玩k8s?安全机制与RBAC使用方法

最新推荐文章于 2024-11-12 17:32:53 发布
原创 最新推荐文章于 2024-11-12 17:32:53 发布 · 374 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #linux

k8s的安全机制与RBAC使用方法

文章目录

前言

一:k8s安全机制

安全框架、

传输安全、认证,授权,准入控制

使用rbac授权

1.1:kubernetes安全框架

mark

  • 安全框架的流程

    流程:kubectl先请求api资源,然后是过三关,第一关是认证(Authentication),第二关是授权(Authorization),第三关是准入控制(Admission Control),只有通过这三关才可能会被k8s创建资源。

    K8S安全控制框架主要由下面3个阶段进行控制,每一个阶段都支持插件方式,通过API Server配置来启用插件。

    普通用户若要安全访问集群API Server,往往需要证书、Token或者用户名+密码;Pod访问,需要ServiceAccount

  • apiserver使用的是token认证

    [root@master ~]# ps aux |grep apiserver
root      12636  3.0 23.6 420460 235620 ?       Ssl  5月17 156:09 /opt/kubernetes/bin/kube-apiserver --logtostderr=true --v=4 --etcd-servers=https://192.168.233.131:2379,https://192.168.233.132:2379,https://192.168.233.133:2379 --bind-address=192.168.233.131 --secure-port=6443 --advertise-address=192.168.233.131 --allow-privileged=true --service-cluster-ip-range=10.0.0.0/24 --enable-admission-plugins=NamespaceLifecycle,LimitRanger,ServiceAccount,ResourceQuota,NodeRestriction --authorization-mode=RBAC,Node --kubelet-https=true --enable-bootstrap-token-auth --token-auth-file=/opt/kubernetes/cfg/token.csv --service-node-port-range=30000-50000 --tls-cert-file=/opt/kubernetes/ssl/server.pem --tls-private-key-file=/opt/kubernetes/ssl/server-key.pem --client-ca-file=/opt/kubernetes/ssl/ca.pem --service-account-key-file=/opt/kubernetes/ssl/ca-key.pem --etcd-cafile=/opt/etcd/ssl/ca.pem --etcd-certfile=/opt/etcd/ssl/server.pem --etcd-keyfile=/opt/etcd/ssl/server-key.pem
root      22849  0.0  0.0 112728   976 pts/0    S+   10:20   0:00 grep --color=auto apiserver
'//其中能够查询到token认证等信息'

  • 查看ServiceAccount,可以通过ServiceAccount在pod中去访问apiserver

    [root@master ~]# kubectl get sa
NAME      SECRETS   AGE
default   1         21d
'//Service Account它并不是给kubernetes集群的用户使用的,而是给pod里面的进程使用的,它为pod提供必要的身份认证。'

  • 传输安全方面:8080用于内部通讯,6443是提供给外部访问的端口

[root@master ~]# netstat -ntap |grep 8080 |grep LISTEN	'//默认8080监听本地(是通过master及其他组件连接使用)'
tcp        0      0 127.0.0.1:8080          0.0.0.0:*               LISTEN      12636/kube-apiserve 
[root@master ~]# netstat -ntap |grep 6443 |grep LISTEN	'//对外提供服务端口是6443'
tcp        0      0 192.168.233.131:6443    0.0.0.0:*               LISTEN      12636/kube-apiserve

1.2:第一关:Authentication认证

  • 三种客户端身份认证:

    1、HTTPS 证书认证:基于CA证书签名的数字证书认证

    2、HTTP Token认证:通过一个Token来识别用户(生产环境中使用广泛)

