热门标签
热门文章
- 1maven的pom.xml中repositories的作用_pom repositories
- 2实验—UML正向工程和反向工程应用_uml 顺序图 正向工程
- 3Java常用类库之String_java string库
- 4基于代码一步一步教你深度学习中循环神经网络(RNN)的原理
- 5通过阿里云ECS服务器公网ip访问tomcat,nginx
- 6我的1827创作纪念日
- 7Class类的继承_class继承
- 8【Java程序设计】【C00254】基于Springboot的java学习平台(有论文)
- 9Excel数据可视化—波士顿矩阵图【四象限图】_波斯顿矩阵图excel怎么做
- 10100个go语言面试问答合集_golangde_SQL_go语言mysql的面试题
当前位置: article > 正文
k8s安全机制
作者:AI编程探险家 | 2024-01-29 08:52:16
赞
踩
k8s安全机制
k8s的安全机制。分布式集群管理工具,就是容器编排
安全机制的核心:APIserver作为整个内部通信的中介,也是外部控制的入口,所有的安全机制都是围绕API server来进行设计
请求API资源
1、认证
2、鉴权
3、准入控制
只有三个条件都通过,才可以在k8s集群当中创建
认证:Anthentcation
1、HTTP Token:通过token识别合法用户,token是一个很长,很复杂的一个字符串,字符串是用来表达客户的一种方式,每个token对应一个用户名,用户名存储在APIserver能够访问的文件中
客户端发起请求时,HTTP headr包含token
客户端发起请求----token----APIserver(用户名存储文件)----解码-----用户名-----访问集群
2、http base:用户+密码的验证方式,用户名和密码都是通过base64进行加密,加密完成的字符串,http Request的header Atuthorization,发送给服务端,服务端收到加密字符串,解码,获取用户名和密码,验证通过,登录成功
3、https证书: 最严格的方式,也是最严谨的方式,基于CA根证书签名的客户端身份进行验证
认证的访问类型
1、k8s组件对api server组件的访问, kubelet kube-proxy
2、pod对APi server的访问,pod coredNS dashborad都是pod,也需要访问APi
3、客户端kubelet
- kubelet kube-proxy:都是通过APiserver的https证书,进行双向验证,都是用6443端口进行验证
- controller manager sheduler与APi server在一台服务器,可以直接使用APi server的非安全端口访问(8080端口)
签发证书
1、手动签发 二进制部署就是手动签发证书,CA签发----把证书匹配到每个对应组件,然后访问6443即可
2、自动签发,kubeadm,kubelet第一次访问api server使用token,token通过之后,controller manager会为kubelet生成一个证书,以后都是通过证书访问,kubeadm修改了证书的有效期,默认1年
3、kubeconfig,文件包含集群的参数,CA证书,API server地址,客户端的参数(客户端的证书和私钥),集群的名称和用户名
- k8s组件通过启动时指定访问不同的kubeconfig,可以访问不同的集群----API server---namespace---资源对象---pod----容器
- kubeconfig既是集群的描述文件,也是一个集群信息的保存文件,包含了集群的访问方式和认证信息
- -/ .kube/config 保存的是kubectl的访问认证信息
4、service Account,就是为了方便pod中的容器访问API server
pod的动作(增删改查)动态的,每个pod手动生成一个证书,于是k8s使用了service Account来进行循环认证,service Account里面包含了统一的认证信息,直接进行api server访问5、Secret 保存资源对象
- serverAccount 内部保存的token service-Account-token
- Secret保存的是自定义的保密信息
6、serviceAccount保存信息
- 1、token
- 2、ca.crt
- 3、namespace
- 都会被自动挂载
鉴权
之前的认证过程,只是确认了双方都是可信的,可以相互通信的,鉴权是为了确定请求方的访问权限
能做那些指定的操作
- 1、ALwaysDeny 拒绝所有,一般是测试
- 2、ALwaysAllow 允许所有,用测试
- 3、ABAC attribute-base access control 基于属性的访问控制
- 4、webhook 外部访问集群内部的鉴权方式
- 5、RBAC role-base access control 基于角色的访问控制,也是k8s现在默认的规则机制
-
- 角色
- role 指定命名空间的资源控制权限
- 绑定角色
- rolebinding 将角色绑定到指定的命名空间
- 集群
- clusterrole 可以授权所有命名空间的资源控制权限
- 绑定集群
- clusterrolebinding 将集群的角色绑定到命名空间
准入控制
准入控制是api server的一个准入控制器的插件列表,不同的插件可以实现不同的准入控制机制
一般情况下建议使用官方默认的准入控制器
有哪些准入控制
- limitranger 命名空间的配置
- serviceAccount
- ResourceQuota 命名空间的配置限制
实验
实现不同用户管理自己的命名空间
- 创建一个用户
- useradd lucky
- passwd lucky
-
- 上传证书到 /usr/local/bin 目录中
- chmod +x /usr/local/bin/cfssl*
- mkdir /opt/lucky
- cd /opt/lucky
