Kubernetes第十三曲 安全机制

已于 2022-03-18 09:22:01 修改
阅读量203 收藏
点赞数
分类专栏: kubernetes 文章标签: kubernetes
于 2021-08-27 14:37:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51431591/article/details/119951524
版权
本文深入探讨了Kubernetes的安全框架,包括认证(HTTPS证书、Token、HTTP Base)、授权(RBAC)和准入控制。通过Service Account详细解析了Pod的访问方式,并通过实例展示了如何创建命名空间、Role、RoleBinding以及使用RBAC进行权限控制。
摘要由CSDN通过智能技术生成

Kubernetes第十三曲 安全机制


kubernetes的安全框架
传输安全,认证,授权,准入控制
使用RBAC授权

一、kubernetes安全框架

三层:认证,授权,绑定角色

第一关是认证(authentication),第二关是授权(authorization),第三关是准入控制(admission control)

1.1 、结构分析:

kubectl、API、UI ,是访问管理K8S的方式,api用于二次开发时调用,https协议,6443端口

在kubectl处提交需求,请求调用/api/v1、/apis、/healthz等,然后经过安全框架

安全框架有认证(authentication),验证身份,使用【用户名密码】或者【token令牌】验证

授权(authorization),绑定权限,授权过程,分配到指定空间中

准入控制(admission control),空间准入控制,可以使用下面哪些资源,调用哪些插件

使用插件前先与etcd去验证,查看etcd是否授权,若是允许,会执行,并将操作记录到etcd中
在这里插入图片描述

1.2 、工作流程:

kubectl 首先请求api资源,然后是过三关,第一关是认证(authentication),第二关是授权(authorization),第三关是准入控制(admission control),只有通过这三关才可能会被K8S创建资源

K8s安全控制框架主要由下面三个阶段进行控制,每一个阶段都支持插件方式,通过API Server配置来启用插件

普通用户若要安全访问集群api server,往往需要证书、token或者用户名+密码验证;

pod访问,需要serivceaccount

第一步:对客户端访问进行认证操作,确认是否具有访问k8s权限
    token(共享秘钥)
    SSL(双向SSL认证)
通过任何一个认证即表示认证通过,进入下一步

第二步:授权检查,确认是否对资源具有相关的权限
    ABAC(基于属性的访问控制)
    RBAC(基于角色的访问控制)
    NODE(基于节点的访问控制)
    WEB HOOK(自定义HTTP回调方法的访问控制)

第三步:准入控制(对操作资源相关联的其他资源是否有权限操作)

1.2.1、Service Account详解

https://github.com/kubernetes/kubernetes/blob/release-1.0/examples/cassandra/java/src/io/k8s/cassandra/KubernetesSeedProvider.java#L101
Service Account  Kubernetes 用于集群内运行的程序,进行服务发现时调用 API 的帐号,帐号的 token 会直接挂载到 Pod 中,可以供程序直接使用。
Service account是为了方便Pod里面的进程调用Kubernetes API或其他外部服务而设计的。它与User account不同
  1.User account是为人设计的,而service account则是为Pod中的进程调用Kubernetes API而设计;
  2.User account是跨namespace的,而service account则是仅局限它所在的namespace;
  3.每个namespace都会自动创建一个default service account
  4.Token controller检测service account的创建,并为它们创建secret
  5.开启ServiceAccount Admission Controller后
       .每个Pod在创建后都会自动设置spec.serviceAccount为default(除非指定了其他ServiceAccout)
    .验证Pod引用的service account已经存在,否则拒绝创建
    .如果Pod没有指定ImagePullSecrets,则把service account的ImagePullSecrets加到Pod中
    .每个container启动后都会挂载该service account的token和ca.crt到/var/run/secrets/kubernetes.io/serviceaccount/

#apiserver使用的是token认证
[root@localhost demo]# ps aux | grep apiserver
...
--token-auth-file=/opt/kubernetes/cfg/token.csv 
...

