k8s之安全机制

最新推荐文章于 2024-01-25 14:05:06 发布
最新推荐文章于 2024-01-25 14:05:06 发布
阅读量259 收藏
点赞数
文章标签: kubernetes 云原生 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xhredeem/article/details/129171133
版权

k8s之安全机制

写在前面:

API Server是集群内部各个组件通信的中介,也是外部控制的入口,因此k8s的安全机制是围绕API Server设计的,k8s使用了认证(Authentication)、鉴权(Authorization)、准入控制(Admission Control)来保证API Server的安全。

认证

认证的目的是身份鉴别,只有正确的账号才能通过认证。

k8s集群的认证方式:

HTTP Base认证,通过用户名+密码的方式认证(安全性最低)

这种方式是将用户名+密码的方式通过BASE64位算法加密,放在HTTP请求头中,发送给服务端,服务端收到请求以后,进行解码。获取用户名密码,然后进行比对。

HTTP Token认证:通过Token进行认证(安全性次之)

给每一个客户端创建一个token,这个token用密码学的角度来说,就是难以破解的一串长的字符串。当客户端发送请求时,需要将token放在HTTP请求头里面,Api Server接到Token以后,会与服务器保存的token进行比对。

HTTPS双向认证:基于ca根证书签名的双向数字证书进行认证(默认的认证方式,安全性最高)

认证的对象:

user:对于k8s集群而言,没有自己的用户管理,用户的创建需要在linux平台完成。举例:通常root用户部署k8s集群,root能操作k8s集群资源,但是其他普通用户不能操作k8s集群资源,需要先经过认证。

group:一组用户的集合,同上。

serviceaccount:pod中的容器与内外的通信都要与apiserver交互,认证是需要证书的,但是pod的创建与销毁是动态的,随机的。无法预测的行为自然不能手动创建证书。使用serviceaccount解决pod访问apiserver的问题。默认情况下,每一个namespace都会有一个serviceaccount,如果pod在创建时,没有指定serviceaccount,默认使用pod所属名称空间的serviceaccount。

认证策略

Alwaysdeny:拒绝所有请求,一般用于测试

Alwaysallow:如果集群不需要鉴权,可以使用该策略

ABAC:基于属性的权限控制,使用用户定义的授权规则,对用户的请求进行匹配与控制

WebBook:通过外部REST服务对用户进行授权

RBAC:基于角色的权限控制,kubeadm方式部署集群默认使用的方式。

鉴权

鉴权的目的在于,用户通过身份认证以后,与事先定义的策略进行匹配,判断什么对象,对何种资源,有什么操作权限(比如查看、删除)。k8s中将对一组资源的权限定义为角色,通过对象与角色的绑定实现权限控制。为了将角色与权限更好的绑定,k8s定义了下面四个资源对象 :Role、ClusterRole、RoleBinding、ClusterRoleBinding

Role及ClusterRole的使用

role及clusterrole是一组权限的集合,这些权限是白名单的形式,即你定义了什么权限就有什么权限,没有定义就没有。role用于在某个命名空间设置访问权限,只神对某个空间,创建role时必须指明该role所属的命名空间

clusterrole用于在所有命名空间设置访问权限,也即是在整个集群范围内都有效。

RoleBinding及ClusterRoleBinding的使用

rolebinding可以绑定同命令空间的role或者全局的clusterrole,clusterrolebinding只能绑定全局的clusterrole。

准入控制

用于补充鉴权实现更加精确的权限控制。

经过认证与授权以后,还需要经过准入控制通过以后,apiserver才会处理这个请求。准入控制是一个可配置的控制器列表,可以通过在apiserver上通过命令设置选择执行哪些准入控制器。只有当所有的准入控制器都检查通过以后,apiserver才执行该请求,否则拒绝。常见的准入控制如下。

