CKA认证 | Day8 K8s安全

最新推荐文章于 2025-05-29 13:51:29 发布
原创 最新推荐文章于 2025-05-29 13:51:29 发布 · 1.5k 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #容器 #云原生 #云计算 #运维

第八章 Kubernetes安全

1、Kubernetes RBAC授权

Kubernetes 基于角色的访问控制(Role-Based Access Control, RBAC) 是一种强大的权限管理机制,用于控制用户、用户组、服务账户对 Kubernetes 集群资源的访问。通过 RBAC,可以细粒度地定义哪些用户或服务账户可以执行哪些操作,从而增强集群的安全性和可管理性。

1.1 Kubernetes 安全框架

K8S安全控制框架主要由下面3个阶段进行控制,每一个阶段都支持 插件方式,通过 API Server 配置来启用插件

  1. Authentication(鉴权),验证用户身份是否为可信任的

  2. Authorization(授权),判断用户是否有权限访问某个资源

  3. Admission Control(准入控制),是否有额外的校验能力做相关方面的验证

1.1.1 鉴权(Authentication)

K8s Apiserver提供三种客户端身份认证:

  • HTTPS 证书认证:基于CA证书签名的数字证书认证(kubeconfig),例如./kube/config
  • HTTP Token认证:通过一个Token来识别用户(serviceaccount),例如加入集群、Dashboard的Token
  • HTTP Base认证:用户名+密码的方式认证(1.19版本弃用)

 

1.1.2 授权(Authorization)

RBAC(Role-Based Access Control,基于角色的访问控制):负责完成授权(Authorization)工作。

RBAC根据API请求属性,决定允许还是拒绝。

比较常见的授权维度:

  • user:用户名
  • group:用户分组
  • 资源,例如pod、deployment
  • 资源操作方法:get,list,create,update,patch,watch,delete
  • 命名空间
  • API组

 

1.1.3 准入控制(Admission Control)

Adminssion Control实际上是一个准入控制器插件列表,发送到API Server的请求都需要经过这个列表中的每个准入控 制器插件的检查,检查不通过,则拒绝请求。

  • 启用一个准入控制器:

kube-apiserver --enable-admission-plugins=NamespaceLifecycle,LimitRanger ...

  • 关闭一个准入控制器:

kube-apiserver --disable-admission-plugins=PodNodeSelector,AlwaysDeny ...

  • 查看默认启用:

kubectl exec kube-apiserver-k8s-master -n kube-system -- kube-apiserver -h | grep enable-admission-plugins

补充:方便用于可以自定义、扩展访问时的检查控制功能;对k8s功能做一个解耦

## 查看准入控制器
[root@k8s-master-1-71 ~]# vi /etc/kubernetes/manifests/kube-apiserver.yaml

 

1.2 基于角色的权限访问控制:RBAC

RBAC(Role-Based Access Control,基于角色的访问控制), 是K8s默认授权策略,并且是动态配置策略(修改即时生效)

主体(subject)

  • User:用户
  • Group:用户组
  • ServiceAccount:服务账号

角色

  • Role:授权特定命名空间的访问权限
  • ClusterRole:授权所有命名空间的访问权限

角色绑定

  • RoleBinding:将角色绑定到主体(即subject)
  • ClusterRoleBinding:将集群角色绑定到主体

注:RoleBinding在指定命名空间中执行授权,ClusterRoleBinding在集群范围执行授权。

RBAC 的工作原理
定义角色:

  • 使用 Role 或 ClusterRole 定义权限规则。
  • 例如,定义一个 Role 允许用户查看和列出 Pod。

绑定角色:

  • 使用 RoleBinding 将 Role 绑定到特定用户、用户组或服务账户。
  • 例如,将 pod-reader 角色绑定到用户 jane,使其在 default 命名空间中拥有对 Pod 的读取权限。

权限验证:

  • 当用户尝试执行操作时,Kubernetes 会检查相关的 RoleBinding 和 ClusterRoleBinding。
  • 根据绑定的角色和规则,决定是否允许该操作。

1)角色相关命令:

① role角色:

  • 创建role:kubectl create role <role-name> --verb=<操作方法> --resource=<资源> [-n namespace]

