kubernetes 安全机制

最新推荐文章于 2024-09-14 09:12:01 发布
最新推荐文章于 2024-09-14 09:12:01 发布
阅读量954 收藏 17
点赞数 28
CC 4.0 BY-SA版权
文章标签: kubernetes 安全 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wys_jj/article/details/139500657

目录

一、 认证(Authentication)

1.1.三种认证方式

1.2.需要被认证的访问类型

1.3.安全性说明

1.4.证书颁发

1.5.kubeconfig

1.6.Service Account

1.7.Secret 与 SA 的关系

1.7.1.Kubernetes 设计了一种资源对象叫做 Secret,分为两类

1.7.2.Service Account 中包含三个部分

二、鉴权(Authorization)

2.1.API Server 目前支持以下几种授权策略

2.1.1.RBAC 相对其它访问控制方式,拥有以下优势

2.1.2.RBAC 的 API 资源对象说明

2.1.2.1.角色

2.1.2.2.角色绑定

2.1.2.3.主体(subject)

2.1.3.Role and ClusterRole

2.1.3.1.Role示例

2.1.3.2.ClusterRole 示例

2.1.4.RoleBinding and ClusterRoleBinding

2.1.4.1.RoloBinding

2.1.4.2.ClusterRoleBinding 示例

2.2.Resources

三、 准入控制(Admission Control

3.1.官方准入控制器推荐列表(不同版本各有不同)

3.2.列举几个插件的功能

四、创建一个用户只能管理指定的命名空间 

4.1.创建用户

4.2.使用这个用户进行资源操作,会发现连接 API Server 时被拒绝访问请求

4.3.创建用于用户连接到 API Server 所需的证书和 kubeconfig 文件

4.4.创建命名空间

4.5.RBAC授权

4.6.切换用户,测试操作权限

4.7. 如果你想让一个Pod、Service、ConfigMap、Secret等普通用户,具有接入K8s集群相关资源的操作权限

机制说明

Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介, 也是外部控制的入口。所以 Kubernetes 的安全机制基本就是围绕保护 API Server 来设计的。
比如 kubectl 如果想向 API Server 请求资源,需要过三关,第一关是认证(Authentication),第二关是鉴权(Authorization), 第三关是准入控制(Admission Control),只有通过这三关才可能会被 K8S 创建资源。

一、 认证(Authentication)

是对客户端的认证,通俗点就是用户名密码验证

这是安全机制的第一道防线。它负责确认请求者的身份。

1.1.三种认证方式

  • HTTP Token 认证:通过一个 Token 来识别合法用户

HTTP Token 的认证是用一个很长的特殊编码方式的并且难以被模仿的 Token 字符串来表达客户的一种方式。Token 是一个很长的很复杂的字符串,每一个 Token 对应一个用户名存储在 API Server 能访问的文件中。当客户端发起 API 调用请求时,需要在 HTTP Header 里放入 Token。
 

  • HTTP Base 认证:通过用户名+密码的方式认证

用户名:密码 用 BASE64 算法进行编码后的字符串放在 HTTP Request 中的 Heather Authorization 域里发送给服务端, 服务端收到后进行解码,获取用户名及密码。

  • HTTPS 证书认证(最严格):基于 CA 根证书签名的客户端身份认证方式。

注:Token 认证和 Base 认证方式只能进行服务端对客户端的单向认证,而客户端不知道服务端是否合法;而 HTTPS 证书认证方式 则可以实现双向认证。
 

1.2.需要被认证的访问类型

  • Kubernetes 组件对 API Server 的访问:kubectl、kubelet、kube-proxy
  • Kubernetes 管理的 Pod 对 API Server 的访问:Pod(coredns,dashborad 也是以 Pod 形式运行)

1.3.安全性说明

  • Controller Manager、Scheduler 与 API Server 在同一台机器所以直接使用 API Server 的非安全端口访问(比如 8080 端口)
  • kubectl、kubelet、kube-proxy 访问 API Server 就都需要证书进行 HTTPS 双向认证,端口号使用 6443

1.4.证书颁发

  • 手动签发:使用二进制部署时,需要先手动跟 CA 进行签发 HTTPS 证书
  • 自动签发:kubelet 首次访问 API Server 时,使用 token 做认证,通过后,Controller Manager 会为 kubelet 生成一个证书, 以后的访问都是用证书做认证了

1.5.kubeconfig

kubeconfig 文件包含集群参数(CA 证书、API Server 地址),客户端参数(上面生成的证书和私钥),集群 context 上下文参数 (集群名称、用户名)。

