kubernetes安全机制--Admission Control 准入控制

最新推荐文章于 2024-06-07 08:56:38 发布
置顶 最新推荐文章于 2024-06-07 08:56:38 发布
阅读量1.1w 收藏 5
点赞数
分类专栏: kubernetes 安全 文章标签: kubernetes 安全 准入控制 容器 k8s
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yan234280533/article/details/76320414
版权

引言

当请求通过了前面的认证和授权之后,还需要经过准入控制处理通过之后,apiserver 才会处理这个请求。Admission Control 有一个准入控制列表,我们可以通过命令行设置选择执行哪几个准入控制器。只有所有的准入控制器都检查通过之后,apiserver 才执行该请求,否则返回拒绝。

为什么需要Admission Control

在kubernetes中,一些高级特性正常运行的前提条件为,将一些准入模块处于enable状态。总结下,对于kubernetes apiserver,如果不适当的配置准入控制模块,他就不能称作是一个完整的server,某些功能也不会正常的生效。

主要的准入控制器介绍

AlwaysAdmit

允许所有请求

AlwaysDeny

拒绝所有请求

AlwaysPullImages

强制设置Pod拉取镜像策略为Always。这样能够保证私有镜像只能被有拉取权限的使用者使用。

DenyExecOnPrivileged

它会拦截所有想在privileged container上执行命令的请求。(如果自己的集群支持privileged container,自己又希望限制用户在这些privileged container上执行命令,那么强烈推荐使用它。)

DenyEscalatingExec

这个插件禁止那些通过主机执行而获得privileges去执行exec和attach Pod的命令。

ImagePolicyWebhook

通过webhook决定image策略,需要同时配置–admission-control-config-file

ServiceAccount

一个serviceAccount为运行在pod内的进程添加了相应的认证信息。当准入模块中开启了此插件(默认开启),如果pod没有serviceAccount属性,将这个pod的serviceAccount属性设为“default”;确保pod使用的serviceAccount始终存在;如果LimitSecretReferences 设置为true,当这个pod引用了Secret对象却没引用ServiceAccount对象,弃置这个pod;如果这个pod没有包含任何ImagePullSecrets,则serviceAccount的ImagePullSecrets被添加给这个pod;如果MountServiceAccountToken为true,则将pod中的container添加一个VolumeMount 。

ResourceQuota

它会观察所有的请求,确保在namespace中ResourceQuota对象处列举的container没有任何异常。如果在kubernetes中使用了ResourceQuota对象,就必须使用这个插件来约束container。(推荐在admission control参数列表中,这个插件排最后一个。)

LimitRanger

实现配额控制。他会观察所有的请求,确保没有违反已经定义好的约束条件,这些条件定义在namespace中LimitRange对象中。如果在kubernetes中使用LimitRange对象,则必须使用这个插件。

SecurityContextDeny

禁止创建设置了 Security Context 的 pod。这个插件将会将使用了 SecurityContext的pod中定义的选项全部失效。关于 SecurityContext的描述:SecurityContext 在container中定义了操作系统级别的安全设定(uid, gid, capabilities, SELinux等等)。

NamespaceLifecycle

确保处于termination状态的namespace不再接收新的对象创建请求,并拒绝请求不存在的namespace。

InitialResources

根据镜像的历史使用记录,为容器设置默认资源请求和限制

DefaultStorageClass

为PVC设置默认StorageClass

DefaultTolerationSeconds

设置Pod的默认forgiveness toleration为5分钟

PodSecurityPolicy

使用Pod Security Policies时必须开启

NodeRestriction

限制kubelet仅可访问node、endpoint、pod、service以及secret、configmap、PV和PVC等相关的资源(v1.7版本以上才支持)

推荐的设置控制器顺序:
--admission-control=NamespaceLifecycle,LimitRanger,ServiceAccount,PersistentVolumeLabel,DefaultStorageClass,ResourceQuota,DefaultTolerationSeconds
参考链接

