菜鸟学Kubernetes(K8s)系列——(八)关于Kubernetes的认证机制(RBAC)

已于 2022-08-02 08:56:30 修改
阅读量1.1k 收藏 16
点赞数 16
分类专栏: 云原生(K8s、Docker) 文章标签: kubernetes 云原生 Docker 运维 容器
于 2022-08-02 07:47:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ysf15609260848/article/details/126114233
版权

菜鸟学Kubernetes(K8s)系列——(八)关于Kubernetes的认证机制(RBAC)

Kubernetes系列文章主要内容
菜鸟学Kubernetes(K8s)系列——(一)关于Pod和Namespace通过本文你将学习到: (1)什么是Pod,为什么需要它、如何创建Pod、Pod的健康检查机制(三种探针) (2)什么是标签、标签选择器 (3)什么是Namespace、他能做什么、如何创建它等等
菜鸟学Kubernetes(K8s)系列——(二)关于Deployment、StatefulSet、DaemonSet、Job、CronJob通过本文你将学习到: (1)什么是Deployment,如何创建它、它的扩缩容能力是什么、自愈机制,滚动升级全过程、如何进行回滚 (2)什么是ReplicaSet、它和Deployment的关系是什么 (3)动态扩缩容能力(HPA)、蓝绿部署、金丝雀部署 (4)什么是DaemonSet/Job/CronJob、它们的功能是什么、如何创建使用等等
菜鸟学Kubernetes(K8s)系列——(三)关于Service、Ingress通过本文你将学习到: (1)什么是Service,如何创建它、它的服务发现能力、对外暴露方式 (2)什么是NodePort类型的Service,它的使用方式、工作原理 (3)什么是Ingress,如何创建它、为什么需要Ingress (4)什么的Ingress-Nginx、他和Nginx是什么关系、Ingress的各种功能 (5)什么是headless服务等等
菜鸟学Kubernetes(K8s)系列——(四)关于Volume卷(PV、PVC、StorageClass等)通过本文你将学习到: (1)什么是Volume卷、它的几种类型(emptyDir、hostPath、NFS)、这几种类型是使用方式 (2)什么是PV-PVC、为什么要用他们、他们是怎么协作的、如何使用PV-PVC (3)动态配置持久卷是什么,它是怎么工作的、如何实现动态的分配PV等等
菜鸟学Kubernetes(K8s)系列——(五)关于ConfigMap和Secret通过本文你将学习到: (1)什么是ConfigMap,如何创建它、它能用来做什么事情、在实战中怎么使用ConfigMap (2)什么是Secret,如何创建它,怎么使用它等等
菜鸟学Kubernetes(K8s)系列——(七)关于Kubernetes底层工作原理通过本文你将学习到: (1)Kubernetes的核心组件:Etcd、Api-Server、Scheduler、Controller-Manager、Kubelet、Kube-proxy的工作方式,工作原理。 (2)Kubernetes集群中核心组件的协作方式、运行原理。
菜鸟学Kubernetes(K8s)系列——(番外)实现Deployment的动态扩缩容能力(HPA)通过本文你将学会实现Deployment的动态扩缩容能力(HPA)
菜鸟学Kubernetes(K8s)系列——(番外)安装Ingress-Nginx(工作原理)通过本文你将学会安装Ingress-Nginx

1、Api-Server的认证授权流程

在这里插入图片描述
前面我们了解到,在k8s中,所有的请求(程序员通过命令行,或者Pod来操作k8s)都会发送到k8s的Api-Server。在Api-Server中进行权限控制流程:

  • 用户携带令牌或者证书给k8s的api-server发送请求,要求修改集群资源
  • k8s通过一系列的Authentication进行身份认证,判断这个请求的身份(用户名、用户ID和组信息)
  • 认证通过,k8s则利用Authorization查询用户的授权(有哪些权限)
  • 用户执行操作 。在这个过程中会利用AdmissionControl判断是否可以操作(CPU、硬盘、网络、内存)