#可以通过ServiceAccount在pod中去访问apiserver
[root@localhost demo]# kubectl get sa
NAME      SECRETS   AGE
default   1         22d
传输安全:告别8080,迎接6443

#默认8080监听本地(是通过master及其他组件连接使用)
[root@localhost demo]# netstat -natp | grep 8080 | grep LISTEN
tcp        0      0 127.0.0.1:8080          0.0.0.0:*               LISTEN      831/kube-apiserver  

#对外提供服务端口是6443
[root@localhost demo]# netstat -natp | grep 6443 | grep LISTEN
tcp        0      0 192.168.221.70:6443    0.0.0.0:*               LISTEN      831/kube-apiserver

二、第一模块:认证

三种客户端身份认证:

  • HTTPS 证书认证:基于CA证书签名的数字证书认证
  • HTTP Token认证:通过一个Token来识别用户(生产环境中使用广泛)
  • HTTP Base认证:用户名+密码的方式认证

2.1、https证书认证

[root@localhost demo]# cat /root/k8s/k8s-cert/k8s-cert.sh 
{
   
    "CN": "kubernetes",
    "hosts": [
      "10.0.0.1",
      "127.0.0.1",
      "192.168.221.70",
最低0.47元/天 解锁文章
这小子贼帅
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
K8S之安全机制(角色授权)
Gengchenchen的博客
05-23 853
文章目录一、安全机制(一)、Service Account详解(二)、apiserver使用的是token认证二、第一模块:认证(一)、https证书认证(二)、httpd的token认证三、第二模块:授权四、第三模块:准入控制 一、安全机制 1.kubernetes安全框架 2.传输安全,认证,授权,准入控制 3.使用RBAC授权 1)kubernetes安全框架 流程:kubectl先请求api资源,然后是过三关,第一关是认证(Authentication),第二关是授权(Authorization
kubernetes 集群内访问k8s API服务
weixin_30950887的博客
05-13 463
所有的 kubernetes 集群中账户分为两类,Kubernetes 管理的 serviceaccount(服务账户) 和 useraccount(用户账户)。基于角色的访问控制(“RBAC”)使用“rbac.authorization.k8s.io”API 组来实现授权控制,允许管理员通过Kubernetes API动态配置策略。 API Server 内部通过用户认证后,然后进入授权流...
kubernetes基于角色授权
weixin_33737134的博客
03-20 231
网上很少有地方涉及到在角色授权时,如何对User Group授权。我们都知道在做角色绑定的时候,会有kind: User,kind: Group,但是实际上,Kubernetes并没有提供User、Group资源创建接口,那这两个怎么使用呢?下面以一个实例来说明一下前提条件:kube-apiserver必须是运行在安全端口模式下,这里基于CA根证书签名的双向数字证书认证方式。...
spring-cloud-kubernetes k8s环境下微服务调试
06-29 3730
安装 Windows Subsystem for Linux 安装适用于 Linux 的 Windows 子系统 注:一定要升级到19041 内核以后版本 winver 用易升升级要是购买的激活码不影响升级 以管理员身份打开 PowerShell C:\WINDOWS\System32\WindowsPowerShell\v1.0 或者shift + 右键桌面选择 执行 dism.exe /online /enable-feature /featurename:Microsoft-Windows-Sub
2021年最新Kubernetes中文加固手册.pdf
09-30
手册共分为十三个部分,涵盖了Kubernetes安全的方方面面,包括 Pod 安全、网络隔离、认证和授权、日志审计、升级和应用安全实践等。 第一部分为简介,介绍了Kubernetes安全的重要性和挑战性,并对Kubernetes安全...
云上安全攻防实战手册.pdf
10-19
《云上安全攻防实战手册》是一本专门针对云上安全攻防的实战手册,涵盖了元数据服务、对象存储服务、Kubelet 访问控制机制安全漏洞等多个方面的安全挑战和防御策略。本手册是基于腾讯安全 20 余年的网络攻防实战...
HCIP-cloud 云计算H13-527.zip
08-01
