个令牌,用于后续请求的身份验证。 在授权方面,K8s 提供了以下授权机制: 1. 基于角色的访问控制 (RBAC):K8s 的 RBAC 允许管理员为不同的用户或用户组分配不同的角色。角色定义了用户或用户组可以访问的资源和操作。 2. 基于节点的访问控制 (NBAC):NBAC 允许管理员为不同的节点分配不同的角色。角色定义了节点可以访问的资源和操作。 3. 基于命名空间的访问控制 (NSAC):NSAC 允许管理员为不同的命名空间分配不同的角色。角色定义了命名空间可以访问的资源和操作。 4. 基于 Webhook 的授权:Webhook 允许管理员将授权决策交给外部服务来进行。这种方法比较灵活,因为管理员可以根据需要进行自定义授权
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值