kubernetes安全机制--Admission Control 准入控制

最新推荐文章于 2024-01-25 14:05:06 发布
置顶 最新推荐文章于 2024-01-25 14:05:06 发布
阅读量1.1w 收藏 5
点赞数
分类专栏: kubernetes 安全 文章标签: kubernetes 安全 准入控制 容器 k8s
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yan234280533/article/details/76320414
版权

引言

当请求通过了前面的认证和授权之后,还需要经过准入控制处理通过之后,apiserver 才会处理这个请求。Admission Control 有一个准入控制列表,我们可以通过命令行设置选择执行哪几个准入控制器。只有所有的准入控制器都检查通过之后,apiserver 才执行该请求,否则返回拒绝。

为什么需要Admission Control

在kubernetes中,一些高级特性正常运行的前提条件为,将一些准入模块处于enable状态。总结下,对于kubernetes apiserver,如果不适当的配置准入控制模块,他就不能称作是一个完整的server,某些功能也不会正常的生效。

主要的准入控制器介绍

AlwaysAdmit

允许所有请求

AlwaysDeny

拒绝所有请求

AlwaysPullImages

强制设置Pod拉取镜像策略为Always。这样能够保证私有镜像只能被有拉取权限的使用者使用。

DenyExecOnPrivileged

它会拦截所有想在privileged container上执行命令的请求。(如果自己的集群支持privileged container,自己又希望限制用户在这些privileged container上执行命令,那么强烈推荐使用它。)

DenyEscalatingExec

这个插件禁止那些通过主机执行而获得privileges去执行exec和attach Pod的命令。

ImagePolicyWebhook

通过webhook决定image策略,需要同时配置–admission-control-config-file

ServiceAccount

一个serviceAccount为运行在pod内的进程添加了相应的认证信息。当准入模块中开启了此插件(默认开启),如果pod没有serviceAccount属性,将这个pod的serviceAccount属性设为“default”;确保pod使用的serviceAccount始终存在;如果LimitSecretReferences 设置为true,当这个pod引用了Secret对象却没引用ServiceAccount对象,弃置这个pod;如果这个pod没有包含任何ImagePullSecrets,则serviceAccount的ImagePullSecrets被添加给这个pod;如果MountServiceAccountToken为true,则将pod中的container添加一个VolumeMount 。

ResourceQuota

它会观察所有的请求,确保在namespace中ResourceQuota对象处列举的container没有任何异常。如果在kubernetes中使用了ResourceQuota对象,就必须使用这个插件来约束container。(推荐在admission control参数列表中,这个插件排最后一个。)

LimitRanger

实现配额控制。他会观察所有的请求,确保没有违反已经定义好的约束条件,这些条件定义在namespace中LimitRange对象中。如果在kubernetes中使用LimitRange对象,则必须使用这个插件。

SecurityContextDeny

禁止创建设置了 Security Context 的 pod。这个插件将会将使用了 SecurityContext的pod中定义的选项全部失效。关于 SecurityContext的描述:SecurityContext 在container中定义了操作系统级别的安全设定(uid, gid, capabilities, SELinux等等)。

NamespaceLifecycle

确保处于termination状态的namespace不再接收新的对象创建请求,并拒绝请求不存在的namespace。

InitialResources

根据镜像的历史使用记录,为容器设置默认资源请求和限制

DefaultStorageClass

为PVC设置默认StorageClass

DefaultTolerationSeconds

设置Pod的默认forgiveness toleration为5分钟

PodSecurityPolicy

使用Pod Security Policies时必须开启

NodeRestriction

限制kubelet仅可访问node、endpoint、pod、service以及secret、configmap、PV和PVC等相关的资源(v1.7版本以上才支持)

推荐的设置控制器顺序:
--admission-control=NamespaceLifecycle,LimitRanger,ServiceAccount,PersistentVolumeLabel,DefaultStorageClass,ResourceQuota,DefaultTolerationSeconds
参考链接