-
- vim user-cert.sh
- cat > lucky-csr.json << EOF
- {
- "CN": "lucky",
- "hosts": [],
- "key": {
- "algo": "rsa",
- "size": 2048
- },
- "names": [
- {
- "C": "CN",
- "ST": "Nanjing",
- "L": "Nanjing",
- "O": "k8s",
- "OU": "system"
- }
- ]
- }
- EOF
- 赋权
- chmod +x user-cert.sh
- ./user-cert.sh
-
- /etc/kubernetes/pki/ 目录中会生成 lucky-key.pem、lucky.pem、lucky.csr
- cd /etc/kubernetes/pki/
- cfssl gencert -ca=ca.crt -ca-key=ca.key -profile=kubernetes /opt/lucky/lucky-csr.json | cfssljson -bare lucky
-
- cd /opt/lucky
- vim rbac-kubeconfig.sh
- APISERVER=$1
- # 设置集群参数
- export KUBE_APISERVER="https://$APISERVER:6443"
- kubectl config set-cluster kubernetes \
- --certificate-authority=/etc/kubernetes/pki/ca.crt \
- --embed-certs=true \
- --server=${KUBE_APISERVER} \
- --kubeconfig=lucky.kubeconfig
-
- # 设置客户端认证参数
- kubectl config set-credentials lucky \
- --client-key=/etc/kubernetes/pki/lucky-key.pem \
- --client-certificate=/etc/kubernetes/pki/lucky.pem \
- --embed-certs=true \
- --kubeconfig=lucky.kubeconfig
-
- # 设置上下文参数
- kubectl config set-context kubernetes \
- --cluster=kubernetes \
- --user=lucky \
- --namespace=lucky-cloud \
- --kubeconfig=lucky.kubeconfig
-
- kubectl create namespace lucky-cloud
- chmod +x rbac-kubeconfig.sh
- 生成鉴权
- ./rbac-kubeconfig.sh 20.0.0.70
-
- 使用上下文参数生成 lucky.kubeconfig 文件
- kubectl config use-context kubernetes --kubeconfig=lucky.kubeconfig
-
- 查看证书
- cat lucky.kubeconfig
-
- mkdir /home/lucky/.kube
- cp lucky.kubeconfig /home/lucky/.kube/config
- chown -R lucky:lucky /home/lucky/.kube/
-
- RBAC授权
- vim rbac.yaml
- apiVersion: rbac.authorization.k8s.io/v1
- kind: Role
- metadata:
- namespace: lucky-cloud
- name: pod-reader
- rules:
- - apiGroups: [""]
- resources: ["pods"]
- verbs: ["get", "watch", "list", "create"]
-
- ---
- apiVersion: rbac.authorization.k8s.io/v1
- kind: RoleBinding
- metadata:
- name: read-pods
- namespace: lucky-cloud
- subjects:
- - kind: User
- name: lucky
- apiGroup: rbac.authorization.k8s.io
- roleRef:
- kind: Role
- name: pod-reader
- apiGroup: rbac.authorization.k8s.io
-
- kubectl apply -f rbac.yaml
-
- kubectl get role,rolebinding -n lucky-cloud
- NAME CREATED AT
- role.rbac.authorization.k8s.io/pod-reader 2024-01-25T05:59:37Z
-
- NAME ROLE AGE
- rolebinding.rbac.authorization.k8s.io/read-pods Role/pod-reader 16s
-
- 切换用户,测试操作权限
- su - lucky
-
- vim pod-test.yaml
- apiVersion: v1
- kind: Pod
- metadata:
- name: pod-test
- spec:
- containers:
- - name: nginx
- image: nginx
-
-
- kubectl create -f pod-test.yaml
- kubectl get pods -o wide
- NAME READY STATUS RESTARTS AGE
- pod-test 1/1 Running 0 33s
声明:本文内容由网友自发贡献,转载请注明出处:【wpsshop】