AlwaysAdmit, AlwaysDeny, AlwaysPullImages, DefaultStorageClass, DenyEscalatingExec, DenyExecOnPrivileged, ImagePolicyWebhook, InitialResources, LimitPodHardAntiAffinityTopology, LimitRanger, NamespaceAutoProvision, NamespaceExists, NamespaceLifecycle, OwnerReferencesPermissionEnforcement, PersistentVolumeLabel, PodNodeSelector, PodSecurityPolicy, ResourceQuota, SecurityContextDeny, ServiceAccount. (default "AlwaysAdmit")

可配置的准入控制如下

AlwaysAdmi:允许所有请求

AlwaysDeny:禁止所有请求

AlwaysPullImages:启动容器之前总是下载镜像

DenyExecOnPrivileged:拦截所有在privileged container上执行命令的请求

ImagePolicyWebhook:这个插件允许后端的一个webhook程序来完成准入控制的功能

ServiceAccount:实现了serviceaccount的自动化

SecurityContextDeny:这个插件将使用securitycontext的pod中的定义全部失效。

resourcequota:用于资源配额管理,观察所有请求,确保namespace上的配额不会超标

LimitRanger:用于资源限制管理,作用于命名空间,确保对pod进行资源限制。

更多的准入控制插件可以在下面网址查看文档。

https://kubernetes.io/docs/admin/admission-controllers/

xhredeem
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
k8s架构浅析
02-24
Kubernetes是一个面向应用的容器集群部署、管理及编排系统,旨在为最终用户屏蔽物理/虚拟计算、网络、存储基础设施的复杂度,...Cluster:是一个被k8s协调的高可用集群,作为k8s集群的根操作对象,将多台计算节点(Mast
带你玩转kubernetes-k8s(第40篇:深入分析集群安全机制三[Admission Control, Service Account])
坚持的道路注定孤独
08-13 691
Adminssion Control 突破了之前所说的认证和鉴权两道关卡之后,客户端的调用请求就能够得到API Server的真正响应了吗?答案是:不能!这个请求还需要通过Admission Control(准入控制)所控制的一个准入控制链的层层考验,才能获得成功的响应。Kubernetes官方标准的“关卡”有30多个,还允许用户自定义扩展。 Admission C...
k8s安全管理:认证、授权、准入控制概述
weixin_51697758的博客
08-16 742
User Accounts(用户账户)和Service Accounts(服务账户)两种:UserAccount是给kubernetes集群外部用户使用的,例如运维或者集群管理人员,,kubeadm安装的k8s,默认用户账号是kubernetes-admin;APIServer需要对客户端做认证,使用kubeadm安装的K8s,会在用户家目录下创建一个认证配置文件 .kube/config这里面保存了客户端访问API Server的密钥相关信息。...
深入理解Kube-APIServer
Kason_iWiki
01-18 3688
文章目录API Server访问控制概览访问控制细节认证认证插件 API Server kube-apiserver是Kubernetes最重要的核心组件之一,主要提供以下的功能 • 提供集群管理的REST API接口,包括认证授权、数据校验以及集群状态变更等 • 提供其他模块之间的数据交互和通信的枢纽(其他模块通过API Server查询或修改数据,只有API Server才直接操作etcd) 访问控制概览 Kubernetes API的每个请求都会经过多阶段的访问控制之后才会被接受,这包括认证、授权以及
准入控制器 修改_Kubernetes准入控制器指南
编程故事的地方
06-30 788
准入控制器 修改 Kubernetes支持30多个准入控制器。 在授权和身份验证之后 , 准入控制器是三步过程的最后一步,之前Kubernetes将资源etcd在etcd (一个一致且高度可用的键值存储,用作所有集群数据的Kubernetes的后备存储)。 一些有关确保运行中的容器安全的准入控制器是: PodSecurityPolicy:此选项基于安全上下文和可用策略来实现Pod接纳。 ...
kube-apiserver准入
qiaotl的博客
07-04 716
介绍k8s中的准入插件以及如何自定义mutating插件
K8S安全机制
L2111533547的博客
08-07 1493