    3、HTTP Base认证:用户名+密码的方式认证

  • 1、HTTPS证书认证

    [root@master ~]# cat k8s/k8s-cert/k8s-cert.sh
cat > ca-config.json <<EOF
{
  "signing": {
    "default": {
      "expiry": "87600h"
    },
    "profiles": {
      "kubernetes": {
         "expiry": "87600h",
         "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ]
      }
    }
  }
}
EOF

cat > ca-csr.json <<EOF
{
    "CN": "kubernetes",
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "Beijing",
            "ST": "Beijing",
      	    "O": "k8s",
            "OU": "System"
        }
    ]
}
EOF

cfssl gencert -initca ca-csr.json | cfssljson -bare ca -

#-----------------------

cat > server-csr.json <<EOF
{
    "CN": "kubernetes",
    "hosts": [
      "10.0.0.1",
      "127.0.0.1",
      "192.168.233.131",	'//此处直接指定了负载均衡和master的节点'
      "192.168.233.130",
      "192.168.233.100",
      "192.168.233.128",
      "192.168.233.129",
      "kubernetes",
      "kubernetes.default",
      "kubernetes.default.svc",
      "kubernetes.default.svc.cluster",
      "kubernetes.default.svc.cluster.local"
    ],
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "BeiJing",
            "ST": "BeiJing",
            "O": "k8s",
            "OU": "System"
        }
    ]
}
EOF

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes server-csr.json | cfssljson -bare server

#-----------------------

cat > admin-csr.json <<EOF
{
  "CN": "admin",
  "hosts": [],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "L": "BeiJing",
      "ST": "BeiJing",
      "O": "system:masters",
      "OU": "System"
    }
  ]
}
EOF

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes admin-csr.json | cfssljson -bare admin

#-----------------------

cat > kube-proxy-csr.json <<EOF
{
  "CN": "system:kube-proxy",
  "hosts": [],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "L": "BeiJing",
      "ST": "BeiJing",
      "O": "k8s",
      "OU": "System"
    }
  ]
}
EOF

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes kube-proxy-csr.json | cfssljson -bare kube-proxy

  • 2、httpd的token认证

    [root@master ~]# cat /opt/kubernetes/cfg/token.csv 
7ea8f86b157225fd4b9273765e88a3ca,kubelet-bootstrap,10001,"system:kubelet-bootstrap"

1.3:第二关:Authorization授权

  • RBAC(Role-Based Access Control,基于角色的访问控制):负责完成授权(Authorization)工作,允许通过Kubernetes API动态配置策略。
  • 使用RBAC授权

mark

  • 角色:

    1、Role:授权特定命名空间的访问权限

    2、ClusterRole:授权所有命名空间的访问权限

    角色绑定

    1、RoleBinding:将角色绑定到主体(即subject)

    2、ClusterRoleBinding:将集群角色绑定到主体

    主体(subject)

    1、User:用户

    2、Group:用户组

    3、ServiceAccount:服务账号

1.3.1:RBAC使用测试

  • 1、创建名称空间dabao

    [root@master ~]# kubectl create ns dabao
namespace/dabao created
[root@master ~]# kubectl get ns
NAME          STATUS   AGE
dabao         Active   7s
default       Active   21d
kube-public   Active   21d
kube-system   Active   21d

  • 2、创建测试pod

    [root@master ~]# kubectl run nginx01  --image=nginx -n dabao
kubectl run --generator=deployment/apps.v1beta1 is DEPRECATED and will be removed in a future version. Use kubectl create instead.
deployment.apps/nginx-test created
[root@master ~]# kubectl get pod -n dabao
NAME                         READY   STATUS    RESTARTS   AGE
nginx01-77c44977fd-p4xbh     1/1     Running   0          15m

  • 3、扩容成3个副本,使用scale命令

    [root@master ~]# kubectl scale deploy/nginx01 --replicas=3 -n dabao
deployment.extensions/nginx01 scaled
[root@master ~]# kubectl get pod -n dabao
NAME                         READY   STATUS    RESTARTS   AGE
nginx01-77c44977fd-98jc4     1/1     Running   0          31s
nginx01-77c44977fd-nt424     1/1     Running   0          31s
nginx01-77c44977fd-p4xbh     1/1     Running   0          17m