1.1 用户和组

认证插件会返回已经认证过用户的用户名和组(多个组)。Kubernetes不会在任何地方存储这些信息,这些信息被用来验证用户是否被授权执行某个操作。

用户

Kubernetes区分了两种连接到API服务器的客户端

  • 真实的人(用户)
  • Pod(具体说应该是Pod中的应用)

这两种类型的客户端都使用了上述的认证插件进行认证。用户应该被管理在外部系统中,例如单点登录系统。但是Pod使用了一种称为ServiceAccount的机制,该机制被创建和存储在集群中作为ServiceAccount资源。

正常用户和ServiceAccount都可以属于一个或多个组。前面提到过认证插件会返回用户名、用户ID和组信息。组可以一次给多个用户赋予权限,而不是单独给用户赋予权限。

由插件返回的组仅仅是表示组名称的字符串,但是系统内置的组会有一些特殊的含义。

  • system:unauthenticated组用于所有认证插件都不会认证客户端身份的请求
  • system:authenticated组会自动分配给一个成功通过认证的用户
  • system:serviceaccounts组包含所有在系统中的ServiceAccount
  • system:serviceaccounts:<namespace>组包含了所有在特定命名空间中的ServiceAccount

2、ServiceAccount

前面我们已经了解了,Api-Server要求客户端在服务器上执行操作之前对自己进行身份认证。比如Pod,他会通过发送/var/run/secrets/kubernetes.io/serviceaccount/token文件内容给Api-Server来进行身份认证,这个文件是通过Secret卷挂载在每个容器的文件系统中的。

这个token文件是什么呢?

每个Pod都会和一个ServiceAccount相关联,他代表了运行在Pod中应用程序的身份证明。这个token文件就是ServiceAccount的认证token。应用程序在使用这个token连接Api-Server时,身份认证插件会对ServiceAccount进行身份认证,并将ServiceAccount的用户名传回Api-Server。Api-Server再将这个用户名传给授权插件,这会决定该应用程序所尝试执行的操作是否被ServiceAccount允许执行。

ServiceAccount用户名的格式为:system:serviceaccount:<namespace>:<serviceAccountName>

在每个namespace都会默认存在一个名为default的ServiceAccount,每个Pod都可以与一个ServiceAccount相关联,但是多个Pod可以使用同一个ServiceAccount。注意:Pod只能使用同一个Namespace下的ServiceAccount。
在这里插入图片描述

2.1 创建ServiceAccount

由于创建一个ServiceAccount很简单,因此可以直接通过命令行的方式创建kubectl create serviceaccount test-sa

通过kubectl describe sa test-sa查看这个ServiceAccount。

[root@k8s-node1 ~]# kubectl create serviceaccount test-sa
serviceaccount/test-sa created

[root@k8s-node1 ~]# kubectl describe sa test-sa
Name:                test-sa
Namespace:           default
Labels:              <none>
Annotations:         <none>
Image pull secrets:  <none>     ### 这些会被自动地添加到使用这个ServiceAccount的所有Pod中
Mountable secrets:   test-sa-token-fzzc6    ### 如果强制使用可挂载的密钥,那么使用这个ServiceAccount的Pod只能挂载这些密钥。下面会解释这个。
Tokens:              test-sa-token-fzzc6    ### 认证token,第一个token挂载在容器内
Events:              <none>

可以看到,这里已经创建了自定义的token密钥,并将它和ServiceAccount相关联。

通过查看这个secret,可以看到他记录了CA证书、namespace、token(ServiceAccount中使用的身份认证token就是JWT token)
在这里插入图片描述

Mountable secrets

之前学习Secret的时候我们知道,可以为一个Pod挂载一个Secret。默认情况下Pod是可以挂载任何一个Secret的。但是,我们可以通过对ServiceAccount进行配置,让Pod只允许挂载ServiceAccount中列出的可挂载密钥(也就是Mountable secrets中列出的Secret)。