访问K8S集群的资源需要过三关:认证、鉴权、准入控制普通用户若要安全访问集群API Server,往往需要证书、 Token或者用户名+密码;Pod访问,需要ServiceAccountK8S安全控制框架主要由下面3个阶段进行控制,每一个阶段 都支持插件方式,通过API Server配置来启用插件。1. Authentication:用于识别用户身份, 方式有: SSL证书,token, 用户名+密码等2. Authorization:确认是否对资源具有相关的权限。......
k8s--基础--23.4--认证-授权-准入控制--准入控制
zhou920786312的博客
08-15 364
Kubernetes的Admission Control实际上是一个准入控制器(Admission Controller)插件列表,发送到APIServer的请求都需要经过这个列表中的每个准入控制器插件的检查,如果某一个控制器插件准入失败,就准入失败。...
k8s安全机制
Kubernetes enthusiasts
02-08 4657
一、kubernetes安全机制 api server是k8s集群的入口,默认有两个端口: 本地端口8080: 用于接收HTTP请求, 不对外服务, 非认证或授权的HTTP请求通过该端口访问API Server 安全端口6443: 用于接收认证授权的HTTPS请求,对外服务。 用户通过安全端口访问k8s的api server需要过三关:认证、授权、准入控制 Authentication认证: 用于识别用户身份, 方式有: SSL证书,token, 用户名+密码等 Authorization授
k8s安全机制
最新发布
2303_79207100的博客
01-25 1152
k8s组件都是通过启动时指定访问不同的kubeconfig文件,可以访问不同的集群,再到api server,再到namespace,再到资源对象,再到pod,再到容器。token是一个很长、很复杂的字符串,字符串是用来表达客户的一种方式,每一个token对应一个用户名,用户名存储在api server能够访问的文件中,客户端发起请求时,http header中包含token,token对应到api server,api server对应到用户名存储文件,解码查看是否对应用户名,验证通过可访问集群。
KubernetesK8s)_11_安全机制
爱喝可乐的w
02-23 820
KubernetesK8s)保证集群安全机制
深入浅出学K8s.zip
08-17
22 | 安全机制Kubernetes 如何保障集群安全? 23 | 最后的防线:怎样对 Kubernetes 集群进行灾备和恢复? 「关注公众号【云世】,免费获取全系列课程内容」 加餐:问题答疑和优秀留言展示 知其所以然:底层核心...
k8s集群部署Harbor镜像仓库
01-02
安全性管理: Harbor支持对镜像进行RBAC(Role-Based Access Control)和LDAP等认证授权机制。这使得你能够更好地管理镜像的访问权限,确保只有授权的用户能够拉取和推送镜像,有助于提高集群的安全性。 漏洞扫描:...
Kubernetes 集群安全 - 机制说明.pdf
10-17
本系列文档介绍使用二进制部署 kubernetes 集群的所有步骤,而不是使用 kubeadm 等自动化方式来部署集群,同时开启了集群的TLS安全认证,该安装步骤适用于所有bare metal环境、on-premise环境和公有云环境。
了解apiserver(一)
m0_51445191的博客
06-01 387
• 需要API Server启动时配置–basic-auth-file=SOMEFILE,文件格式为csv,每行至少三列password, user, uid,后面是可选的group password,user,uid,"group1,group2,group3”在证书认证时,其CN域用作用户名,而组织机构域则用作group名。• --authentication-token-webhook-config-file 指向一个配置文件,其中描述 何访问远程的 Webhook 服务。默认时长为 2 分钟。
K8S 安全认证
elihe2011的专栏
12-27 3858
1. 安全机制 1.1 认证 (Authentication) 1.1.1 认证方式 HTTP Token:Authorization: Bearer $TOKEN HTTP Basic: Authorization: Basic $(base64encode USERNAME:PASSWORD), HTTPS: 基于CA根证书签名的客户端身份认证方式(推荐) 证书颁发: 手动签发:通过k8s集群的根 ca 进行签发 HTTPS 证书 自动签发:kubelet 首次访问 API Serv
用通俗易懂的语言描述k8s安全机制
04-19
Kubernetes安全机制是一种包括身份认证、访问控制、网络隔离等多种方式来保护应用程序在集群中的安全的系统。 Kubernetes可以为每个使用集群的用户提供单独的管理员权限,并使用各种安全策略来确保只有授权的用户...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值