Kubenetes 组件(如 kubelet、kube-proxy)通过启动时指定不同的 kubeconfig 文件可以切换到不同的集群 ,连接到 apiserver。
也就是说 kubeconfig 文件既是一个集群的描述,也是集群认证信息的填充。包含了集群的访问方式和认证信息。kubectl 文件默认位于 ~/.kube/config

1.6.Service Account

Service Account是为了方便 Pod 中的容器访问API Server。因为 Pod 的创建、销毁是动态的,所以要为每一个 Pod 手动生成证书就不可行了。 Kubenetes 使用了 Service Account 来循环认证,从而解决了 Pod 访问API Server的认证问题。

1.7.Secret 与 SA 的关系

1.7.1.Kubernetes 设计了一种资源对象叫做 Secret,分为两类

  • 用于保存 ServiceAccount 的 service-account-token
  • 用于保存用户自定义保密信息的 Opaque

1.7.2.Service Account 中包含三个部分

  • Token:是使用 API Server 私钥签名的 Token 字符串序列号,用于访问 API Server 时,Server 端认证
  • ca.crt:ca 根证书,用于 Client 端验证 API Server 发送来的证书
  • namespace:标识这个 service-account-token 的作用域名空间

默认情况下,每个 namespace 都会有一个 Service Account,如果 Pod 在创建时没有指定 Service Account,就会使用 Pod 所属的 namespace 的 Service Account。每个 Pod 在创建后都会自动设置 spec.serviceAccount 为 default(除非指定了其他 Service Accout)

[root@master1 ~]#kubectl get sa
NAME      SECRETS   AGE
default   1         21d

每个 Pod 启动后都会挂载该 ServiceAccount 的 Token、ca.crt、namespace 到 /var/run/secrets/kubernetes.io/serviceaccount/

  1. kubectl get pod -n kube-system

  2. kubectl exec -it kube-proxy-frjfw -n kube-system sh
  3. ls /var/run/secrets/kubernetes.io/serviceaccount/
[root@master1 ~]#kubectl get pod -n kube-system
NAME                              READY   STATUS    RESTARTS   AGE
coredns-74ff55c5b-7bmsp           1/1     Running   1          21d
coredns-74ff55c5b-xz7md           1/1     Running   1          21d
etcd-master1                      1/1     Running   0          21d
kube-apiserver-master1            1/1     Running   1          21d
kube-controller-manager-master1   1/1     Running   1          21d
kube-proxy-6f2vp                  1/1     Running   0          21d
kube-proxy-frjfw                  1/1     Running   0          21d
kube-proxy-q2drj                  1/1     Running   0          21d
kube-scheduler-master1            1/1     Running   1          21d

[root@master1 ~]#kubectl exec -it kube-proxy-frjfw -n kube-system sh
kubectl exec [POD] [COMMAND] is DEPRECATED and will be removed in a future version. Use kubectl exec [POD] -- [COMMAND] instead.
#
# ls /var/run/secrets/kubernetes.io/serviceaccount/
ca.crt	namespace  token
# exit

二、鉴权(Authorization)

之前的认证(Authentication)过程,只是确定通信的双方都确认了对方是可信的,可以相互通信。而鉴权是确定请求方有哪些资源的权限。

2.1.API Server 目前支持以下几种授权策略

(通过 API Server 的启动参数 “--authorization-mode” 设置)

  • AlwaysDeny:表示拒绝所有的请求,一般用于测试 
  • AlwaysAllow:允许接收所有请求,如果集群不需要授权流程,则可以采用该策略,一般用于测试
  • ABAC(Attribute-Based Access Control):基于属性的访问控制,表示使用用户配置的授权规则对用户请求进行匹配和控制。也就是说定义一个访问类型的属性,用户可以使用这个属性访问对应的资源。此方式设置较为繁琐,每次设置需要定义一长串的属性才可以。
  • Webhook:通过调用外部 REST 服务对用户进行授权,即可在集群外部对K8S进行鉴权
  • RBAC(Role-Based Access Control):基于角色的访问控制,K8S自1.6版本起默认使用规则

2.1.1.RBAC 相对其它访问控制方式,拥有以下优势

  • 对集群中的资源(Pod,Deployment,Service)和非资源(元信息或者资源状态)均拥有完整的覆盖
  • 整个 RBAC 完全由几个 API 资源对象完成,同其它 API 资源对象一样,可以用 kubectl 或 API 进行操作
  • 可以在运行时进行调整,无需重启 API Server,而 ABAC 则需要重启 API Server