为了开启这个功能,需要在ServiceAccount中添加一个注解:kubernetes.io/enforce-mountable-secrets="true"

当ServiceAccount被加上上面这个注解后,任何使用这个ServiceAccount的Pod只能挂载进ServiceAccount指定的可挂载密钥。

2.2 将ServiceAccount分配给Pod

apiVersion: v1
kind: ServiceAccount
metadata:
  name: backend-sa
---
apiVersion: v1
kind: Pod
metadata:
  name: curl-custom-sa
spec:
  serviceAccountName: backend-sa    ### 这个Pod使用指定的ServiceAccount
  containers:
  - name: ng   
    image: nginx

注意:Pod的ServiceAccount必须在Pod创建时进行设置,后续不能被修改!

为这个Pod分配好了ServiceAccount仅仅只是代表着运行在这个Pod中的应用程序有了一个身份证明。如果这个Pod中的应用程序想去和Api-Server通信,那么他仅仅只能通过认证插件,接着他会被授权插件拦截(RBAC授权插件),然后返回403状态码(如果被认证插件拦截则会返回401状态码)。

3、RBAC授权插件

Kubernets的Api-Server可以配置使用一个授权插件来检查是否允许用户请求的动作执行。

RBAC授权插件将用户角色作为决定用户能否执行操作的关键因素。主体(可以是一个人、一个ServiceAccount,或者一组用户或ServiceAccount)和一个或多个角色相关联,每个角色被允许在特定的资源上执行特定的动作。

3.1 关于RBAC的资源

RBAC授权规则是通过四种资源来进行配置的,他们可以分为两组:

  • Role(角色)和ClusterRole(集群角色),他们指定了在资源上可以执行哪些动作。
  • RoleBinding(角色绑定)和ClusterRoleBinding(集群角色绑定),他们将上述角色绑定到特定的用户、组或ServiceAccount上。

角色定义了可以做什么操作,而绑定定义了谁可以做这些操作。

在这里插入图片描述
Role和RoleBinding是命名空间的资源,而ClusterRole和ClusterRoleBinding是集群级别的资源。

3.2 Role和RoleBinding实际应用

(1)创建Namespace和Pod

首先分别在foo和bar namespace下创建一个Pod:

kubectl create ns foo

kubectl create ns bar

kubectl run test --image=luksa/kubectl-proxy -n foo   ### 这个镜像启动后会运行一个kubectl proxy进程,这个进程会将接收到的请求发送给Api-Server,同时以foo命名空间下的默认ServiceAccount的Token和Api-Server进行身份认证

kubectl run test --image=luksa/kubectl-proxy -n bar

然后分别打开两个控制台,进入foo下的test的shell窗口

kubectl exec -it test -n foo -- sh

kubectl exec -it test -n bar -- sh

接下来验证RBAC是否已经开启并且阻止Pod读取集群状态,使用下面的命令来列出foo命名空间中的服务:

curl localhost:8001/api/v1/namespaces/foo/services

在这里插入图片描述

我们可以看到Api-Server拒绝了这个请求,他不允许列出foo命名空间中的Service,返回的code是403,表示的是授权过程失败(RBAC插件起的作用)了,也就是我们默认的ServiceAccount的默认权限不允许他列出或修改任何资源。下面看看如何让这个ServiceAccount可以去操作指定的资源。

(2)使用Role和RoleBinding

Role资源定义了哪些操作可以在哪些资源上执行。(或者是他定义了哪种类型的HTTP请求可以在哪些RESTful资源上执行)

创建Role
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: service-reader
  #namespace: test        ### 指定允许用户操作test命名空间中的指定资源!
  ### 注意,我在这里没有指定命名空间,而在apply的时候特意指定了!
rules:
- apiGroups: [""]           ### Service是核心apiGroup的资源,所以没有apiGroup名,就是""
  verbs: ["get", "list"]    ### 指定允许获取独立的Service,或者列出所有允许的Service
  resources: ["services"]   ### 指定是什么资源,一定要使用资源的复数形式!