推荐阅读
- 可以在线体验哦:体验地址TypeScript实战——ChatGPT前端自适应手机端,PC端前言前些天发现了一个巨牛的人工智能学习网站,通俗易懂,风趣幽默,忍不住分享一下给大家:https://www.captainbed.cn/z可以在线体... [详细]
赞
踩
- 这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一... [详细]
赞
踩
- 本文分享Java后端真实高频面试题,有详细答案,保你稳过面试。题目包括:Java基础、多线程、JVM、数据库、Redis、Shiro、Spring、SpringBoot、MyBatis、MQ、ELK、SpringCloud、设计模式等。本博... [详细]
赞
踩
- Golang连接Oracle需要安装OracleFullClient或InstantClientOracle的InstantClient套件下载地址#选择InstantClientformacOS(Intelx86)下载包如下:instan... [详细]
赞
踩
- 主要通过动态控制抽屉宽度来解决展示隐藏问题_vue抽屉动画vue抽屉动画纯CSS开发侧边栏抽屉打开关闭动画样式不会截屏动态样式,动画效果可以参考el-drawer的效果,废话不多说,直接上代码//HTML片段<sectionclass... [详细]
赞
踩
- IDCNN(IteratedDilatedConvolutionalNeuralNetwork)是一种特别设计的卷积神经网络(CNN),用于处理自然语言处理(NLP)中的序列标注问题,例如命名实体识别(NER)。IDCNN的关键特点是使用了... [详细]
赞
踩
- 华为CouldAPI人工智能系列——文本相似度(基础与高级)华为CouldAPI人工智能系列——文本相似度(基础与高级)华为CouldAPI人工智能系列——文本相似度(基础与高级)前言云原生时代,开发者们的编程方式、编程习惯都发生了天翻地覆... [详细]
赞
踩
- 【代码】LeetCode114.二叉树展开为链表。_leetcode114leetcode114LeetCode114.二叉树展开为链表原题思路代码运行截图收获原题LeetCode114.二叉树展开为链表思路这个先序遍历就是将右子树插入左子... [详细]
赞
踩
- packagemainimport"fmt"funcmain(){//截取字符串,可以采用数组的那种截取方式str:="helloworld!"//包括冒号前面的下标,但不包括冒号后面的。下面截取的是字符串从第零位开始到第四位str=str... [详细]
赞
踩
- Hotspot源码解析;JVM源码解析;JVMJavaClass初始化;Java虚拟机源码解析Hotspot源码解析-第23章--JavaClass的初始化这一章的内容主要是对初始后的JavaClass的需要使用(主要体现在反射)的字段计算... [详细]
赞
踩
- 现在来做一个准备工作,配置好redis的同步!正常的redisforwindows的安装这里就不说了;讲一下如何配置两台或者多台电脑的共享redis吧!归纳语:要想实现scrapy-redis,首先把这个配置好!不然其他一切白搭,学了也白学... [详细]
赞
踩
- 针对golang中error的处理思路_golang错误处理封装golang错误处理封装error封装Error,Exception&Panic1.Error错误是程序中可能出现的问题,比如连接数据库失败,连接网络失败等,在程序设计... [详细]
赞
踩
- 在做开发的时候需要记录每个任务执行时间,或者记录一段代码执行时间,简单且粗暴的方法就是打印当前时间与执行完时间的差值,然后这样如果执行大量测试的话就很麻烦,并且不直观,如果想对执行的时间做进一步控制,则需要在程序中很多地方修改,目前spri... [详细]
赞
踩
- Go语言数据的使用之类型转换_gormnil值转换gormnil值转换Go语言学习系列类型转换引言主要内容1.概念2.数值类型之间的转换3.与string类型相关的转换4.别名类型值之间的转换结语引言在上一篇博文中,我们介绍了Go语言的《数... [详细]
赞
踩
- 查看内核的每个包的安装情况,以137的版本为基准进行对比,发现146的包应该有linux-headers-5.4.0-146-generic、linux-hwe-5.4-headers-5.4.0-146、linux-image-5.4.0... [详细]
赞
踩
- pycharm+Python+selenium+Chrome安装配置自动化测试环境_pycharm安装seleniumpycharm安装selenium一、安装Python1、下载官网下载链接:PythonReleasesforWindow... [详细]
赞
踩
- 使用@Scheduled注解实现创建静态定时任务;实现接口自定义配置定时任务;集成Quarz、ElasticJob、xxl-job等第三方任务调用框架。本文介绍最基本的使用@Scheduled注解实现创建静态定时任务。@Scheduledf... [详细]
赞
踩
- C++不是兼容C语言的吗?是的,如果你只是自己开发程序,只用一种语言的话,就没有必要进行封装。如果你开发的是一个C++的.so库,你希望将这个库提供给其他语言使用的话,就涉及到不同语言的相互调用,大家都知道C语言的库是最容易与其他语言交互的... [详细]
赞
踩
- C语言是一门博大精深的语言,我相信没有研读过Linux中代码的人,很少有人体会到吧,废话不多说,简单的写了一个测试demotest.htypedefvoid(*func1_callback)(void);typedefvoid(*func2... [详细]
赞
踩
- 原文地址:转:做项目的一些心得体会作者:快乐吧900发信人:sunshineyaya(sunshine),信区:Innovation标题:【创新实验】经验分享系列NO。1发信站:北邮人论坛(MonFeb1322:21:572012),站内今... [详细]
赞
踩
相关标签