这个压缩包包含三份文档:`HCIP-H13-527-云计算.pdf`、`HCIP-CLOUD第一部分.pdf`以及`HCIP-CLOUD第二部分.pdf`,这些文件详细阐述了云计算领域的关键知识点,旨在帮助考生全面理解并准备HCIP-H13-527考试。...
从无到有构建大型电商微服务架构(第二阶段.zip
09-27
13. **安全性考虑**:包括OAuth2认证授权、JWT令牌验证、HTTPS加密通信等,保护用户数据安全和系统安全。 14. **负载均衡与容错**:使用Zuul或Spring Cloud Gateway实现客户端和服务端的负载均衡,结合Hystrix实现...
在 kubectl 中使用 Service Account Token
Kubernetes中文社区
08-24 2736
在运行基于 Kubernetes 的 CI/CD 过程中,经常有需求在容器中对 Kubernetes 的资源进行操作,其中隐藏的安全问题,目前推荐的最佳实践也就是使用 Service Account 了。而调试账号能力的最好方法,必须是 kubectl 了。下面就讲讲如何利用 kubectl 引用 Servie Account 凭据进行 Kubernetes 操作的方法。 这里用 def
【错误解决】kubectl权限不够,报错:User “kubernetes“ cannot create resource “clusterrolebindings“ in API group “rb
weixin_42072280的博客
03-11 8280
错误: kubectl --server=https://192.168.56.169:6443 create clusterrolebinding kubernetes --clusterrole=cluster-admin --user=kubernetes 报错信息: error: failed to create clusterrolebinding: clusterrolebindings.rbac.authorization.k8s.io is forbidden: User "kubern
kubernets---kubernetes-client的使用--java中提交argo工作流
热门推荐
直到世界的尽头
03-08 1万+
转载请注明出处:java中提交argo工作流 背景 argo是一个建立在k8s框架之上的工作流调度工具。 详见 工作流workflow任务调度工具argo 需求是通过api来进行argo的调度脚本提交,不通过shell的手动提交方式。 方案思路 argo的提交 通过argo sumbit命令如下: argo submit --watch https://raw.githubusercontent....
ServiceAccount深度解析
最新发布
qq_61039408的博客
08-07 1044
这里在default名称空间创建了一个serviceaccount为admin,可以看到已经自动生成了一个Tokens:admin-token-j7n8j,下面展示如何使用自定义的serviceaccount在K8S集群当中,每一个用户对资源的访问都是需要通过apiserver进行通信认证才能进行访问的,那么在此机制当中,对资源的访问可以是token,也可以是通过配置文件的方式进行保存和使用认证信息,kubectl命令行工具使用kubeconfig文件来查找选择群集并与群集的APIserver进行通信。
k8s之service account
fengcai_ke的博客
07-11 3543
k8s service account分析
Kubernetes中使用Node授权
Kubernetes中文社区
09-20 2357
Node授权是一种特殊授权模式,专门授权由kubelet访问的API请求。 概述 Node授权器允许kubelet执行的API操作包括: 读: servicesendpointsnodespodssecrets, configmaps, persistent volume claims and persistent volumes related to pods bound
k8s node的隔离与恢复
liao__ran的博客
08-31 2114
k8s node的隔离与恢复 使用于node的硬件升级和维护,让node脱离k8s的调度范围 进行隔离时,只隔离了node,该node上运行的pod并不会自动停止,需要手动停止 1.使用yaml文件进行隔离和恢复调度(可能系统会报错,不允许进行隔离) 隔离: vim unschedule_node.yaml apiVersion: v1 kind: Node metadata: name...
浅识k8s中的准入控制器
weixin_40418457的博客
07-04 1667
背景 在 k8s中各组件和kube apiserver通信时的认证和鉴权 中提到"NodeRestriction准入插件",实际上它是一个"准入控制器"。 "准入控制器"是一个重要的概念,在istio、apisix、某些安全产品中都有用到。 本文简要记录一下以下内容: "准入控制器"是什么 怎么开启"准入控制器" 从源码浅析"准入控制器" 本文使用的k8s集群是用kubekey搭建,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值