Admission Controllers

程序源234
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kubernetes安全机制--Admission Control准入控制
江晓龙的博客
04-20 709
kubernetes安全机制–Admission Control准入控制 通过了认证和授权之后,还需要经过准入控制处理之后,apiserver才会处理请求。 准入控制是一个可配置的控制器列表,可以通过在apiserver上使用命令行设置执行哪些准入控制器 用于拦截请求的一种方式,运行在认证,授权之后,是权限认证链上的最后一环,对请求API资源对象进行修改和校验 --admission-control=NamespaceLifecycle,LimitRanger,ServiceAccount,Persiste
Kubernetes 准入控制 Admission Controller 介绍
CuiXiaoY的博客
09-21 504
1.什么是Admission Controller Admission Controller(准入控制)是 Kubernetes API Server 用于拦截请求的一种手段。 Admission可以做到对请求的资源对象进行校验,修改。 service mesh最近很火的项目Istio天生支持Kubernetes,利用的就是admission对服务实例自动注入sidecar。 假如对 Kubernetes 有一定的了解的话,应该会知道在 Kubernetes 中还有 authn/authz,为什么还会引入
Impala Admission Control
Stiga Huang的专栏
11-26 445
Impala 集群用来控制查询并发量的功能称为 Admission Control准入控制),本文主要翻译admission-controller.h 中的注释,以解释 Impala 准入控制(并发控制)的运行机制
k8s——安全机制
最新发布
sea_bunch的博客
06-07 1279
RoloBinding 可以将角色中定义的权限授予用户或用户组,RoleBinding 包含一组主体(subject),subject 中包含有不同形式的待授予权限资源类型(User、Group、ServiceAccount)RoloBinding 同样包含对被绑定的 Role 引用;RoleBinding 适用于某个命名空间内授权,而 ClusterRoleBinding 适用于集群范围内的授权准入控制是API Server的一个准入控制器插件列表,通过添加不同的插件,实现额外的准入控制规则。
Kubernetes安全】1. SecurityContext 安全上下文
爱死亡机器人
09-11 7989
简介 安全上下文(Security Context)定义 Pod 或 Container 的特权与访问控制设置。安全上下文包括但不限于: 自主访问控制(Discretionary Access Control):基于 用户 ID(UID)和组 ID(GID).来判定对对象(例如文件)的访问权限 安全性增强的 Linux(SELinux):为对象赋予安全性标签。 以特权模式或者非特权模式运行。 Linux 权能: 为进程赋予 root 用户的部分特权而非全部特权。 AppArmor:使用程序文件来限制单个程
4、Kubernetes 集群安全 - 准入控制1
08-04
Kubernetes集群中,安全措施至关重要,而准入控制(Admission Control)是保障集群安全的重要环节。准入控制是一组插件机制,它在API Server处理任何资源操作之前进行干预,从而增强了Kubernetes安全性和一致性。...
kubernetes-server-linux-amd64.tar.gz
11-29
- **PodSecurityPolicy弃用**:为更好地实现安全控制,引入更灵活的Pod Security Admission Controller。 - **Kubelet增强**:增强了Kubelet的安全性和性能,包括认证、授权和资源利用率的优化。 - **Storage...
internallb-webhook-admission-controller:Kubernetes内部负载平衡器准入Webhook
04-26
Kubernetes内部负载平衡器准入Webhook 该Kubernetes Admission控制器仅允许创建包含正确的云提供程序注释的v1 /服务资源,以创建内部LoadBalancers。 有关这些注释的详细信息,请参见。CircleCI构建状态项目状态实验...
pod-security-admission:一个Kubernetes准入网络挂钩,以确保Pod安全标准
04-08
豆荚安全入场项目状态:开发中pod-security-admission是确保 一组 。 pod-security-admission旨在成为的简单替代品。 这不是策略引擎,用户无法灵活地编写自己的策略。 如果要这样做,建议您使用诸如和类的策略引擎...
admission-control:编写Kubernetes准入控制器的有用的微框架:magnifying_glass_tilted_right::admission_tickets:
04-30
入学控制 :detective: :detective: :detective: 用于为Kubernetes集群构建和部署动态的微框架。... 准入控制提供了许多有用的内置AdmitFunc ,包括: EnforcePodAnnotations确保允许的EnforcePodAnnotat
Kubernetes运维篇】RBAC之准入控制器详解
秦子腾
07-16 6187
如果我们在创建Pod定义了资源上下限,但不满足LimitRanger规则中定义的资源上下限,此时LimitRanger会拒绝创建Pod资源,如果创建Pod时没有指定资源上下限,默认会使用LimitRanger规则中的资源上下限制。强制执行资源限制:LimitRanger可以确保Pod或容器只使用指定的资源限制,通过对Pod的准入控制来强制执行这些限制。通过设置配额限制,可以控制每个命名空间可用的资源总量,以及每个命名空间中每种资源的使用情况。,防止在一个名称空间下的Pod占用过多的资源,
Kubernetes 准入控制
RayPick的博客
05-26 1167
