k8s的访问控制(认证+授权+准入控制)

最新推荐文章于 2024-07-06 09:09:03 发布
最新推荐文章于 2024-07-06 09:09:03 发布
阅读量3.2k 收藏 7
点赞数 2
分类专栏: linux企业实战
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yrx420909/article/details/105931216
版权

1. kubernetes API 访问控制

在这里插入图片描述
由上图来介绍一下 Kubernetes API 的请求从发起到其持久化入库的一个流程。

首先看一下请求的发起,请求的发起分为两个部分:
第一个部分是人机交互的过程。 是大家非常熟悉的用 kubectl 对 apiserver 的一个请求过程;
第二个部分是 Pod 中的业务逻辑与 apiserver 之间的交互。

当我们的 apiserver 收到请求后,就会开启访问控制流程。这里面分为三个步骤:

Authentication 认证阶段:判断请求用户是否为能够访问集群的合法用户。如果用户是个非法用户,那 apiserver 会返回一个 401 的状态码,并终止该请求;
如果用户合法的话,我们的 apiserver 会进入到访问控制的第二阶段 Authorization:鉴权阶段。在该阶段中 apiserver 会判断用户是否有权限进行请求中的操作。如果无权进行操作,apiserver 会返回 403 的状态码,并同样终止该请求;
如果用户有权进行该操作的话,访问控制会进入到第三个阶段:AdmissionControl。在该阶段中 apiserver 的 admission controller 会判断请求是否是一个安全合规的请求。如果最终验证通过的话,访问控制流程才会结束。

此时我们的请求将会转换为一个 Kubernetes objects 相应的变更请求,最终持久化到 ETCD 中。

认证(任意一种) -->授权(一般是rbac 和 node)–> 准入控制(自己选择)
在这里插入图片描述

2. 认证 Authentication

认证一共有8种,可以启动一种或多种认证方式,只要有一种认证方式通过,就不再对其它方式认证,通常启动X 509 Client Certs 和Service Accout Tokens两种认证方式

k8s集群有两类用户: 由k8s管理的Service Accounts 服务帐号和 Users Accounts普通账户,k8s种的帐号是形式上存在的。

默认存在的taken

在这里插入图片描述

访问k8s的API Server的客户端主要分为两类:

1.kubectl: 用户家目录种的.kube/config就保存了密钥相关信息,自动读取
2.pod: pod中的进程需要访问API Server。如果是人去访问或编写的脚本去访问,这类访问的帐号为:UserAccount;pod自身访问时使用的帐号时ServerAccount,生产中后者使用居多。

