kubernetes认证

最新推荐文章于 2024-07-31 22:02:44 发布
最新推荐文章于 2024-07-31 22:02:44 发布
阅读量611 收藏
点赞数
分类专栏: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuxingge/article/details/103332967
版权

在这里插入图片描述

用户访问

客户端 访问 API server
user: username uid
group:
extra:

API
Request path
http://10.0.0.11:6443/apis/apps/v1/namespaces/default/deployments/myapp-deploy/

HTTP request verb:

  • get
  • post
  • put
  • delete

API requests verb:

  • get
  • list
  • create
  • update
  • patch
  • watch
  • proxy
  • redirect
  • delete
  • deletecollection
  • Resource
  • Subresource
  • namespace
kubectl proxy --port=8081

curl http://localhost:8081/api/v1/namespaces

curl http://localhost:8081/apis/apps/v1/namespaces/kube-system/coredns

[root@k8s-master1 ~]# kubectl describe service kubernetes 
Name:              kubernetes
Namespace:         default
Labels:            component=apiserver
                   provider=kubernetes
Annotations:       <none>
Selector:          <none>
Type:              ClusterIP
IP:                10.254.0.1
Port:              https  443/TCP
TargetPort:        6443/TCP
Endpoints:         10.0.0.11:6443
Session Affinity:  None
Events:            <none>

用户(认证)

  • 用户账号(serviceAccountName)
  • 服务账号(serviceAccount)

serviceaccount

# 创建试运行
kubectl create serviceaccount mysa -o yaml --dry-run 
apiVersion: v1
kind: ServiceAccount
metadata:
  creationTimestamp: null
  name: mysa

kubectl get pods  myapp-deploy-65df64765c-x6wwv -o yaml --export

apiVersion: v1
kind: Pod
metadata:
  creationTimestamp: null
  generateName: myapp-deploy-65df64765c-
  labels:
    app: myapp
    pod-template-hash: 65df64765c
    release: canary
  ownerReferences:
  - apiVersion: apps/v1
    blockOwnerDeletion: true
    controller: true
    kind: ReplicaSet
    name: myapp-deploy-65df64765c
    uid: d048424c-143e-11ea-83d0-000c29b4d624
  selfLink: /api/v1/namespaces/default/pods/myapp-deploy-65df64765c-x6wwv
spec:
  containers:
  - image: ikubernetes/myapp:v1
    imagePullPolicy: IfNotPresent
    name: myapp
    ports:
    - containerPort: 80
      name: http
      protocol: TCP
    resources: {}
    terminationMessagePath: /dev/termination-log
    terminationMessagePolicy: File
    volumeMounts:
    - mountPath: /var/run/secrets/kubernetes.io/serviceaccount
      name: default-token-7m57r
      readOnly: true
  dnsPolicy: ClusterFirst
  enableServiceLinks: true
  nodeName: 10.0.0.12
  priority: 0
  restartPolicy: Always
  schedulerName: default-scheduler
  securityContext: {}
  serviceAccount: default
  serviceAccountName: default
  terminationGracePeriodSeconds: 30
  tolerations:
  - effect: NoExecute
    key: node.kubernetes.io/not-ready
    operator: Exists
    tolerationSeconds: 300
  - effect: NoExecute
    key: node.kubernetes.io/unreachable
    operator: Exists
    tolerationSeconds: 300
  volumes:
  - name: default-token-7m57r
    secret:
      defaultMode: 420
      secretName: default-token-7m57r
status:
  phase: Pending
  qosClass: BestEffort

创建serviceaccount

kubectl create serviceaccount admin

查看serviceaccounts

kubectl get serviceaccounts

[root@k8s-master1 manifests]# kubectl describe serviceaccounts admin 
Name:                admin
Namespace:           default
Labels:              <none>
Annotations:         <none>
Image pull secrets:  <none>
Mountable secrets:   admin-token-45jlv
Tokens:              admin-token-45jlv
Events:              <none>
[root@k8s-master1 manifests]# kubectl get secrets 
NAME                                       TYPE                                  DATA   AGE
admin-token-45jlv                          kubernetes.io/service-account-token   3      3m1s
default-token-7m57r                        kubernetes.io/service-account-token   3      184d
mysql-pass                                 Opaque                                1      180d
mysql-root-password                        Opaque                                1      29h
nginx-ingress-serviceaccount-token-pzzm7   kubernetes.io/service-account-token   3      174d
tomcat-ingress-secret                      kubernetes.io/tls                     2      7d5h

pod-sa-daemon.yaml

apiVersion: v1
kind: Pod
metadata:
  name: pod-sa-demo
  namespace: default
  labels:
    app: myapp
    tier: frontend
spec:
  containers:
  - name: myapp
    image: ikubernetes/myapp:v1
    ports:
    - name: http
      containerPort: 80
  serviceAccountName: admin

kubeconfig

客户端连入APIserver的客户端(配置文件)认证工具

在这里插入图片描述

kubectl config view

创建密钥证书

(umask 077; openssl genrsa -out wuxing.key 2048)
openssl req -new -key wuxing.key -out wuxing.csr -subj "/CN=wuxing"
openssl x509 -req -in wuxing.csr -CA ./ca.pem -CAkey ./ca-key.pem -CAcreateserial -out wuxing.crt -days 3650