2.1.2.RBAC 的 API 资源对象说明

最低0.47元/天 解锁文章

200万优质内容无限畅学
wys_jj
关注
kubernetes安全机制
Drw_Dcm的博客
11-14 2749
kubernetes安全机制
kubernetes-----安全机制
qq_42761527的博客
05-24 826
一.kubernetes安全框架 管理kubernetes的有kubectl、api、UI界面 如下是k8s的安全框架图 安全认证流程:kubectl请求api资源,然后通过三层安全机制。 第一层是认证(Authentication),验证身份、用户名和密码或者token; 第二层是授权(Authorization)角色绑定(RBAC),以获得权限; 第三层是准入控制(Admission Control,资源使用限定)。 请求只有通过这三层安全机制,才会被k8s响应请求,创建资源。
k8s认证和授权
梵修
10-15 2832
Kubernetes中API Server是访问和管理资源对象的唯一入口。所有客户端均要通过API Server访问或者改变集群状态以及完成数据存储,API Server会对每一次请求进行合法性校验,校验包括:用户身份验证、操作权限验证以及操作是否符合全局规范约束等。所有检查均正常完成才能访问或存储数据到etcd。如下图所示:客户端认证操作由API Server配置的一到多个认证插件完成,收到请求后API Server会串行调用这些插件,直到一个插件可以成功识别用户身份为止。
k8s 安全机制详解
qq_51545656的博客
03-11 1517
Token 和 Basic 认证主要是单向的,即只能验证客户端对服务器的身份。而 HTTPS 证书认证可以实现双向认证,这对于需要确保通信双方身份的场景非常重要,比如在 Kubernetes API Server 与 etcd 或其他组件之间的通信中。使用 HTTPS 证书认证可以防止中间人攻击,确保数据传输的安全性。kind: Rolemetadata:rules:- apiGroups: [""] # 空字符串表示核心 API 组。
Kubernetes安全机制
weixin_45724795的博客
05-30 1795
文章目录一、kubernetes安全框架1.框架2.机制二、三大模块1.第一模块:认证1)kubernetes的用户系统一般用户ServiceAccount2)认证Https证书认证Http Token认证Http Basic认证3)认证策略3)CA认证2.第二模块:授权1)Kubernetes的授权模式2)授权模式的设置方法3.第三模块:准入控制1)为什么需要准入控制2)如何运行准入控制插件3)插件推荐版本三、RBAC授权1.RBAC的API资源对象说明2.使用RBAC授权1)创建用户并做限制2)制作证
kubernetes安全机制
翡翠泪滴的博客
09-10 953
Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。在 Kubernetes (k8s) 中,认证、鉴权和准入控制构成了确保集群安全的三大核心机制,它们分别在不同的阶段执行,以确保只有经过验证的请求才能对资源执行允许的操作。:它们的作用是在对象被创建或更新时,允许修改该对象的配置。:这些控制器的主要作用是在资源创建或更新前进行验证,确保其符合集群的安全和策略要求。如果资源不符合要求,则请求会被拒绝。每个步骤都是互相关联的,只有通过了前面的步骤,才能进入后续的流程。
Kubernetes集群的安全机制
dl71181的博客
09-17 426
集群的安全性需要考虑以下几个目标: 1、保证容器与其所在宿主机的隔离 2、限制容器给基础设施及其他容器带来的消极影响的能力 3、最小权限原则——合理限制所有组件的权限,确保组件只执行它被授权的行为 4、明确组件间边界的划分 5、划分普通用户和管理员用户 6、在必要的时候允许将管理员权限赋给普通用户 7、允许拥有Secret数据的应用在集群中运行 一、API Server认...
K8S-安全(认证、授权、准入控制)
迷雾总会解
08-26 1645
RoleBinding 同样可以引用 ClusterRole 来对当前 namespace 内用户、用户组或 ServiceAccount 进行授权,这种操作允许集群管理员在整个集群内定义一些通用的 ClusterRole,然后在不同的 namespace 中使用 RoleBinding 来引用。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。...
linux12k8s -->14安全认证
明日之星
08-10 332
二、 安全认证 本章节主要介绍Kubernetes安全认证机制。 1、访问控制概述 ​ Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。所谓的安全性其实就是保证对Kubernetes的各种客户端进行认证和鉴权操作。 客户端 ...
k8s安全认证
杨海吉
01-31 563
Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。所谓的安全性其实就是保证对Kubernetes的各种客户端进行认证和鉴权操作。客户端:一般是独立于kubernetes之外的其他服务管理的用户账号。:kubernetes管理的账号,用于为Pod中的服务进程在访问Kubernetes时提供身份标识。认证、授权与准入控制ApiServer是访问及管理资源对象的唯一入口。Authentication(认证):身份鉴别,只有正确的账号才能够通过认证。