分别在foo和bar命名空间下创建Role

kubectl apply -f service-reader.yaml -n foo ### 指定这个Role所在的命名空间

kubectl apply -f service-reader.yaml -n bar

这两个Role将会允许你在两个Pod中分别列出各自命名空间下Service。但是仅仅创建了这两个Role还不够,还需要将这个Role绑定到各自命名空间下的ServiceAccount上。

通过RoleBinding绑定ServiceAccount和Role

Role定义了哪些操作可以执行,但是没有指定谁可以执行这些操作。要实现这个效果,需要将Role绑定到一个主体(用户、组、ServiceAccount)

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: test
  namespace: foo
roleRef:  ### RoleBinding只能引用一个Role
  apiGroup: rbac.authorization.k8s.io
  kind: Role
  name: service-reader    ### 这个RoleBinding引用了service-reader Role
subjects:                 ### 并将这个Role绑定到foo命名空间中的default ServiceAccount上
- kind: ServiceAccount    ### Rolebinding可以为一个Role绑定多个ServiceAccount
  name: default
  namespace: foo

这个文件的含义是:将service-reader这个Role绑定到foo这个命名空间下的名为default的ServiceAccount上。这个RoleBinding会被创建在foo命名空间下。

在这里插入图片描述
接下来在再测试从foo命名空间的Pod种访问Api-Server
在这里插入图片描述
此时bar命名空间中的Pod还没有权限列出foo命名空间下的Service资源,甚至他自己命名空间下的所有Service资源他都无权访问,我们可以修改刚刚创建的RoleBinding,给他添加一个subjects。如下:(这也证明了一个Role可以和多个命名空间下的ServiceAccount进行绑定)

kubectl edit rolebinding test -n foo

在这里插入图片描述
可以看到,在bar命名空间下的Pod可以查看到foo命名空间下的Service资源了!

注意:此时在bar命名空间下的Pod依旧不可以查看到自己bar命名空间下的Service资源!这是因为我们是将foo命名空间下的Role和bar命名空间下的ServiceAccount进行了绑定。而没有将bar命名空间下的Role和他自己空间的ServiceAccount绑定。

在这里插入图片描述

3.3 ClusterRole和ClusterRoleBinding实际应用

由于Role是命名空间级的资源,所以一个常规的角色只允许访问和角色在同一命名空间中的资源。如果你希望允许跨不同命名空间访问资源,就必须要在每个命名空间中创建一个Role和RoleBinding。当创建一个新的命名空间时,必须记住也要在新的命名空间中创建这两个资源。是不是有些太麻烦了。

对于上面的问题,ClusterRole可以解决,因为他们是集群级别的资源,他允许访问:

  • 集群级别的资源
  • 非资源类型的URL
  • 作为单个命名空间内部绑定的公共角色,从而避免必须在每个命名空间中重新定义相同的角色。(第三条就是解决上面问题的方案,具体可以参考(3))

在Kubernetes中存在一些集群级别的资源:Node、PV、Namespace等,而且Api-Server对外暴露了一些不表示资源的URL路径,如/healthz,对于这些资源或者非资源类型的URL,普通的Role都是没办法为他们授权的,但是ClusterRole可以!

(1)允许访问集群级别的资源

下面创建一个ClusterRole,这个角色具有查询所有PV的权限。

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: pv-reader
rules:
- apiGroups:
  - ""
  resources:
  - persistentvolumes
  verbs:
  - get
  - list

现在我们只是创建了这个ClusterRole,还未将他绑定到ServiceAccount上。这时我们先在foo命名空间下的Pod中尝试查询一下pv,可以看他,这个Pod还没有权限查看pv。
在这里插入图片描述

接着创建一个ClusterRoleBinding,将ClusterRole和主体进行绑定。

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: pv-test
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: pv-reader
subjects:
- kind: ServiceAccount
  name: default
  namespace: foo