例如:创建名称为 “pod-reader” 的 Role 对象,允许用户对 Pods 执行 get、watch 和 list 操作

kubectl create role pod-reader --verb=get --verb=list --verb=watch --resource=pods
  • 查看role:kubectl get role [-n namespace]
  • 删除role:kubectl delete role <role-name> [-n namespace]

② clusterrole角色:

  • 创建clusterrole:kubectl create clusterrole <clusterrole-name> --verb=<操作方法> --resource=<资源>

例如:创建名称为 “pod-reader” 的 ClusterRole 对象,允许用户对 Pods 对象执行 get、 watch 和 list 操作

kubectl create clusterrole pod-reader --verb=get,list,watch --r
最低0.47元/天 解锁文章

200万优质内容无限畅学
k8s安全机制
mikechen1的博客
06-05 980
Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介, 也是外部控制的入口。所以 Kubernetes安全机制基本就是围绕保护 API Server 来设计的。
CKA认证 | Day1 k8s核心概念与集群搭建
小安的运维专栏
11-08 1418
Kubernetes简称K8sKubernetes用于容器化应用程序的部署,扩展和管理,目标是让部署容器化应用简单高效。
k8s安全
中国华的博客
05-11 261
CKA认证详细介绍
最新发布
weixin_67548675的博客
05-29 584
CKA认证考试是专为Kubernetes管理员、云管理员和其他管理Kubernetes实例的IT专业人员而设的。对个人而言,获得CKA认证,是检测自己学习成果的一个重要指标。考生需提前15分钟进入考试系统,以便监考时间考察考试环境,避免占用考试时间。本课程旨在通过系统化的强化学习和有针对性的练习,帮助学员掌握容器及使用Kubernetes进行容器编排的相关知识。:CKA认证考试没有固定的考试时间,采用线上考试,随时可以预约,非常灵活!,由此可见,中国已经成为云计算容器技术的领先者。· 网络 - 11%
Kubernetes - 安全
qq_43164571的博客
02-19 978
------------------------------------------------------------1、机制说明2、认证Authentication1)HTTPS 证书认证2)需要认证的节点两种类型安全性说明证书颁发3)kubeconfig4)ServiceAccount5)Secret 与 SA 的关系总结 1、机制说明 Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介,也是外部控制的入口。所以
(八)k8s安全
卷心菜投手
01-14 1055
k8s安全
K8S应用流程安全(镜像安全 配置管理 访问安全
m0_46690280的博客
07-10 2334
这一节,我们从 基础知识、简单实践、小结 三个方面来学习。这一节,我们从 基础知识、简单实践、小结 三个方面来学习。这一节,我们从 基础知识、简单实践、小结 三个方面来学习。这一节,我们从 基础知识、简单实践、小结 三个方面来学习。这一节,我们从 基础知识、简单实践、小结 三个方面来学习。这一节,我们从 基础知识、简单实践、小结 三个方面来学习。这一节,我们从 基础知识、简单实践、小结 三个方面来学习。这一节,我们从 基础知识、简单实践、小结 三个方面来学习。
CKA认证 | Day7 K8s存储
小安的运维专栏
12-27 1427
Kubernetes 中的容器是无状态的,通过使用数据卷,可以将数据持久化到外部存储系统中,确保数据在容器生命周期外仍然存在。
CKA认证 | Day5 K8s调度
小安的运维专栏
11-25 1196
Kubernetes基于list-watch机制的控制器架构,实现组件间交互 的解耦。其他组件监控自己负责的资源,当这些资源发生变化时,kube-apiserver会通知这些组件,这个过程类似于发布与订阅。① 首先用户通过 Kubectl 提交创建 Pod 的 Yaml 的文件,向Kubernetes 系统发起资源请求,该资源请求被提交到 Kubernetes 系统中,由 APIServer 负责接收客户端发送的“POST” 创建 Pod 请求。
CKA认证 | Day2 K8s内部监控与日志
小安的运维专栏
11-11 6046
Kubernetes 集群中,查看集群资源状态和组件状态是非常重要的操作。以下是一些常用的命令和解释,帮助你更好地管理和监控 Kubernetes 集群。Kubernetes 的 Master 组件包括 API Server、Controller Manager 和 Scheduler。可以使用 kubectl get cs (cs:componentstatuses)命令来查看这些组件的状态。