K8S 安全认证
elihe2011的专栏
12-27 4089
1. 安全机制 1.1 认证 (Authentication) 1.1.1 认证方式 HTTP Token:Authorization: Bearer $TOKEN HTTP Basic: Authorization: Basic $(base64encode USERNAME:PASSWORD), HTTPS: 基于CA根证书签名的客户端身份认证方式(推荐) 证书颁发: 手动签发:通过k8s集群的根 ca 进行签发 HTTPS 证书 自动签发:kubelet 首次访问 API Serv
Kubernetes那点事儿——k8s安全认证
liangpangpangyo的博客
03-04 1471
要允许这些插件组件以超级用户权限运行,需要将集群的 cluster-admin 权限授予 kube-system 名字空间中的 “ServiceAccount” 服务账户。Adminssion Control实际上是一个准入控制器插件列表,发送到API server的请求都需要经过这个列表中的每个准入控制器插件的检查,检查不通过,则拒绝请求。RBAC(Role-Based Access Control,基于角色的访问控制),允许通过Kubernetes API动态配置策略。
这些Kubernetes常见安全问题,你遇到过几个?
雨果的书房
04-30 288
导语:在 Threat Stack 公布的2020年第一季度安全报告中,列举了在AWS Web服务部署Kubernetes的组织所遇到的最常见安全问题。 该报告建议已部署Kubernetes的IT组织在使用AWS Elastic Kubernetes Service(EKS)时应解决以下问题: 一些EKS负载平衡器的孤立安全组:充当EKS入口控制器的负载平衡器被分配了默认安全组。90天后...
Kubernetes (k8s)最佳安全实践指南
Enweitech Software Works
11-27 1492
对于大部分 Kubernetes 用户来说,安全是无关紧要的,或者说没那么紧要,就算考虑到了,也只是敷衍一下,草草了事。实际上 Kubernetes 提供了非常多的选项可以大大提高应用的安全性,只要用好了这些选项,就可以将绝大部分的攻击抵挡在门外。为了更容易上手,我将它们总结成了几个最佳实践配置,大家看完了就可以开干了。当然,本文所述的最佳安全实践仅限于 Pod 层面,也就是容器层面,于容器的生命周期相关,至于容器之外的安全配置(比如操作系统啦、k8s 组件啦),以后有机会再唠。 1. 为容器配置 Sec
kubernetes 安全
爱死亡机器人
08-08 562
保护Kubernetes似乎是一项神秘的任务。作为一个由一系列不同组件组成的高度复杂的系统,Kubernetes 不是您可以通过简单地启用安全模块或安装安全工具来保护的东西。相反,Kubernetes 安全要求团队解决可能影响 Kubernetes 集群内各个层和服务的每种类型的安全风险。例如,团队必须了解如何保护 Kubernetes节点、网络、Pod、数据等。......
k8s - 安全认证(RBAC)
栋院
03-18 3117
api server 是集群访问控制的统一入口 k8s认证过程: 认证 -> 授权 - > 准入控制 (adminationcontroller) 1 认证()是对客户端的认证,简单说就是账户密码 2 授权()是资源的授权,容器、网络、存储资源的权限 3 准入机制 准入控制器位于api server ,在对象被持久化之前,准入控制器拦截对api server 的请求,一般用来做认证和授权。其中包括连个控制器: MutatingAdmissionWebhook 和 Validating
Kubernetes 安全
最新发布
Flying_Fish_roe的博客
09-14 541
Kubernetes安全性涵盖了从集群管理、容器运行、网络控制到身份认证和授权等多个层面。通过合理配置 API 访问权限、使用安全容器镜像、限制特权容器、实施网络策略以及启用监控和审计,开发者和运维人员能够有效防范潜在的安全风险,保障 Kubernetes 集群和容器化应用的安全性。要确保 Kubernetes 集群的安全,需要不断监控、评估安全策略,并根据业务需求和安全标准进行动态调整和优化。
kubernetes视频教程笔记 (30)-安全-鉴权Authorization
软件工程小施同学 的专栏
12-10 499
一、Authentication 1. HTTP Token 认证: 通过一个 Token 来识别合法用户 HTTP Token 的认证是用一个很长的特殊编码方式的并且难以被模仿的字符串 - Token 来表达客户的一种方式。 Token 是一个很长的很复杂的字符串,每一个 Token 对应一个用户名存储在 API Server 能访问的文件中。 当客户端发起 API 调用请求时,需要在 HTTP Header 里放入 Token 2. HTTP Base 认证: 通过 用户名+密码 的.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值