kubectl 向 apiserver发起的命令,采用的时http方式,其实就是对URL发起增删改查的操作。

kubectl proxy --port=8888
最低0.47元/天 解锁文章
新是一切的根源
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
kubernetes访问控制——Authentication认证、Authorization授权、服务账户的自动化
Aimee_c的博客
07-05 2138
文章目录1.kubernetes API 访问控制2. Authentication认证)1.创建serviceaccount2.添加secrets到serviceaccount3.把serviceaccount和pod绑定起来:4. 创建UserAccount3. Authorization(授权)3.1 RBAC(基于角色访问控制授权)介绍3.2 RBAC授权1.创建Role(权限的集合)2. RoleBinding和ClusterRoleBinding3.1 RBAC 1.kubernetes AP
Kubernetes身份认证授权操作全攻略:K8s 访问控制入门
Rancher
08-14 781
随着Kubernetes被广泛使用,成为业界公认的容器编排管理的标准框架,许多开发人员以及管理员对部署、弹性伸缩以及管理容器化应用程序等Kubernetes的关键概念都十分熟悉。而对于生产部署而言,Kubernetes的安全性至关重要。因此,了解平台如何管理用户和应用程序的身份认证授权十分必要。 我们将推出一系列文章,以一种实践性的视角来了解平台内部的Kubernetes和Pod外部用户...
云上攻防-云原生篇&Kubernetes&K8s安全&API&Kubelet未授权访问&容器执行
最新发布
qq_53058639的博客
07-06 851
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。其核心的特点就是能够自主的管理容器来保证云平台中的容器按照用户的期望状态运行着,管理员可以加载一个微型服务,让规划器来找到合适的位置,同时,Kubernetes在系统提升工具以及人性化方面,让用户能够方便的部署自己的应用。
K8S认证授权准入控制(RBAC)详解
weixin_33915554的博客
04-17 854
相关推荐 本文的kubernetes环境:https://blog.51cto.com/billy98/2350660 RBAC官方文档:https://kubernetes.io/docs/reference/access-authn-authz/rbac/ 前言 RBAC (Role-Based Access Control,基于角色的访问控制)是一种新型、灵活且使用广泛的访问控制机制,它...
K8S-安全(认证授权准入控制)
迷雾总会解
08-26 1392
RoleBinding 同样可以引用 ClusterRole 来对当前 namespace 内用户、用户组或 ServiceAccount 进行授权,这种操作允许集群管理员在整个集群内定义一些通用的 ClusterRole,然后在不同的 namespace 中使用 RoleBinding 来引用。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。...
k8s - 安全认证(RBAC)
栋院
03-18 2996
api server 是集群访问控制的统一入口 k8s认证过程: 认证 -> 授权 - > 准入控制 (adminationcontroller) 1 认证()是对客户端的认证,简单说就是账户密码 2 授权()是资源的授权,容器、网络、存储资源的权限 3 准入机制 准入控制器位于api server ,在对象被持久化之前,准入控制器拦截对api server 的请求,一般用来做认证授权。其中包括连个控制器: MutatingAdmissionWebhook 和 Validating
k8s之RBAC 详解(基于角色的访问控制)
qfyangsheng的博客
08-19 1597
一个实验搞定RBAC RBAC基于角色的访问控制--全拼Role-Based Access Control ​ Service Account为服务提供了一种方便的认证机制,但它不关心授权的问题。可以配合RBAC来为Service Account鉴权 ​ 在Kubernetes中,授权有ABAC(基于属性的访问控制)、RBAC(基于角色的访问控制)、Webhook、Node、AlwaysDeny(一直拒绝)和AlwaysAllow(一直允许)这6种模式。 ​ 在RABC API中,通过如下的步骤进行授权
阿里云k8s 部署vue2+nginx+springboot2.5+nacos2.0.3
01-10
阿里云k8s 部署vue2+nginx+springboot2.5+nacos2.0.3
K8S部署+私有仓库部署
04-29
K8S部署+私有仓库
k8s集群安装文档+kubeSphere
11-22
k8s集群安装文档+kubeSphere
rancher+k8s+etcd集群
08-18
使用RKE构建企业生产Kubernetes集群 内容包含: 1.集群主机准备 2.daocker部署 3.docker compose安装 4.添加rancher用户 5.生成ssh证书用户部署集群 6.rke工具下载 7.初始化rke配置文件 ....
K8S部署+实战+集群架构图.zip
08-11
8. **实战应用**:实战文档可能包含如何将一个应用部署到K8s集群的步骤,包括编写YAML配置文件、使用kubectl命令行工具与集群交互、暴露服务给外部访问、监控和日志收集等。 9. **K8S网络模型**:Kubernetes采用了...
linux12k8s -->14安全认证
明日之星
08-10 254
二、 安全认证 本章节主要介绍Kubernetes的安全认证机制。 1、访问控制概述 ​ Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。所谓的安全性其实就是保证对Kubernetes的各种客户端进行认证和鉴权操作。 客户端 ...
kubernetes视频教程笔记 (32)-安全-准入控制Admission Control
软件工程小施同学 的专栏
12-15 348
准入控制 准入控制是API Server的插件集合,通过添加不同的插件,实现额外的准入控制规则。甚至于API Server的一些主 要的功能都需要通过 Admission Controllers 实现,比如 ServiceAccount 官方文档上有一份针对不同版本的准入控制器推荐列表,其中最新的 1.14 的推荐列表是: NamespaceLifecycle,LimitRanger,ServiceAccount,DefaultStorageClass,DefaultTolerationSe.
Kubernetes(K8S)之学废了(十):安全认证
weixin_47712609的博客
07-04 379
安全认证 文章目录安全认证访问控制概述一、认证管理二、授权管理准入控制 访问控制概述 Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。所谓的安全性其实就是 保证对Kubernetes的各种客户端进行认证和鉴权操作。 客户端 在Kubernetes集群中,客户端通常有两类: User Account:一般是独立于kubernetes之外的其他服务管理的用户账号。 service Account: kubernetes管理的账号,用于为Pod中的服务进程在访问Kuber
k8s认证鉴权准入控制
fourierr的博客
04-29 821
k8s认证Authentication,检查用户是否为合法用户。认证方式有很多,常用的是 X509 Client Certs(用于外部用户如kubectl)和Service Accout Tokens(用于pod中进程),kubeconfig使用X509 Client Certs方式。 同时ServiceAccount Resource中主要包含了三个内容:namespace、token和ca.crt,其中namespace表示当前管理的命名空间;ca.crt用于校验服务端的的证书信息,即apiserve
k8s--基础--23.1--认证-授权-准入控制--介绍
zhou920786312的博客
08-15 231
对于k8s访问来讲,ssl认证能让客户端确认服务器的认证身份。我们在跟服务器通信的时候,需要服务器发过来一个证书,我们需要确认这个证书是不是ca签署的,如果是我们认可的ca签署的,里面的subj信息与我们访问的目标主机信息保持一致,没有问题,那么我们就认为服务器的身份得到认证了,k8s中最重要的是服务器还需要认证客户端的信息,kubectl也应该有一个证书,这个证书也是server所认可的ca签署的证书,双方需要互相认证,实现加密通信,这就是ssl认证。...
k8s安全管理:认证授权准入控制概述
weixin_51697758的博客
08-16 796
User Accounts(用户账户)和Service Accounts(服务账户)两种:UserAccount是给kubernetes集群外部用户使用的,例如运维或者集群管理人员,,kubeadm安装的k8s,默认用户账号是kubernetes-admin;APIServer需要对客户端做认证,使用kubeadm安装的K8s,会在用户家目录下创建一个认证配置文件 .kube/config这里面保存了客户端访问API Server的密钥相关信息。...
详解 k8s 中的 RBAC
wolaisongfendi的博客
02-01 564
Kubernetes 主要通过 API Server 对外提供服务,对于这样的系统来说,如果不加以安全限制,那么可能导致请求被滥用,甚至导致整个集群崩塌。 Kubernetes 中提供了良好的多租户认证管理机制,RBAC正式其中重要的一个,今天我们来详细聊聊 K8s 中的 RBAC。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值