12、k8s安全机制

k8s作为一个分布式的微服务管理系统,保证集群安全是一个非常重要的任务。

核心:api-server

我们围绕集群权限的设置,其实就是设置api-server的权限。

创建权限步骤

围绕api-server的权限,分为三个步骤:

1、认证------创建server-account账号

  1. token:api-server私钥签名的字符串序列号,用于访问api-server,server端的认证。
  2. ca.crt:ca根证书,用于客户端验证api-server发送的证书。
  3. namespace:api-server办法的token来使用指定的命名空间。

认证只是确认双方的通信是可信的,在此基础上建立通信连接。

2、鉴权

确定请求对方集群的资源的权限。

RBAC:基于角色的访问控制。

k8s1.6之后,默认的鉴权方式:

  • 对集群中的资源(pod,deployment,service)和非资源(元信息和资源状态)都可以进行完整的覆盖,无需重启api-server。

鉴权的主体

(1)角色:

  • role:授权指定命名空间的资源控制的权限
  • ClusterRole:可以对所有命名空间的资源的控制权

(2)角色绑定:

  • RoleBinding:把角色绑定到主体(命名空间)
  • ClusterRoleBinding:将集群角色绑定到主体(所有命名空间)

(3)主体的对象:

  • uer:用户
  • namespace:命名空间
  • group:用户组
  • serviceAccount:服务账号

3、准入控制

每一个对于api-server的请求都会有一个准入控制器插件的列表,发送到api-server的请求都会进过准入控制器插件的检查,检查不通过,请求会被拒绝。

官方自带请求控制器:

LimitRaner:

resourcequota:

namespacelifecycle:命名空间的回收机制

实操

创建一个用户,访问指定的命名空间,权限的设置和修改

1、准备一个账号和三个密钥文件

2、生成证书

签发证书

cfssl gencert -ca=ca.crt -ca-key=ca.key -profile=kubernetes /opt/yaml/anquan/lucky-csr.json | cfssljson -bare lucky

3、设置认证配置文件

4、设置鉴权配置文件

如果想要给用户添加使用namespace的权限,需要额外添加。

5、传参运行认证配置文件

使用上下文文件

  • 注意:上面的cp是错误的,正确的是cp lucky.kubeconfig /home/lucky/.kube/config

最后运行鉴权yaml文件即可实现lucky用户的k8s权限

相关推荐
带刺的坐椅5 分钟前
Java MCP 鉴权设计与实现指南
java·安全·ai·solon·mcp
拾光拾趣录1 小时前
OAuth 2.0:现代应用安全的授权与登录规范
前端·安全
不羁。。2 小时前
【网络协议安全】任务13:ACL访问控制列表
网络·网络协议·安全
车载测试工程师2 小时前
汽车功能安全系统阶段开发【技术安全方案TSC以及安全分析】5
功能测试·网络协议·安全·车载系统·汽车
2401_8368365913 小时前
k8s配置管理
云原生·容器·kubernetes
一切顺势而行13 小时前
k8s 使用docker 安装教程
docker·容器·kubernetes
霖檬ing13 小时前
K8s——配置管理(1)
java·贪心算法·kubernetes
澜兮子13 小时前
k8s-服务发布基础
云原生·容器·kubernetes
小安运维日记13 小时前
CKS认证 | Day4 最小化微服务漏洞
安全·docker·微服务·云原生·容器·kubernetes
2401_8368365913 小时前
k8s服务发布进阶
云原生·容器·kubernetes