k8s--基础--23.1--认证-授权-准入控制--介绍

最新推荐文章于 2023-02-01 12:01:30 发布
最新推荐文章于 2023-02-01 12:01:30 发布
阅读量225 收藏
点赞数
分类专栏: k8s 文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhou920786312/article/details/126242167
版权

k8s–基础–23.1–认证-授权-准入控制–介绍

1、介绍

  1. k8s对我们整个系统的认证,授权,访问控制做了精密的设置。
  2. 对于k8s集群来说,apiserver是整个就集群访问控制的唯一入口。
  3. 我们在k8s集群之上部署应用程序的时候,可以通过宿主机的NodePort暴露的端口访问里面的程序
  4. 用户访问kubernetes集群需要经历如下认证过程:认证->授权->准入控制(adminationcontroller)
  5. k8s的整体架构也是一个微服务的架构,所有的请求都是通过一个GateWay,也就是kube-apiserver这个组件(对外提供REST服务)
  6. k8s中客户端有以下两种,这两种客户端的认证机制略有不同,但无论是哪一种,都需要经历如下认证过程:认证->授权->准入控制
    1. 普通用户
    2. 集群内的Pod

2、认证

  1. 认证(Authenticating)是对客户端的认证,通俗点就是用户名密码验证
  2. 支持多种插件
    1. 令牌(token)认证
    2. ssl认证

2.1、令牌(token)认证

k8s提供了一个restful风格的接口,它的所有服务都是通过http协议提供的,因此认证信息只能经由http协议的认证首部进行传递,这种认证首部进行传递通常叫做令牌

2.2、ssl认证

对于k8s访问来讲,ssl认证能让客户端确认服务器的认证身份。我们在跟服务器通信的时候,需要服务器发过来一个证书,我们需要确认这个证书是不是ca签署的,如果是我们认可的ca签署的,里面的subj信息与我们访问的目标主机信息保持一致,没有问题,那么我们就认为服务器的身份得到认证了,k8s中最重要的是服务器还需要认证客户端的信息,kubectl也应该有一个证书,这个证书也是server所认可的ca签署的证书,双方需要互相认证,实现加密通信,这就是ssl认证

3、授权

  1. 授权(Authorization)是对资源的授权,k8s中的资源无非是容器,最终其实就是容器的计算,网络,存储资源。
  2. 当一个请求经过认证后,需要访问某一个资源(比如创建一个pod),授权检查都会通过访问策略比较该请求上下文的属性,(比如用户,资源和Namespace),根据授权规则判定该资源(比如某namespace下的pod)是否是该客户可访问的。
  3. kubernetes1.6之后开始有RBAC(基于角色的访问控制机制)授权检查机制。

