一文详解kube-apiserver认证鉴权能力

本文分享自华为云社区《kube-apiserver认证鉴权能力》,作者: 可以交个朋友。

HTTPS为什么要进行身份验证

首先不管是kubectl还是API调用都是通过HTTPS访问kube-apiserver,有图有真相

所以要想了解kube-apiserver认证鉴权,得先从HTTPS说起;接下来我们直接通过API接口访问apiserver

为什么不能访问?准确来说是为什么不能建立HTTPS连接

原因就是客户端无法验证服务端证书,导致HTTPS连接建立失败。可不可以不验证服务端证书?可以

但在公网环境不建议这么做,如果不验证服务端,你可能访问的并不是你想访问的服务端

证书如何保证服务端不被伪造

如何保证客户端收到的服务端公钥没有被伪造?答案就是第三方权威机构CA

证书申请流程:服务端需要将自己的信息和公钥发给CA,CA根据服务端发送过来的内容进行HASH,然后用CA私钥加密得到签名,将签名和CSR文件同时写入一个文件即为证书,而访问端通过CA根证书(包含CA公钥)解密服务端证书中的签名可以确认服务端身份,身份确认后就可以从服务端证书中CSR文件内拿到服务端的公钥

为什么要先HASH一下?因为不管CSR文件多大,经过HASH之后长度固定,加/解密速度更快

防伪关键点就是CA的私钥只有CA机构有,你无法修改证书里面的签名;你也无法用自己的CA私钥伪造签名,因为访问端没有你的CA公钥无法解密;

只要签名无法修改,csr文件的内容修改就毫无意义。

现在我们再访问一次apiserver,这次我们带上K8S集群CA证书试试

有HTTP状态码返回就说明HTTPS连接已建立;完整的HTTPS认证过程如下

想想为什么curl访问www.baidu.com不需要指定CA证书?

kubernetes认证方式

上文我们只是验证了服务端,服务端并没有验证客户端,所以我们收到了401的返回码。类似于我虽然接了你的电话,但我首先肯定是想知道你是谁。

apiserver支持三种认证客户端的方式:

  • HTTPS证书认证:此方式最严格,基于CA根证书签名的双向数字证书认证方式。比如kube-controller-manager、kubelet等
  • HTTP Token认证:通过一个Token来识别合法用户。比如serviceaccount
  • HTTP Base认证:通过用户名+密码的方式认证。由于不常用本文不做介绍

Token认证

我们创建一个serviceaccount;1.24版本以上创建serviceaccount不再自动创建secret。

bash 复制代码
kubectl create sa test

找到以serviceaccount名称开头的secret,拿到其中token字段的值

我们带上token再次访问apiserver,看看效果

返回了403状态码,显示Forbidden;说明我们过了认证,只是没有权限而已

证书认证

使用openssl生成客户端私钥和csr文件;其中/CN字段就是你的用户名;csr文件需要公钥,但命令行却指定的是私钥,是因为oenssl会自动用私钥生产公钥

vbnet 复制代码
openssl genrsa -out myuser.key 2048  
openssl req -new -key myuser.key -out myuser.csr -subj "/CN=myuser"

创建 CertificateSigningRequest资源,回忆下上文提到的证书申请过程,我们需要提供什么?

yaml 复制代码
cat <<EOF | kubectl apply -f - 
apiVersion: certificates.k8s.io/v1 
kind: CertificateSigningRequest 
metadata: 
  name: myuser 
spec: 
  request: $(cat myuser.csr | base64 | tr -d "\n") 
  signerName: kubernetes.io/kube-apiserver-client 
  expirationSeconds: 86400  # one day 
  usages: 
  - client auth 
EOF

手动批准证书请求,证书会被保存到csr资源的status.certificate字段,将证书base64解码并写入文件

ini 复制代码
kubectl certificate approve myuser 
kubectl get csr myuser -o jsonpath='{.status.certificate}'| base64 -d > myuser.crt

可以用openssl查看证书内容,查看签名字段需要借助其他工具,比如:asn1editor

使用客户端私钥和证书再次访问apiserver

和token访问结果一致,认证通过但未赋权

鉴权机制

上文我们访问apiserver得到了403的返回码,说明我们权限不够,无法获取namespaces资源;为了集群便于管理,我们必须为不同用户设置不同权限。

在K8S集群中完成鉴权机制的是RBAC,RBAC授权规则是通过四种资源来进行配置:

  • Role:角色,其实是定义一组对Kubernetes资源(命名空间级别)的访问规则
  • ClusterRole:集群角色,其实是定义一组对Kubernetes资源(集群级别,包含全部命名空间)的访问规则
  • RoleBinding:角色绑定,定义了用户和角色的关系
  • ClusterRoleBinding:集群角色绑定,定义了用户和集群角色的关系

有了角色和角色绑定,还缺一个对象,你希望将角色绑定到那个对象上?

在k8s集群中这个对象称为subject主体,主体可以是用户、组或者serviceaccount;

k8s集群中不存在用户资源,你也无法通过命令查到;Kubernetes 使用证书中'subject'的通用名称(Common Name)字段 (例如:"/CN=bob")来确定用户名

接下来我们对上文创建的serviaccount和用户myuser赋权

创建集群角色和集群角色绑定

ini 复制代码
#创建一个集群角色,仅对namespaces资源有get、list和watch权限
kubectl create clusterrole myclusterrole --resource=namespaces --verb=get,list,watch
#将serviceaccount和myuser用户与该集群角色绑定,test和myuser便有了该集群角色的权限
kubectl create clusterrolebinding testuser --clusterrole=myclusterrole --user=myuser  
kubectl create clusterrolebinding testsa --clusterrole=myclusterrole --serviceaccount=default:test

再次使用token或者证书访问apiserver

使用证书访问

使用token访问

点击关注,第一时间了解华为云新鲜技术~

相关推荐
爱勇宝11 小时前
第 1 章:别把“需求文档”当成真正的需求
前端·后端·程序员
IT_陈寒16 小时前
闭包陷阱让我加了两天班,JavaScript你真行
前端·人工智能·后端
易协同低代码17 小时前
通达OA核心类库TD类深度解析
后端
Gopher_HBo17 小时前
Go语言学习笔记(十八)Gin处理Session
后端
谭光志18 小时前
工具塞满上下文窗口怎么办?深度拆解 AI Agent Tool Search 按需加载实现原理
前端·后端·ai编程
她说..18 小时前
Java 默认值设置方式
java·开发语言·后端·springboot
foggyprojects18 小时前
从0开始,一句话启动AI DataAgent
后端·数据分析·ai编程
郡杰18 小时前
一些基础和问题解决
后端
陈随易18 小时前
前端项目部署只要30秒
前端·后端·程序员
YIAN18 小时前
从零手写文件读取 MCP 服务:一文吃透 Model Context Protocol 全链路通信原理
前端·后端·mcp