查看证书

openssl x509 -in wuxing.crt -text -noout

创建客户端认证配置

kubectl config set-credentials wuxing --client-certificate=/k8s/kubernetes/ssl/wuxing.crt --client-key=/k8s/kubernetes/ssl/wuxing.key --embed-certs=true

设置context

kubectl config set-context wuxing@kubernetes --cluster=kubernetes --user=wuxing

查看

[root@k8s-master1 ~]# kubectl config view 
apiVersion: v1
clusters: []
contexts:
- context:
    cluster: kubernetes
    user: wuxing
  name: wuxing@kubernetes
current-context: ""
kind: Config
preferences: {}
users:
- name: wuxing
  user:
    client-certificate-data: REDACTED
    client-key-data: REDACTED

~/.kube/config

切换用户

kubectl config use-context wuxing@kubernetes

设置集群

kubectl config set-cluster mycluster --kubeconfig=/tmp/test.conf --server="https://10.0.0.11:6443" --certificate-authority=/k8s/kubernetes/ssl/ca.pem --embed-certs=true

[root@k8s-master1 ~]# kubectl config view --kubeconfig=/tmp/test.conf 
apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: DATA+OMITTED
    server: https://10.0.0.11:6443
  name: mycluster
contexts: []
current-context: ""
kind: Config
preferences: {}
users: []
wuxingge
关注
专栏目录
CKA,CKS题库kubernetes认证考试
weixin_45047200的博客
01-01 813
最权威的CKA,CKS,kubernetes认证考试完全免费分享。看着一套就够了
ckad:Linux Academy的Kubernetes认证准备
03-28
Linux Academy的CKAD考试主要主题的Kubernetes认证准备 一些练习来自: : 准备议程:容器化并部署新的golang脚本 使用ConfigMaps,Secrets和SecurityContexts配置部署-更新Web应用程序以将configmaps用于数据库...
k8s从入门到放弃-第九章安全认证
一起学习吧
05-14 548
文章目录9.1访问控制概述9.2认证管理9.3授权管理9.4准入控制 本章节主要介绍Kubernetes的安全认证机制。 9.1访问控制概述 Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。 所谓的安全性其实就是 保证对Kubernetes的各种客户端进行认证和鉴权操作。 客户端 在Kubernetes集群中,客户端通常有两类: ●User Account: 一般是独立于kubernetes之外的其他服务管理的用户账号。 ●Service Account: kubern
Kubernetes 安全认证
axibazZ的博客
08-31 321
访问控制概述 Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。所谓的安全性就是保证对Kubernetes的各种客户端进行认证和鉴权操作。 客户端 在Kubernetes集群中,客户端通常有两类: User Account:一般是独立于kubernetes之外的其他服务管理的用户账号。 Service Account:kubernetes管理的账号,用于为Pod中的服务进程在访问Kubernetes时提供身份标识。 认证、授权与准入控制 ApiServe.
kubernetes认证和授权(RBAC)
最新发布
拥抱开源 热爱分享
07-31 975
当然,以上只是k8s中最基础的认证与授权功能,更高阶的也都在此基础之上,如果大家有兴趣请自行探索。在码字的过程中难免会出错,欢迎大家批评指正。我会长期分享K8s、CloudNative方面的知识。
Kubernetes安全之认证
weixin_38299404的博客
05-19 248
机制说明 Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server是集群内部各个组件通信的中介,也是外部控制的入口。所以Kubernetes的安全机制基本就是围绕保护API Server来设计的。Kubernetes使用了认证(Authentication)、鉴权(Authorization)、准入控制(AdmissionControl)三步来保证API Server的安全 Authentication HTTP Token认证:通过一个Token来识别
kubernetes安全认证
weixin_73882207的博客
08-04 296
Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。所谓的安全性其实就是保证对Kubernetes的各种客户端进行认证和鉴权操作。
kubernetes认证管理员准备指南:Kubernetes认证管理员(CKA)准备指南-课程V1.19