这时,我们就可以在foo命名空间下的Pod中获取集群中的PV资源了。
在这里插入图片描述

在这里插入图片描述

需要注意的是:一个RoleBinding是不能授予集群级别的资源访问权限,即使他绑定的是一个ClusterRole!如下图:

在这里插入图片描述

(2)允许访问非资源型的URL

前面提到过了,Api-Server还会对外暴露一些非资源类型的URL,访问这些URL也必须要显示的授权,否则,Api-Server会拒绝客户端的请求。默认情况下,系统中是存在一个名为system:discovery的ClusterRole和ClusterBinding的,这个ClusterRole默认被绑定到了集群中所有已认证的用户。

我们在foo命名空间中的Pod中试着访问一些非资源类型的URL,发现是可以访问到的。
在这里插入图片描述

下面看看集群中默认创建的ClusterRole和ClusterBinding
在这里插入图片描述

在nonResourceURLs下列出了可以访问的非资源类型的URL

在这里插入图片描述

可以看到ClusterRoleBinding引用了system:discovery这个ClusterRole,同时将ClusterRole绑定到了所有认证过的用户上。

注意:Group(组)位于身份认证插件的域中。Api-Server接收到一个请求时,它会调用身份认证插件来获取用户所属组的列表,之后授权中会使用这些组的信息。

(3)使用ClusterRole来授权访问指定命名空间中的资源

ClusterRole不是必须一直和集群级别的ClusterRoleBinding捆绑使用。他们也可以和常规的有命名空间的RoleBinding进行捆绑,授权访问RoleBinding命名空间中的资源。(但是需要注意前面所说的,RoleBinding就算和ClusterRole捆绑使用了也不能授予集群级别的资源访问权限)

下面我们再来看一个系统默认定义好的ClusterRole。
在这里插入图片描述

我们可以看到这个系统默认的view ClusterRole他的权限是,可以对resources中列出的所有资源(都是命名空间级的资源)进行一系列查看的操作。

这个ClusterRole可以和ClusterRoleBinding绑定还可以和RoleBinding绑定。会有不同的效果。

  • 和ClusterRoleBinding绑定后,在绑定中列出的主体可以在所有名称空间中查看指定的资源。
  • 和RoleBinding绑定后,那么在绑定中列出的主体只能查看在RoleBinding命名空间中的资源。

在绑定之前,我们先看看在foo命名空间的Pod中查看所有命名空间的Pods和指定命名空间下的Pods的效果。
在这里插入图片描述

下面创建一个ClusterRoleBinding,并将他绑定到Pod的ServiceAccount上:

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: view-test
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: view
subjects:
- kind: ServiceAccount
  name: default
  namespace: foo

然后我们再在这个Pod中查看foo命名空间下的Pods和所有命名空间中的Pods,发现都是可以访问到的。
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

图中展示了,我们用一个ClusterRoleBinding绑定了ClusterRole和ServiceAccount,这时这个ServiceAccount就有了访问所有命名空间资源的权限。

接下来使用ClusterRole和RoleBinding绑定,看看效果。(别忘了先删除上面创建的ClusterRoleBinding)

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: view-test
  namespace: foo     ### 别忘了给RoleBinding指定命名空间
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: view
subjects:
- kind: ServiceAccount
  name: default
  namespace: foo

现在在用这个foo命名空间下的RoleBinding将ClusterRole和他同一命名空间下的default ServiceAccount绑定到了一起。我们可以看到他仅能查看在RoleBinding命名空间中的资源。
在这里插入图片描述
在这里插入图片描述