4、准入控制

  1. 是一种在改变资源的持久化之前(比如某些资源的创建或删除,修改等之前)的机制。
  2. 一般情况,准入控制只是用来定义我们授权检查完成之后的后续的其他安全检查操作的,进一步补充了授权机制,由多个插件组合实行,一般而言在创建,删除,修改或者做代理时做补充;
勤径苦舟
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
k8s之RBAC 详解(基于角色的访问控制)
qfyangsheng的博客
08-19 1585
一个实验搞定RBAC RBAC基于角色的访问控制--全拼Role-Based Access Control ​ Service Account为服务提供了一种方便的认证机制,但它不关心授权的问题。可以配合RBAC来为Service Account鉴权 ​ 在Kubernetes中,授权有ABAC(基于属性的访问控制)、RBAC(基于角色的访问控制)、Webhook、Node、AlwaysDeny(一直拒绝)和AlwaysAllow(一直允许)这6种模式。 ​ 在RABC API中,通过如下的步骤进行授权
K8S认证授权准入控制(RBAC)详解
weixin_33915554的博客
04-17 845
相关推荐 本文的kubernetes环境:https://blog.51cto.com/billy98/2350660 RBAC官方文档:https://kubernetes.io/docs/reference/access-authn-authz/rbac/ 前言 RBAC (Role-Based Access Control,基于角色的访问控制)是一种新型、灵活且使用广泛的访问控制机制,它...
Kubernetes身份认证授权操作全攻略:K8s 访问控制入门
Rancher
08-14 770
随着Kubernetes被广泛使用,成为业界公认的容器编排管理的标准框架,许多开发人员以及管理员对部署、弹性伸缩以及管理容器化应用程序等Kubernetes的关键概念都十分熟悉。而对于生产部署而言,Kubernetes的安全性至关重要。因此,了解平台如何管理用户和应用程序的身份认证授权十分必要。 我们将推出一系列文章,以一种实践性的视角来了解平台内部的Kubernetes和Pod外部用户...
k8s安全管理:认证授权准入控制概述
weixin_51697758的博客
08-16 776
User Accounts(用户账户)和Service Accounts(服务账户)两种:UserAccount是给kubernetes集群外部用户使用的,例如运维或者集群管理人员,,kubeadm安装的k8s,默认用户账号是kubernetes-admin;APIServer需要对客户端做认证,使用kubeadm安装的K8s,会在用户家目录下创建一个认证配置文件 .kube/config这里面保存了客户端访问API Server的密钥相关信息。...
详解 k8s 中的 RBAC
wolaisongfendi的博客
02-01 542
Kubernetes 主要通过 API Server 对外提供服务,对于这样的系统来说,如果不加以安全限制,那么可能导致请求被滥用,甚至导致整个集群崩塌。 Kubernetes 中提供了良好的多租户认证管理机制,RBAC正式其中重要的一个,今天我们来详细聊聊 K8s 中的 RBAC。
k8s-gitlab-ci-demo
02-27
1、spring-boot应用程序,内部controller实现了Word POI导出的demo。 2、实现了Dockerfile镜像打包。 3、在Kubernetes v1.22.12部署的相关yaml。 4、集成kube-prometheus监控功能,可查看JVM相关信息。...
k8s-grafana模板.rar
12-18
Kubernetes与Grafana深度整合:解析k8s-grafana模板》 在现代云计算环境中,Kubernetes(简称k8s)作为容器编排的首选平台,为开发者提供了强大的资源管理和部署工具。与此同时,Grafana作为一种流行的可视化平台...
银河麒麟 arrch k8s 可用 nfs-client-provisioner
最新发布
03-07
银河麒麟 arrch k8s 可用 nfs-client-provisioner
content-k8s-provisioner
05-27
描述该存储库包含为UPP(交付,发布)和PAC平台创建/更新/销毁... 要使用预配器,请先在本地构建docker映像: docker build -t k8s-provisioner:local . 设置新集群要为特定平台或群集类型(例如pac / publishin
k8s-sidecar-injector:Kubernetes边车注入服务
02-03
k8s边车喷油器使用Kubernetes中的MutatingAdmissionWebhook在资源创建时将辅助工具注入新的部署中这是什么? 在Tumblr,我们运行一些具有复杂的边车设置的容器kubernetes容器可以运行5个以上的其他容器,以及一些...
K8S-安全(认证授权准入控制)
迷雾总会解
08-26 1355
RoleBinding 同样可以引用 ClusterRole 来对当前 namespace 内用户、用户组或 ServiceAccount 进行授权,这种操作允许集群管理员在整个集群内定义一些通用的 ClusterRole,然后在不同的 namespace 中使用 RoleBinding 来引用。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。...
K8s存储------(五)访问控制认证授权(RBAC)、准入控制
qq_41582883的博客
03-04 683
拉取私有仓库的镜像 (1)应用文件:kubectl apply -f pod3.yml apiVersion: v1 kind: Pod metadata: name: pod spec: containers: - name: redis-photo image: reg.westos.org/linux/redis-photon 查看pod的信息:kubectl get pod,私有仓库镜像拉取失败 查看pod的详细信息:kubectl describe pod p
k8s系列---k8s认证及serviceaccount、RBAC
weixin_30616969的博客
01-24 1009
http://blog.itpub.net/28916011/viewspace-2215100/ 对作者文章有点改动 注意kubeadm创建的k8s集群里面的认证key是有有效期的,这是一个大坑!!!!!! 目前RBAC是k8s授权方式最常用的一种方式。 在k8s上,一个客户端向apiserver发起请求,需要如下信息: 1)username,uid, 2) group, 3...
k8s 基于RBAC的认证授权介绍和实践
「 虚幻私塾」
01-23 857
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 在K8S中,当我们试图通过API与集群资源交互时,必定经过集群资源管理对象入口kube-apiserver。显然不是随随便便来一个请求它都欢迎的,每个请求都需要经过合规检查,包括Authentication(身份验证)、Authorization(授权)和Admission C
k8s的访问控制认证+授权+准入控制
yrx420909的博客
05-05 3198
1. kubernetes API 访问控制 由上图来介绍一下 Kubernetes API 的请求从发起到其持久化入库的一个流程。 首先看一下请求的发起,请求的发起分为两个部分: 第一个部分是人机交互的过程。 是大家非常熟悉的用 kubectl 对 apiserver 的一个请求过程; 第二个部分是 Pod 中的业务逻辑与 apiserver 之间的交互。 当我们的 apiserver 收到请...
k8s--基础--23.3--认证-授权-准入控制--授权
zhou920786312的博客
08-15 638
就是给用户(Users)授予一个角色(Role),那么这个用户就有这个角色的权限。Role是有名称空间的限制的。
k8s之RBAC授权模式
weixin_37337210的博客
01-13 1046
导读 上一篇说了k8s授权管理,这一篇就来详细看一下RBAC授权模式的使用 RBAC授权模式 基于角色的访问控制,启用此模式,需要在API Server的启动参数上添加如下配置,(k8s默然采用此授权模式)。 --authorization-mode=RBAC /etc/kubernetes/manifests/kube-apiserver.yaml (1)对集群中的资源及非资源权限均有完整的覆盖 (2)整个RBAC完全由几个API对象完成,同其他API对象一样,可以用kube.
k8s - 安全认证(RBAC)
栋院
03-18 2963
api server 是集群访问控制的统一入口 k8s认证过程: 认证 -> 授权 - > 准入控制 (adminationcontroller) 1 认证()是对客户端的认证,简单说就是账户密码 2 授权()是资源的授权容器、网络、存储资源的权限 3 准入机制 准入控制器位于api server ,在对象被持久化之前,准入控制器拦截对api server 的请求,一般用来做认证授权。其中包括连个控制器: MutatingAdmissionWebhook 和 Validating
【Linux39-15】k8s API 访问控制( sa+ua 认证、RBAC授权准入控制
weixin_46069582的博客
03-24 817
文章目录一、Kubernetes API 访问控制1.1 认证1.2 授权1.3 准入控制二、认证2.1 serviceAccount 不安全示例2.2 创建 serviceAccount2.3 创建 userAccount三、RBAC授权(基于角色的访问控制)3.1 Role 及 RoleBinding 示例3.2 ClusterRole 示例3.2.1 RoleBinding(指定namespace授权)3.2.2 ClusterRoleBinding(跨集群授权) 一、Kubernetes API

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值