kubernetes 认证授权

最新推荐文章于 2024-07-22 14:17:37 发布
最新推荐文章于 2024-07-22 14:17:37 发布
阅读量90 收藏
点赞数
分类专栏: kubernetes 文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_56744753/article/details/134295246
版权

目录

一、kubernetes API访问控制

二、pod绑定sa

三、认证

四、授权

一、kubernetes API访问控制

  • Authentication(认证
  • 认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式
  • Kubernetes集群有两类用户:由Kubernetes管理的Service Accounts (服务账户)和(Users Accounts) 普通账户。k8s中账号的概念不是我们理解的账号,它并不真的存在,它只是形式上存在。
  • Authorization(授权
  • 必须经过认证阶段,才到授权请求,根据所有授权策略匹配请求资源属性,决定允许或拒绝请求。授权方式现共有6种,AlwaysDeny、AlwaysAllow、ABAC、RBAC、Webhook、Node。默认集群强制开启RBAC。
  • Admission Control(准入控制
  • 用于拦截请求的一种方式,运行在认证、授权之后,是权限认证链上的最后一环,对请求API资源对象进行修改和校验
  • 访问k8s的API Server的客户端主要分为两类
  • kubectl用户家目录中的 .kube/config 里面保存了客户端访问API Server的密钥相关信息,这样当用kubectl访问k8s时,它就会自动读取该配置文件,向API Server发起认证,然后完成操作请求
  • pod:Pod中的进程需要访问API Server,如果是人去访问或编写的脚本去访问,这类访问使用的账号为:UserAccount;而Pod自身去连接API Server时,使用的账号是:ServiceAccount,生产中后者使用居多
  • kubectl向apiserver发起的命令,采用的是http方式,其实就是对URL发起增删改查的操作
  • $ kubectl  proxy --port=8888 &
  • $ curl http://localhost:8888/api/v1/namespaces/default
  • $ curl http://localhost:8888/apis/apps/v1/namespaces/default/deployments
  • 以上两种api的区别是
  • api它是一个特殊链接,只有在核心v1群组中的对象才能使用。
  • apis 它是一般API访问的入口固定格式名
  • UserAccountserviceaccount
  • 用户账户是针对人而言的服务账户是针对运行在 pod 中的进程而言的
  • 用户账户是全局性的其名称在集群各 namespace 中都是全局唯一的,未来的用户资源不会做 namespace 隔离服务账户是 namespace 隔离的
  • 通常情况下,集群的用户账户可能会从企业数据库进行同步,其创建需要特殊权限,并且涉及到复杂的业务流程服务账户创建的目的是为了更轻量,允许集群用户为了具体的任务创建服务账户 ( 即权限最小化原则 )。

二、pod绑定sa

创建serviceaccount:

kubectl create sa admin

 绑定:

vim pod.yaml

apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  serviceAccountName: admin
  containers:
    - name: nginx
      image: nginx

三、认证

cd /etc/kubernetes/pki/
openssl genrsa -out test.key 2048
openssl req -new -key test.key -out test.csr -subj "/CN=test"
openssl  x509 -req -in test.csr -CA ca.crt -CAkey ca.key  -CAcreateserial -out test.crt -days 365
kubectl config set-credentials test --client-certificate=/etc/kubernetes/pki/test.crt --client-key=/etc/kubernetes/pki/test.key --embed-certs=true
kubectl config set-context test@kubernetes --cluster=kubernetes --user=test
kubectl config view

切换用户(默认用户没有任何权限,需要授权

kubectl config use-context test@kubernetes

切回admin

kubectl config use-context kubernetes-admin@kubernetes

vim roles.yaml

kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: default
  name: myrole
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "watch", "list", "create", "update", "patch", "delete"]