3.4 总结Role、ClusterRole、RoleBinding、ClusterRoleBinding如何搭配使用

访问的资源使用的角色类型使用的绑定类型
集群级别的资源(Nodes、PVs……)ClusterRoleClusterRoleBinding
非资源型URL(/api、/healthz……)ClusterRoleClusterRoleBinding
在任何命名空间中的资源ClusterRoleClusterRoleBinding
在具体命名空间中的资源(在多个命名空间中重用这个相同的ClusterRole)ClusterRoleRoleBinding
在具体命名空间中的资源(Role必须在每个命名空间中定义好)RoleRoleBinding
菜鸟琪
关注
  • 16
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 43
    评论
专栏目录
Kubernetes中的证书工作机制详解
11-29
解释了Kubernetes中的证书工作机制,工作原理,如何制作等。
kubernetes认证-CKA、CKS考试
热门推荐
西京刀客
04-17 2万+
K8s的专业技术认证主要有以下几种: * CKA(Kubernetes 管理员认证) * CKAD(Kubernetes 应用程序开发者认证) * CKS(Kubernetes 认证安全专家。预计2020年11月开放,须先通过CKA认证
深入理解K8S【安全认证机制&kubectlconfig】
最新发布
weixin_45565886的博客
05-14 1103
深入理解K8S【安全认证机制&kubectlconfig】
Kubernetes那点事儿——k8s安全认证
liangpangpangyo的博客
03-04 1028
要允许这些插件组件以超级用户权限运行,需要将集群的 cluster-admin 权限授予 kube-system 名字空间中的 “ServiceAccount” 服务账户。Adminssion Control实际上是一个准入控制器插件列表,发送到API server的请求都需要经过这个列表中的每个准入控制器插件的检查,检查不通过,则拒绝请求。RBAC(Role-Based Access Control,基于角色的访问控制),允许通过Kubernetes API动态配置策略。
k8s习第19天--证书认证
qq_34893654的博客
05-04 812
Kubernetes (k8s) 提供了多种用于认证管理的机制,这些机制可以确保只有经过授权的用户和服务能够访问Kubernetes集群。以下是Kubernetes中常用的一些认证管理机制:证书认证:通过使用X.509证书来进行身份验证和授权。Kubernetes集群必须配置CA证书颁发机构,以便在证书过期之前对颁发的证书进行撤销并更新。Token认证:在Kubernetes API服务器上创建一个持久令牌,该令牌可用于访问API服务器。
k8s安全认证
杨海吉
01-31 492
Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。所谓的安全性其实就是保证对Kubernetes的各种客户端进行认证和鉴权操作。客户端:一般是独立于kubernetes之外的其他服务管理的用户账号。:kubernetes管理的账号,用于为Pod中的服务进程在访问Kubernetes时提供身份标识。认证、授权与准入控制ApiServer是访问及管理资源对象的唯一入口。Authentication(认证):身份鉴别,只有正确的账号才能够通过认证
linuxfoundation kubernetes/k8s CKS考试实验手册
01-28
《Linux基金会 Kubernetes/K8s CKS考试实验手册》是针对LFS260课程的一份重要参考资料,旨在帮助考生深入理解和掌握Kubernetes的安全基础。该手册由Linux基金会于2021年1月7日发布,并对版权有严格的保护规定,仅供...
k8s】——Kubernetes知识盘点
01-20
Kubernetes(简称k8s)是Google开源的一个容器编排系统,用于自动化容器化的应用部署、扩展和管理。它提供了一个平台,使得开发者可以方便地在分布式环境中运行微服务架构的应用程序。 2. **基本概念** - **Pod**...
KubernetesK8s) CKA 认证班(第4期,2021年3月课程,基于V1.20最新版本).rar
05-07
**KubernetesK8s)CKA认证简介** Kubernetes(简称K8s)是Google开源的一款容器编排系统,现已成为云原生计算基金会(CNCF)的旗舰项目。CKA(Certified Kubernetes Administrator)认证是针对Kubernetes管理者的...
访问管理器:Kubernetes-Operator简化RBAC配置
02-07