02-04
Kubernetes认证管理员准备指南:Kubernetes认证管理员(CKA)准备指南-课程V1.19》 在数字化时代,容器化技术如火如荼,而Kubernetes作为其中的领头羊,已经成为管理和部署应用的标准平台。对于IT专业人士而言,...
ckad-prep:在O'Reilly Media发布的视频课程“ Kubernetes认证开发人员(CKAD)认证课程”视频课程中演示了练习
02-04
ckad-prep:在O'Reilly Media发布的视频课程“ Kubernetes认证开发人员(CKAD)认证课程”视频课程中演示了练习
certified-kubernetes-administrator-course:Kubernetes认证管理员-CKA课程
03-18
Kubernetes认证管理员-CKA课程】是一门深入学习和掌握Kubernetes管理技能的专业课程,旨在帮助学员通过Kubernetes认证管理员考试(CKA)。Kubernetes作为当下最热门的容器编排系统,对于IT专业人士来说,拥有CKA...
kubernetes——安全认证
liuchao666888的博客
11-05 3760
机制说明 kubernetes作为一个分布式集群的管理工具,保证集群的安全性是一个重要的任务。API server是集群内部各个组件通信的中介,也是外部控制的入口。所以kubernetes的安全机制基本就是围绕保护API server来设计的。kubernetes使用了认证(Authentication)、鉴权(Authorization)、准入控制(AdmissionControl)三步来保证API server的安全 Authentivation(认证) 1、HTTP Token认证:通过一个tok
kubernetes认证-CKA、CKS考试
热门推荐
西京刀客
04-17 2万+
K8s的专业技术认证主要有以下几种: * CKA(Kubernetes 管理员认证) * CKAD(Kubernetes 应用程序开发者认证) * CKS(Kubernetes 认证安全专家。预计2020年11月开放,须先通过CKA认证
Kubernetes-认证、鉴权、准入控制
刘某的博客
01-30 1277
Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介,也是外部控制的入口。所以 Kubernetes 的安全机制基本就是围绕保护 API Server 来设计的。Kubernetes 使用了认证(Authentication)、鉴权(Authorization)、准入控制(Admission Control)三步来保证API Server的安全,称为3A服务。
kuberneteskubernetes中的安全和认证
追寻梦想的青春
10-02 1152
时,返回了百度的证书,为了得到并验证百度的公钥,又必须有签发给百度证书的GlobalSign Organization Validation CA机构的公钥,因此,客户端又必须有GlobalSign Organization Validation CA机构的证书,从而可以从中提取出百度的公钥。kubernetes中的所有组件通信时都采用HTTPS双向认证,而部署时不可能为他们申请证书,因此,在部署kuberentes时通常都是先生成自签名证书,然后用该证书作为根证书,后续的证书都通过它签发。
kubernetes认证授权
班婕妤
04-15 2209
访问控制 Kubernetes API的每个请求都会经过多阶段的访问控制之后才会被接受,这包括认证、授权以及准入控制(Admission Control)等。 认证->授权->准入控制(adminationcontroller) 认证kubernetes中,在集群开启TLS后,客户端发往Kubernetes的所有API请求都需要进行认证, 以验证用户的合法性。 Kubernetes支持多种认证机制,并支持同时开启多个认证插件(只要有一个认证通过即可)。如果认证成功,则用户的us
【k8s】9、安全认证
努力充实,远方可期
06-20 431
第九章 安全认证 本章节主要介绍Kubernetes的安全认证机制。 访问控制概述 ​ Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。所谓的安全性其实就是保证对Kubernetes的各种客户端进行认证和鉴权操作。 客户端 在Kubernetes集群中,客户端通常有两类: User Account:一般是独立于kubernetes之外的其他服务管理的用户账号。 Service Account:kubernetes管理的账号,用于为Pod中的服务进程在访问K
Kubernetes_认证授权_初识认证授权
毛毛的专栏
03-12 747
UserAccount、ServiceAccount、RBAC的关系
kubenetes认证、授权、准入控制
xianmingsu的博客
11-05 195
kube-apiserver是 Kubernetes 最重要的核心组件之一,主要提供以下的功能:提供集群管理的REST API接口,包括认证授权、数据校验以及集群状态变更等;提供其他模块之间的数据交互和通信的枢纽(其他模块通过API Server 查询或修改数据,只有API Server才直接操作etcd)。Kubernetes API的每个请求都会经过多阶段的访问控制之后才会被接受,这包括认证、授权以及准入控制(Admission Control)等。
认证Kubernetes简易集群搭建教程
"本文档提供了一个无认证Kubernetes简易集群的搭建指南,适合初学者作为入门参考。以下是主要步骤: 1. 服务器环境:建议使用CentOS 7或更高版本,因为Kubernetes在2015年已加入CentOS官方源,可以直接通过yum命令...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wuxingge

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值