---
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: test-read-pods
  namespace: default
subjects:
- kind: User
  name: test
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: myrole
  apiGroup: rbac.authorization.k8s.io

kubectl apply -f roles.yaml
kubectl run demo --image nginx
kubectl get pod

四、授权

  • RBAC(Role Based Access Control):基于角色访问控制授权
  • 允许管理员通过Kubernetes API动态配置授权策略。RBAC就是用户通过角色与权限进行关联
  • RBAC只有授权,没有拒绝授权,所以只需要定义允许该用户做什么即可
  • RBAC包括四种类型:Role、ClusterRole、RoleBinding、ClusterRoleBinding

 

  • RBAC的三个基本概念
  • Subject:被作用者,它表示k8s中的三类主体, user, group, serviceAccount
  • Role:角色,它其实是一组规则,定义了一组对 Kubernetes API 对象的操作权限
  • RoleBinding:定义了“被作用者”和“角色”的绑定关系
  • Role 和 ClusterRole
  • Role是一系列的权限的集合,Role只能授予单个namespace 中资源的访问权限
  • ClusterRole 跟 Role 类似,但是可以在集群中全局使用
  • RoleBinding和ClusterRoleBinding
  • RoleBinding是将Role中定义的权限授予给用户或用户组。它包含一个subjects列表(users,groups ,service accounts),并引用该Role
  • RoleBinding是对某个namespace 内授权,ClusterRoleBinding适用在集群范围内使用

 示例:

vim roles.yaml

kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: default
  name: myrole
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "watch", "list", "create", "update", "patch", "delete"]

---
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: test-read-pods
  namespace: default
subjects:
- kind: User
  name: test
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: myrole
  apiGroup: rbac.authorization.k8s.io

---
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: myclusterrole
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "watch", "list", "delete", "create", "update"]
- apiGroups: ["extensions", "apps"]
  resources: ["deployments"]
  verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]

---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding						#RoleBinding必须指定namespace
metadata:
  name: rolebind-myclusterrole
  namespace:  default
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: myclusterrole
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: User
  name: test

---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding				#ClusterRoleBinding全局授权,无需指定namespace
metadata:
  name: clusterrolebinding-myclusterrole
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: myclusterrole
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: User
  name: test


kubectl apply -f roles.yaml
kubectl config use-context test@kubernetes
kubectl config use-context kubernetes-admin@kubernetes
kubectl delete -f roles.yaml
kubectl config delete-user test
kubectl config delete-context test@kubernetes

 