k8s009之安全
追求幸福,探索未知的博客
04-06 1127
文章目录一、安全机制二、Secret1.Service Account2.Opaque3.kubernetes.io/dockerconfigjson三、认证1.认证对象2.总结四、授权1.RBAC授权模型2.Role和ClusterRole3.RoleBinding and ClusterRoleBinding4.实践五、准入控制 一、安全机制 通过 Kubernetes API 可以查询和操纵 Kubernetes API 中对象(例如:Pod、Namespace、ConfigMap 和 Event)的
CKA认证考试说明
04-20
Certified Kubernetes Administrator (CKA) Exam Curriculum 1.9.0
Kubernetesk8s安全机制
weixin_56270746的博客
08-11 2303
Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介, 也是外部控制的入口。
K8SK8S安全机制及案例实践
Katie_ff的博客
10-10 364
本文对K8S安全介绍,安全机制有三关:认证、鉴权、准入控制并对三关介绍及相关的案例,此案例是:创建一个用户只能管理指定的命名空间
Linux----K8s安全使用
qq397750142的博客
05-21 905
机密 Kubernetes Secrets可让您存储和管理敏感信息,例如密码,OAuth令牌和ssh密钥。与逐字记录在机密信息中相比,将机密信息存储在机密信息中更安全,更灵活。 机密概述 机密是一个包含少量敏感数据(例如密码,令牌或密钥)的对象。否则,此类信息可能放在Pod规范或图像中。用户可以创建秘密,系统也可以创建一些秘密。 要使用机密,Pod需要引用该机密。秘密可以通过两种方式与Pod一起使用: 作为文件体积安装在其一个或多个容器上。 当为吊舱提取图像时,通过kubelet。 服务帐户..
K8S安全机制
L2111533547的博客
08-07 1622
访问K8S集群的资源需要过三关:认证、鉴权、准入控制普通用户若要安全访问集群API Server,往往需要证书、 Token或者用户名+密码;Pod访问,需要ServiceAccountK8S安全控制框架主要由下面3个阶段进行控制,每一个阶段 都支持插件方式,通过API Server配置来启用插件。1. Authentication:用于识别用户身份, 方式有: SSL证书,token, 用户名+密码等2. Authorization:确认是否对资源具有相关的权限。......
k8s 安全机制
fhjtg的博客
06-11 1256
token 认证 :使用很长 很复杂token字符串做认证,通常是单向认证。base 认证:使用账号 和 密码 的格式通过base64 编码和解码认证,通常是单向认证。https 认证:使用 通过CA机构 签发的证书 进行https认证, 可以实现双向认证
Kubernetesk8s--安全机制
Mo_nor的博客
06-12 915
认证(Authenticating) 鉴权(Authorization) 准入控制(Admission Control)
KubernetesCKA证书主要考哪些知识点?
10-29
Kubernetes Certified Administrator (KCA) 认证主要考察对 Kubernetes 管理平台的深入了解,包括但不限于以下几个关键知识点: 1. **基础架构**: Kubernetes 集群的安装、配置和部署,以及集群组件(如控制平面、节点、API服务器等)的工作原理。 2. **资源管理**: 学习如何创建、部署、管理和删除应用程序容器,包括 Deployments、Pods、Services 和 ConfigMaps 等核心资源。 3. **网络和负载均衡**: Kubernetes 中网络模型(如Ingress controller),服务发现机制,以及如何设置和服务网格。 4. **存储管理**: 存储卷(Persistent Volumes 和 Persistent Volumes Claims)的使用、不同类型存储解决方案(如本地存储、云存储等)的集成。 5. **安全性与权限**: Kubernetes 的访问控制(RBAC)、网络策略、加密和认证机制。 6. **高可用性和故障恢复**: 配置滚动更新、自我修复和故障转移策略,以及使用工具如 Prometheus 和 Grafana 进行监控和日志管理。 7. **扩展性和自动化**: 容器编排的最佳实践,如水平和垂直扩展,自动伸缩组的使用,以及持续交付和部署流程。 8. **高级主题**: 如 StatefulSets、DaemonSets、Kubernetes Operator、CI/CD 流程、Kubernetes最佳实践和集群维护。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小安运维日记

Hey~ 感谢您的充电支持!!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值