k8s中的认证授权

最新推荐文章于 2025-03-09 15:39:04 发布
最新推荐文章于 2025-03-09 15:39:04 发布
阅读量958 收藏 16
点赞数 21
文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/K1487994142/article/details/142927929
版权

一 kubernetes API 访问控制

Authentication(认证)

  • 认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式。

  • Kubernetes集群有两类用户:由Kubernetes管理的Service Accounts (服务账户)和(Users Accounts) 普通账户。k8s中账号的概念不是我们理解的账号,它并不真的存在,它只是形式上存在。

Authorization(授权)

  • 必须经过认证阶段,才到授权请求,根据所有授权策略匹配请求资源属性,决定允许或拒绝请求。授权方式现共有6种,AlwaysDeny、AlwaysAllow、ABAC、RBAC、Webhook、Node。默认集群强制开启RBAC。

Admission Control(准入控制)

  • 用于拦截请求的一种方式,运行在认证、授权之后,是权限认证链上的最后一环,对请求API资源对象进行修改和校验。

1.1 UserAccount与ServiceAccount

  • 用户账户是针对人而言的。 服务账户是针对运行在 pod 中的进程而言的。

  • 用户账户是全局性的。 其名称在集群各 namespace 中都是全局唯一的,未来的用户资源不会做 namespace 隔离, 服务账户是 namespace 隔离的。

  • 集群的用户账户可能会从企业数据库进行同步,其创建需要特殊权限,并且涉及到复杂的业务流程。 服务账户创建的目的是为了更轻量,允许集群用户为了具体的任务创建服务账户 ( 即权限最小化原则 )。

1.1.1 ServiceAccount

  • 服务账户控制器(Service account controller)

    • 服务账户管理器管理各命名空间下的服务账户

    • 每个活跃的命名空间下存在一个名为 “default” 的服务账户

  • 服务账户准入控制器(Service account admission controller)

    • 相似pod中 ServiceAccount默认设为 default。

    • 保证 pod 所关联的 ServiceAccount 存在,否则拒绝该 pod。

    • 如果pod不包含ImagePullSecrets设置那么ServiceAccount中的ImagePullSecrets 被添加到pod中

    • 将挂载于 /var/run/secrets/kubernetes.io/serviceaccount 的 volumeSource 添加到 pod 下的每个容器中

    • 将一个包含用于 API 访问的 token 的 volume 添加到 pod 中

1.1.2 ServiceAccount示例:

建立名字为admin的ServiceAccount

[root@k8s-master ~]# kubectl create sa timinglee
serviceaccount/timinglee created
[root@k8s-master ~]# kubectl describe  sa timinglee
Name:                timinglee
Namespace:           default
Labels:              <none>
Annotations:         <none>
Image pull secrets:  <none>
Mountable secrets:   <none>
Tokens:              <none>
Events:              <none>
​

建立secrets

[root@k8s-master ~]# kubectl create secret docker-registry docker-login --docker-username admin --docker-password lee --docker-server reg.timinglee.org --docker-email lee@timinglee.org
secret/docker-login created
[root@k8s-master ~]# kubectl describe secrets docker-login
Name:         docker-login
Namespace:    default
Labels:       <none>
Annotations:  <none>
​
Type:  kubernetes.io/dockerconfigjson
​
Data
====
.dockerconfigjson:  119 bytes