Mlul392
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Go-GuardbyAppsCode是一个Kubernetes认证WebHook服务器
08-14
Go-Guard by AppsCode 是一个专门针对 Kubernetes 集群安全和认证的 WebHook 服务器。这个工具的主要目的是扩展 Kubernetes认证流程,确保只有经过验证的用户和应用程序能够访问集群资源。通过使用自定义 WebHook...
2、Kubernetes 集群安全 - 认证1
08-04
Kubernetes集群中,安全是至关重要的,特别是对于认证机制,它是确保只有授权的实体能够访问和操作资源的关键。本文将详细阐述Kubernetes集群安全中的认证机制,主要关注HTTP Base认证、HTTP Token认证以及HTTPS...
Kubernetes 认证授权
IoTHub - 物联网开源技术社区
02-02 827
Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。所谓的安全性其实就是保证对Kubernetes的各种 客户端 进行 认证和鉴权 操作。
kubernetes认证授权
班婕妤
04-15 2049
访问控制 Kubernetes API的每个请求都会经过多阶段的访问控制之后才会被接受,这包括认证授权以及准入控制(Admission Control)等。 认证->授权->准入控制(adminationcontroller) 认证kubernetes中,在集群开启TLS后,客户端发往Kubernetes的所有API请求都需要进行认证, 以验证用户的合法性。 Kubernetes支持多种认证机制,并支持同时开启多个认证插件(只要有一个认证通过即可)。如果认证成功,则用户的us
Kubernetes认证授权简介
weixin_56561688的博客
05-04 323
作为一个Kubernetes用户,我们需要定期审查和更新RBAC策略,限制kubelet端口的访问权限,添加认证授权的插件以及使用TLS加密通信等措施来保障集群安全。另外,我们还强调了安全意识的重要性,并希望通过本文的介绍,能够增强大家对Kubernetes安全的重视,更加注重集群的安全性。在本文中,我们将简要介绍Kubernetes认证授权,并提供一些常见的安全问题和对策。在这个快速发展的云时代,Kubernetes因其强大的功能和可靠的性能,成为了越来越多企业所选择的容器编排平台。
Kubernetes认证授权
qq904748592的博客
01-27 2034
k8s集群搭建的认证以及授权
Kubernetes_认证授权_初识认证授权
毛毛的专栏
03-12 622
UserAccount、ServiceAccount、RBAC的关系
Kubernetes 认证授权服务
qfa_885的博客
09-05 164
kubernetes众多组件中?它们通信是如何验明正身,而非外部访问流量冒充进入呢?今天我们就浅谈一下k8s的认证机制,让我们由浅入深来揭露其中的秘密
Kubernetes 认证授权
JP.Hu 的博客
01-23 963
【代码】Kubernetes 认证授权
kubernetes认证授权机制
weixin_33908217的博客
09-18 907
Kubernetes过一系列机制来实现集群的安全机制,包括API Server的认证授权、准入控制机制等。集群的安全性必须考虑以下的几个目标:保证容器与其所在宿主机的隔离;限制容器给基础设施及其他容器带来消极影响的能力;最小权限原则,合理限制所有组件权限,确保组件只执行它被授权的行为,通过限制单个组件的能力来限制他所能达到的权限范围;明确组件间边界的划分;划分普通用户和管理...
Kubernetes_认证授权_UserAccount_用户账号各种认证方式
毛毛的专栏
10-23 1412
梳理出UserAccount用户账号一条线
027 Kubernetes的Dashboard认证及分级授权.mp4
05-07
027 Kubernetes的Dashboard认证及分级授权.mp4
kubernetes的用户权限认证体系
01-20
kubernetes认证 我们知道任何应用的控制都需要通过一定的认证之后,我们才可以获取到应用的控制权。而此处,我们来了解k8s的认证授权是怎么做。 像一般应用,都是提供一个登陆界面,然后我们输入账号密码,登陆后,...
Getting Started with Kubernetes
05-19
1. **身份验证(Authentication)**:Kubernetes 支持多种认证机制,如 X.509 证书、OAuth、OpenID Connect 等。 2. **授权(Authorization)**:通过 Role-Based Access Control (RBAC) 确保用户只能访问其被授予...
K8S 上部署 Prometheus + Grafana
最新发布
小强签名设计 的博客
07-22 294
【代码】K8S 上部署 Prometheus + Grafana。
k8s二次开发-kubebuiler一键式生成deployment,svc,ingress
Drosssse的博客
07-18 509
注:必须在当前的K8S集群有 nginx这个ingressclass。
k8s+containerd(kvm版)
weixin_62799021的博客
07-22 554
k8s(Kubernetes)是由Gogle开源的容器编排引擎,可以用来管理容器化的应用程序和服务,kk8s提供了自动重启、自动重建、自动修复提高集群的可用性,以下概念稍微了解即可,看一看直接实操,
[k8s源码]5.自己写一个informer控制器
weixin_45396500的博客
07-22 222
Indexer 实际上存储的是完整的对象(如 Pod、Service 等),允许通过多种方式(如名字、命名空间等)快速检索对象。Queue 存储的是对象的键(通常是 "namespace/name" 格式的字符串)。随后设计一个run函数,从而开始从官方的informer拿取数据,但是我们自己设计的informer会有多个worker来处理从队列拿到的任务。k8s的informer控制器有一个informer,有一个indexer,还需要一个队列来存储从kubernetes API获取的信息。
Kubernetes Kubectl 命令完全指南
13. kubectl create serviceaccount: 创建服务账户,用于Pod内部的认证授权。 14. kubectl create secret: 创建secret以安全地存储密码、密钥和其他敏感信息。secret有几种类型,如tls(用于TLS证书),generic...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值