Admission Controllers

程序源234
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
internallb-webhook-admission-controller:Kubernetes内部负载平衡器准入Webhook
04-26
Kubernetes内部负载平衡器准入Webhook 该Kubernetes Admission控制器仅允许创建包含正确的云提供程序注释的v1 /服务资源,以创建内部LoadBalancers。 有关这些注释的详细信息,请参见。CircleCI构建状态项目状态实验...
Kubernetes 准入控制 Admission Controller 介绍
CuiXiaoY的博客
09-21 498
1.什么是Admission Controller Admission Controller(准入控制)是 Kubernetes API Server 用于拦截请求的一种手段。 Admission可以做到对请求的资源对象进行校验,修改。 service mesh最近很火的项目Istio天生支持Kubernetes,利用的就是admission对服务实例自动注入sidecar。 假如对 Kubernetes 有一定的了解的话,应该会知道在 Kubernetes 中还有 authn/authz,为什么还会引入
QOS基础
jiugejiuba的博客
06-03 1308
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录QOS前言一、分类二、标记三、流量调节 QOS 前言 提示:脑子里的东西有点乱,需要有个地方整理一下,姑且当成一个个人博客来看吧。 QOS服务质量。从名字来看就是为网络提供更好的服务,让各种流量传输更加高效快速。当然了,如果想要达到这个效果需要先了解网络有哪些流量,哪些重要的,那些不重要的。重要的流量对网络的哪些参数要求比较高,是带宽,延迟抖动还是丢包率等等。 换句话说就是定义好了这些参数,业务流量就能更高效快速的传输。QoS正是
k8s安全机制
最新发布
2303_79207100的博客
01-25 1139
k8s组件都是通过启动时指定访问不同的kubeconfig文件,可以访问不同的集群,再到api server,再到namespace,再到资源对象,再到pod,再到容器。token是一个很长、很复杂的字符串,字符串是用来表达客户的一种方式,每一个token对应一个用户名,用户名存储在api server能够访问的文件中,客户端发起请求时,http header中包含token,token对应到api server,api server对应到用户名存储文件,解码查看是否对应用户名,验证通过可访问集群。
Kubernetes中的认证,授权,准入控制分别是什么
weixin_46660849的博客
12-21 99
Kubernetes 中,认证(Authentication)、授权(Authorization)和准入控制Admission Control)是三个关键的安全机制,它们共同确保了集群的安全和资源的正确使用。
Impala Admission Control
Stiga Huang的专栏
11-26 385
Impala 集群用来控制查询并发量的功能称为 Admission Control准入控制),本文主要翻译admission-controller.h 中的注释,以解释 Impala 准入控制(并发控制)的运行机制
kubernetes安全机制--Admission Control准入控制
江晓龙的博客
04-20 701
kubernetes安全机制Admission Control准入控制 通过了认证和授权之后,还需要经过准入控制处理之后,apiserver才会处理请求。 准入控制是一个可配置的控制器列表,可以通过在apiserver上使用命令行设置执行哪些准入控制器 用于拦截请求的一种方式,运行在认证,授权之后,是权限认证链上的最后一环,对请求API资源对象进行修改和校验 --admission-control=NamespaceLifecycle,LimitRanger,ServiceAccount,Persiste
Git详解之四 服务器上的Git
张拭心的博客 shixinzhang
11-25 3034
Git详解之四 服务器上的Git 服务器上的 Git 到目前为止,你应该已经学会了使用 Git 来完成日常工作。然而,如果想与他人合作,还需要一个远程的 Git 仓库。尽管技术上可以从个人的仓库里推送和拉取修改内容,但我们不鼓励这样做,因为一不留心就很容易弄混其他人的进度。另外,你也一定希望合作者们即使在自己不开机的时候也能从仓库获取数据 — 拥有一个更稳定的公共仓库十分有用。因此,更好
设置全局hooks用于代码提交校验
jiuguaqiao6494的博客
09-10 577
设置全局hooks用于代码提交校验描述 描述 在root目录下编辑.gitconfig文件 增加hooksPath路径设置,将正确的commit.msg文件放置在改路径下
pod-security-admission:一个Kubernetes准入网络挂钩,以确保Pod安全标准
04-08
豆荚安全入场项目状态:开发中pod-security-admission是确保 一组 。 pod-security-admission旨在成为的简单替代品。 这不是策略引擎,用户无法灵活地编写自己的策略。 如果要这样做,建议您使用诸如和类的策略引擎...
admission-control:编写Kubernetes准入控制器的有用的微框架:magnifying_glass_tilted_right::admission_tickets:
04-30
入学控制 :detective: :detective: :detective: 用于为Kubernetes集群构建和部署动态的微框架。... 准入控制提供了许多有用的内置AdmitFunc ,包括: EnforcePodAnnotations确保允许的EnforcePodAnnotat
denyenv-validating-admission-webhook:一个Kubernetes验证允许拒绝使用环境变量的pod的准入webhook
02-05
准入控制器是一段代码,它在对象持久化之前但在身份验证和授权之后拦截对Kubernetes API的请求。 大多数准入控制器内置于Kubernetes中,并涵盖了一系列功能。 要了解准入控制器的工作方式,您需要查看它们的运行...
chimera-admission:使用WebAssembly策略验证传入请求的Kubernetes动态准入控制
05-07
我们还计划创建一个Kubernetes控制器来简化Chimera Policy的管理。 进行嵌合体入场 您可以从源代码构建chimera-admission (请参阅文件底部的专用部分),也可以使用我们在维护的容器映像。 该存储库内部的目录...
kubernetes安全控制认证与授权(一)
热门推荐
程序源234的专栏
07-22 2万+
kubernetes 对于访问 API 来说提供了两个步骤的安全措施:认证和授权。认证解决用户是谁的问题,授权解决用户能做什么的问题。通过合理的权限管理,能够保证系统的安全可靠。通俗的讲,认证就是验证用户名密码,授权就是检查该用户是否拥有权限访问请求的资源。
Ubuntu 16.04下kubeadm安装Kubernetes
程序源234的专栏
07-14 1万+
Ubuntu 16.04下kubeadm安装Kubernetes
CoreOS有状态应用管理的框架--Operator详解
程序源234的专栏
07-19 1万+
Operator是CoreOS推出的旨在简化复杂有状态应用管理的框架,它是一个感知应用状态的控制器,通过扩展Kubernetes API来自动创建、管理和配置应用实例。Operator原理Operator基于Third Party Resources扩展了新的应用资源,并通过控制器来保证应用处于预期状态。
kubernetes安全控制认证与授权(二)
程序源234的专栏
07-29 7399
本文将继续kubernetes授权体系。授权主要是用于对集群资源的访问控制,通过检查请求包含的相关属性值,与相对应的访问策略相比较,API请求必须满足某些策略才能被处理。跟认证类似,Kubernetes也支持多种授权机制,并支持同时开启多个授权插件(只要有一个验证通过即可)。如果授权成功,则用户的请求会发送到准入控制模块做进一步的请求验证;对于授权失败的请求则返回HTTP 403。
ingress-nginx-admission-patch CrashLoopBackOff
08-10
ingress-nginx-admission-patch的CrashLoopBackOff状态指的是该POD在启动后不断重启,并且无法正常运行。这可能是由于以下几种原因引起的。 首先,可能是镜像下载失败导致的。在引用和引用中可以看到,POD的状态为...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值