访问管理器 ...该图像包含k8s.io/client-go版本。 Kubernetes旨在在客户端和服务器之间提供一个次要版本的向前和向后兼容性: 访问管理器 k8s.io/client-go k8s.io/apimachinery 预期的kubernetes
k8s-utils:Kubernetes实用程序帮助脚本
01-31
`k8s-utils` 是一个专为 Kubernetes(简称 k8s)设计的工具集合,它包含了一系列的 Bash 脚本,旨在简化在 Kubernetes 集群中的日常管理和运维任务。这些脚本主要面向开发人员、操作工程师以及对 Kubernetes 有深入...
Kubernetes_认证授权_初识认证授权
毛毛的专栏
03-12 632
UserAccount、ServiceAccount、RBAC的关系
k8s认证和授权
梵修
10-15 2679
Kubernetes中API Server是访问和管理资源对象的唯一入口。所有客户端均要通过API Server访问或者改变集群状态以及完成数据存储,API Server会对每一次请求进行合法性校验,校验包括:用户身份验证、操作权限验证以及操作是否符合全局规范约束等。所有检查均正常完成才能访问或存储数据到etcd。如下图所示:客户端认证操作由API Server配置的一到多个认证插件完成,收到请求后API Server会串行调用这些插件,直到一个插件可以成功识别用户身份为止。
【简单】Kubernetes 认证管理员(CKA)-最少成本顺利考过指南
Friendsofthewind的博客
10-04 3716
不要盲目报考,计算需要投入的金钱成本,目前,2022年10月3日,最少是2250.80元;时间成本,最长时限12个月内有效,从报名到考试。通过认证考试的考生将获得PDF认证证书。证书等级:中級。有效期:三年建议,入职的同可以问问公司,考证有没有报销一部分费用,以及有此证后工资每个月会多多少。
一文彻底搞懂 Kubernetes 中的认证机制
easylife206的专栏
01-13 525
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !作者:陈亦帅,中国移动云能力中心软件研发工程师,专注于云原生、微服务、算力网络等领域。前言本文首先介绍了 K8s 的访问控制过程,并对 K8s 认证的用户模型进行讲解。最后对认证过程中的用户证书认证以及 Service Account Token 认证进行举例剖析。K8s API 请求访问控制的过程我们知道,不论是通...
k8s - 安全认证RBAC
栋院
03-18 2971
api server 是集群访问控制的统一入口 k8s认证过程: 认证 -> 授权 - > 准入控制 (adminationcontroller) 1 认证()是对客户端的认证,简单说就是账户密码 2 授权()是资源的授权,容器、网络、存储资源的权限 3 准入机制 准入控制器位于api server ,在对象被持久化之前,准入控制器拦截对api server 的请求,一般用来做认证和授权。其中包括连个控制器: MutatingAdmissionWebhook 和 Validating
K8S-安全(认证、授权、准入控制)
迷雾总会解
08-26 1365
RoleBinding 同样可以引用 ClusterRole 来对当前 namespace 内用户、用户组或 ServiceAccount 进行授权,这种操作允许集群管理员在整个集群内定义一些通用的 ClusterRole,然后在不同的 namespace 中使用 RoleBinding 来引用。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。...
k8s-身份认证与权限
咕噜咕噜wy的博客
04-26 1053
Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。所谓的安全性其实就是保证对Kubernetes的各种客户端进行认证和鉴权操作。User Account:一般是独立于kubernetes之外的其他服务管理的用户账号。Service Account:kubernetes管理的账号,用于为Pod中的服务进程在访问Kubernetes时提供身份标识。
Kubernetes 证书详解
qq_37091832的博客
05-25 3359
Kubernetes 组件之间证书的关系~
深度探索:从DockerKubernetes实战指南
进入Kubernetes部分,该资料引导读者进行Kubernetes的初步体验,讲解了Kubernetes的基本概念和组件,如Pod、Service、ReplicationController、ReplicaSet、Deployment、HPA、Job/CronJob、ConfigMap、Secret和RBAC等...
评论 43
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值