简而言之,Kubernetes 准入控制器是管理和强制定义集群使用方式的插件。可以将它们看作拦截(经过认证的)API 请求的守门员,可以更改请求对象或完全拒绝请求。准入控制的过程分为两步:先变异(mutate)后验证(validate)。举个例子,LimitRanger 准入控制器在变异阶段使用默认的资源配置来限制容器对资源的使用,并在验证阶段确保容器的资源限制不超过预期的。值得一提的是,许多用户认为内置的 Kubernetes 操作的某些方面实际上由准入控制器管理。
kubernetes视频教程笔记 (32)-安全-准入控制Admission Control
软件工程小施同学 的专栏
12-15 343
准入控制 准入控制是API Server的插件集合,通过添加不同的插件,实现额外的准入控制规则。甚至于API Server的一些主 要的功能都需要通过 Admission Controllers 实现,比如 ServiceAccount 官方文档上有一份针对不同版本的准入控制器推荐列表,其中最新的 1.14 的推荐列表是: NamespaceLifecycle,LimitRanger,ServiceAccount,DefaultStorageClass,DefaultTolerationSe.
kubernetes Admission Controller 原理介绍
weixin_33737134的博客
05-24 445
Admission Controller介绍 Apiserver干的最重要的三个事就是: 认证 : 看是否是合法用户 授权 : 看用户具备哪些权限 admission controller : 一个调用链,对请求进行控制或修改,比如是否允许这个请求。 admission controller非常有用,也是经常会用到的k8s的一个扩展方式,今天在源码级别对其做一下介绍,以及如何自己去开发一个ad...
带你玩转kubernetes-k8s(第40篇:深入分析集群安全机制三[Admission Control, Service Account])
坚持的道路注定孤独
08-13 707
Adminssion Control 突破了之前所说的认证和鉴权两道关卡之后,客户端的调用请求就能够得到API Server的真正响应了吗?答案是:不能!这个请求还需要通过Admission Control准入控制)所控制的一个准入控制链的层层考验,才能获得成功的响应。Kubernetes官方标准的“关卡”有30多个,还允许用户自定义扩展。 Admission C...
Controlling Access to the Kubernetes API 和 dynamic Admission control
weixin_34593133的博客
05-24 358
我们通过 kubectl、或者自己写程序,是可以调用apiserver的api接口的,但是我这里有两个问题: 1)访问apiserver的时候,我们需要做哪些事情?apiserver对访问的用户有没有什么需求? 首先,需要说明的是,在k8s中可以使用两种用户来访问apiserver,分别是普通用户和k8s的service account. 对于普通用户来说,他只是对于外部来说的,并不是k8s的对象,也不会在k8s中部署。而对于普通用户来说,会给这个用户绑定指定证书的权限,之后普通用户既可以访问apiserv
K8S原理剖析:安全原理剖析和实践
琦彦
01-04 1862
大纲 认证与鉴权 准入控制 Service Account Secret 认证与鉴权 API Server架构 Kubernetes安全框架 访问K8S集群的资源需要过三关:认证、鉴权、准入控制。 普通用户若要安全访问集群API Server,往往需要证书、 token、用户名-密码; Pod访问,需要ServiceAccount K8S安全控制框架主要由下面3...
C++并发编程实战chapter1你好,C++的并发世界--笔记1--任务并行和数据并行
haohaibo031113的专栏
05-28 1062
两种方式利用并发提高性能:第一,将一个单个任务分成几部分,且各自并行运行,从而降低总运行时间。这就是任务并行( task parallelism) 。虽然这听起来很直观,但它是一个相当复杂的过程,因为在各个部分之间可能存在着依赖。区别可能是在过程方面——一个线程执行算法的一部分,而另一个线程执行算法的另一个部分——或是在数据方面——每个线程在不同的数据部分上执行相同的操作( 第二种方式) 。后一种方
ingress-nginx-admission-patch CrashLoopBackOff
08-10
ingress-nginx-admission-patch的CrashLoopBackOff状态指的是该POD在启动后不断重启,并且无法正常运行。这可能是由于以下几种原因引起的。 首先,可能是镜像下载失败导致的。在引用和引用中可以看到,POD的状态为ImagePullBackOff,这表示POD无法下载所需的镜像。可以尝试查看镜像仓库是否可用,网络是否正常,以及POD是否能够访问镜像仓库。 其次,可能是容器配置错误引起的。请检查ingress-nginx-admission-patch的日志,查看是否有任何错误信息。常见的问题包括容器所需的环境变量未正确设置、容器所需的卷未正确挂载等。可以尝试更新容器的配置,确保所有依赖项都正确设置。 最后,可能是资源不足导致的。如果节点上的资源(如CPU、内存)不足以支持POD的正常运行,也会导致CrashLoopBackOff状态。可以检查节点的资源使用情况,并尝试重新分配资源或调整资源限制。 综上所述,要解决ingress-nginx-admission-patch的CrashLoopBackOff问题,需要检查镜像下载是否成功、容器配置是否正确以及节点资源是否足够。根据具体情况进行相应的调整和修复。123 #### 引用[.reference_title] - *1* [hualinux 进阶 1.20:反向代理ngress及ingress-nginx安装](https://blog.csdn.net/hualinux/article/details/107642281)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* [ingress-nginx部署状态为CrashLoopBackOff 问题排查](https://blog.csdn.net/tongzidane/article/details/119716274)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *3* [ingress-nginx控制器安装](https://blog.csdn.net/zhangzhaokun/article/details/131572345)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值