将secrets注入到sa中

[root@k8s-master ~]# kubectl edit sa timinglee


apiVersion: v1
imagePullSecrets:
- name: docker-login
kind: ServiceAccount
metadata:
  creationTimestamp: "2024-09-08T15:44:04Z"
  name: timinglee
  namespace: default
  resourceVersion: "262259"
  uid: 7645a831-
最低0.47元/天 解锁文章
Kubernetes精讲之认证授权
m2282475145的博客
09-12 925
服务账户管理器管理各命名空间下的服务账户,并且保证每个活跃的命名空间下存在一个名为 “default” 的服务账户。服务账户准入控制器(Service account admission controller)在创建pod时会镜像下载会受阻,因为docker私有仓库下载镜像需要认证。服务账户控制器(Service account controller)建立名字为admin的ServiceAccount。建立私有仓库并且利用pod访问私有仓库。Authorization(授权)将secrets注入到sa中。
Kubernetes】多用户管理身份认证,RBAC授权及准入控制
meidongyan的博客
09-11 1330
多用户管理身份认证,RBAC授权及准入控制:
k8s安全认证
最新发布
SO_zxn的博客
03-09 571
k8s安全认证
k8s认证授权
梵修
10-15 2789
Kubernetes中API Server是访问和管理资源对象的唯一入口。所有客户端均要通过API Server访问或者改变集群状态以及完成数据存储,API Server会对每一次请求进行合法性校验,校验包括:用户身份验证、操作权限验证以及操作是否符合全局规范约束等。所有检查均正常完成才能访问或存储数据到etcd。如下图所示:客户端认证操作由API Server配置的一到多个认证插件完成,收到请求后API Server会串行调用这些插件,直到一个插件可以成功识别用户身份为止。
k8s从入门到放弃-第九章安全认证
每天进步一点点!!!
05-14 640
文章目录9.1访问控制概述9.2认证管理9.3授权管理9.4准入控制 本章节主要介绍Kubernetes的安全认证机制。 9.1访问控制概述 Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。 所谓的安全性其实就是 保证对Kubernetes的各种客户端进行认证和鉴权操作。 客户端 在Kubernetes集群中,客户端通常有两类: ●User Account: 一般是独立于kubernetes之外的其他服务管理的用户账号。 ●Service Account: kubern
K8s RBAC认证授权深度解析
博客虽小,世界尽在其中
04-20 2717
随着Kubernetes云原生领域的广泛应用,如何有效地管理和控制用户对集群资源的访问权限成为了一个重要的问题。基于角色的访问控制(RBAC)作为一种灵活的权限管理机制,在Kubernetes中发挥着至关重要的作用。本文深入探讨了Kubernetes RBAC认证授权的核心概念、实现方式以及实践应用,旨在帮助读者更好地理解和管理Kubernetes集群中的权限问题。
K8S 认证授权
qq_39124041的博客
02-14 4589
k8s认证方式一般为token和kubeconfig
k8s】9、安全认证
努力充实,远方可期
06-20 462
第九章 安全认证 本章节主要介绍Kubernetes的安全认证机制。 访问控制概述 ​ Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。所谓的安全性其实就是保证对Kubernetes的各种客户端进行认证和鉴权操作。 客户端 在Kubernetes集群中,客户端通常有两类: User Account:一般是独立于kubernetes之外的其他服务管理的用户账号。 Service Account:kubernetes管理的账号,用于为Pod中的服务进程在访问K
linux12k8s -->14安全认证
明日之星
08-10 308
二、 安全认证 本章节主要介绍Kubernetes的安全认证机制。 1、访问控制概述 ​ Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。所谓的安全性其实就是保证对Kubernetes的各种客户端进行认证和鉴权操作。 客户端 ...
K8S 安全认证
elihe2011的专栏
12-27 4066
1. 安全机制 1.1 认证 (Authentication) 1.1.1 认证方式 HTTP Token:Authorization: Bearer $TOKEN HTTP Basic: Authorization: Basic $(base64encode USERNAME:PASSWORD), HTTPS: 基于CA根证书签名的客户端身份认证方式(推荐) 证书颁发: 手动签发:通过k8s集群的根 ca 进行签发 HTTPS 证书 自动签发:kubelet 首次访问 API Serv
kubernetes视频教程笔记 (30)-安全-鉴权Authorization
软件工程小施同学 的专栏
12-10 468
一、Authentication 1. HTTP Token 认证: 通过一个 Token 来识别合法用户 HTTP Token 的认证是用一个很长的特殊编码方式的并且难以被模仿的字符串 - Token 来表达客户的一种方式。 Token 是一个很长的很复杂的字符串,每一个 Token 对应一个用户名存储在 API Server 能访问的文件中。 当客户端发起 API 调用请求时,需要在 HTTP Header 里放入 Token 2. HTTP Base 认证: 通过 用户名+密码 的.
Kubernetes那点事儿——k8s安全认证
liangpangpangyo的博客
03-04 1417
要允许这些插件组件以超级用户权限运行,需要将集群的 cluster-admin 权限授予 kube-system 名字空间中的 “ServiceAccount” 服务账户。Adminssion Control实际上是一个准入控制器插件列表,发送到API server的请求都需要经过这个列表中的每个准入控制器插件的检查,检查不通过,则拒绝请求。RBAC(Role-Based Access Control,基于角色的访问控制),允许通过Kubernetes API动态配置策略。
k8s - 安全认证(RBAC)
栋院
03-18 3102
api server 是集群访问控制的统一入口 k8s认证过程: 认证 -> 授权 - > 准入控制 (adminationcontroller) 1 认证()是对客户端的认证,简单说就是账户密码 2 授权()是资源的授权容器、网络、存储资源的权限 3 准入机制 准入控制器位于api server ,在对象被持久化之前,准入控制器拦截对api server 的请求,一般用来做认证授权。其中包括连个控制器: MutatingAdmissionWebhook 和 Validating
k8s认证
hellosinlee的博客
09-26 1982
k8s认证Apiserver身份认证数字证书CACA签名的必要性证书签发过程k8s apiserver证书生成ca签名公钥和私钥创建kubernetes证书创建用户证书引用博客 Apiserver Kubernetes API Server的核心功能是提供Kubernetes各类资源对象(如Pod、 RC、 Service等) 的增、 删、 改、 查及Watch等HTTP Rest接口, 成为集群内各个功能模块之间数据交互和通信的中心枢纽, 是整个系统的数据总线和数据中心。同时他是集群管理的api入口,资源
K8s如何实现授权认证
05-23
Kubernetes (K8s) 提供了多种身份验证和授权机制,包括基于令牌、基于证书、基于 OpenID Connect 等。以下是 K8s认证授权机制: 1. 基于令牌的认证K8s 使用令牌进行用户身份验证。用户可以使用用户名和密码向 K8s 集群请求令牌,该令牌可用于后续请求的身份验证。 2. 基于证书的认证K8s 还支持使用证书进行身份验证。集群管理员可以在集群中生成证书,然后将证书分发给用户,让其用于身份验证。这种方法更加安全,因为证书可以被撤销。 3. OpenID Connect 认证K8s 还支持 OpenID Connect,这是一种基于 OAuth 2.0 的身份验证协议。它使得用户可以使用 Google、GitHub 等身份提供者进行身份验证,并获取到一个令牌,用于后续请求的身份验证。 在授权方面,K8s 提供了以下授权机制: 1. 基于角色的访问控制 (RBAC):K8s 的 RBAC 允许管理员为不同的用户或用户组分配不同的角色。角色定义了用户或用户组可以访问的资源和操作。 2. 基于节点的访问控制 (NBAC):NBAC 允许管理员为不同的节点分配不同的角色。角色定义了节点可以访问的资源和操作。 3. 基于命名空间的访问控制 (NSAC):NSAC 允许管理员为不同的命名空间分配不同的角色。角色定义了命名空间中可以访问的资源和操作。 4. 基于 Webhook 的授权:Webhook 允许管理员将授权决策交给外部服务来进行。这种方法比较灵活,因为管理员可以根据需要进行自定义授权
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值