  • 4、创建角色

    [root@master ~]# vim rbac-role.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: dabao
  name: pod-reader
rules:
- apiGroups: [""] # "" indicates the core API group
  resources: ["pods"]	'//创建角色只有pod资源的操作权限'
  verbs: ["get", "watch", "list"]	'//只有这些操作可以使用'
[root@master ~]# kubectl apply -f rbac-role.yaml 
role.rbac.authorization.k8s.io/pod-reader created
[root@master ~]# kubectl get role -n dabao
NAME         AGE
pod-reader   8s
[root@master ~]#

  • 5、角色绑定

    [root@master ~]# vim rbac-rolebinding.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: read-pods
  namespace: dabao
subjects:
- kind: User
  name: zhangsan
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role   
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io
[root@master ~]# kubectl apply -f rbac-rolebinding.yaml 
rolebinding.rbac.authorization.k8s.io/read-pods created
[root@master ~]# kubectl get role,rolebinding -n dabao
NAME                                        AGE
role.rbac.authorization.k8s.io/pod-reader   2m14s

NAME                                              AGE
rolebinding.rbac.authorization.k8s.io/read-pods   13s

  • 6、创建两个rbac的文件

    [root@master ~]# mkdir zhangsan
[root@master ~]# cd zhangsan/
[root@master zhangsan]# vim rbac.yaml 
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: default
  name: pod-reader
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "watch", "list"]

---

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: read-pods
  namespace: default
subjects:
- kind: User
  name: jane
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io




apiVersion: v1
kind: ServiceAccount
metadata:
  name: pod-reader
  namespace: default

---

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: sa-read-pods
  namespace: default
subjects:
- kind: ServiceAccount
  name: pod-reader
roleRef:
  kind: Role
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io
[root@master zhangsan]#  vim rbac-user.sh
cat > zhangsan-csr.json <<EOF
{
  "CN": "zhangsan",
  "hosts": [],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "L": "BeiJing",
      "ST": "BeiJing"
    }
  ]
}
EOF

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes zhangsan-csr.json | cfssljson -bare zhangsan 

kubectl config set-cluster kubernetes \
  --certificate-authority=ca.pem \
  --embed-certs=true \
  --server=https://192.168.233.100:6443 \	'//修改为负载均衡VIP地址'
  --kubeconfig=zhangsan-kubeconfig
  
kubectl config set-credentials zhangsan \
  --client-key=zhangsan-key.pem \
  --client-certificate=zhangsan.pem \
  --embed-certs=true \
  --kubeconfig=zhangsan-kubeconfig

kubectl config set-context default \
  --cluster=kubernetes \
  --user=zhangsan \
  --kubeconfig=zhangsan-kubeconfig

kubectl config use-context default --kubeconfig=zhangsan-kubeconfig

  • 7、拷贝证书到张三目录并安装格式化工具

    [root@master zhangsan]# cp /root/k8s/k8s-cert/ca* ./
[root@master zhangsan]# ls
ca-config.json  ca.csr  ca-csr.json  ca-key.pem  ca.pem  rbac-user.sh  rbac.yaml
[root@master zhangsan]# yum install dos2unix -y
[root@master zhangsan]# dos2unix rbac-user.sh 	'//执行格式化'
dos2unix: converting file rbac-user.sh to Unix format ...
[root@master zhangsan]# bash rbac-user.sh 	'//运行脚本'

  • 8、使用zhangsan-kubeconfig访问资源测试

    [root@master zhangsan]# cat zhangsan-kubeconfig
[root@master zhangsan]# kubectl --kubeconfig=zhangsan-kubeconfig get pod -n dabao
NAME                       READY   STATUS    RESTARTS   AGE
nginx01-77c44977fd-98jc4   1/1     Running   0          23m
nginx01-77c44977fd-nt424   1/1     Running   0          23m
nginx01-77c44977fd-p4xbh   1/1     Running   0          40m
'//但是访问不到除了pod的其他资源'
[root@master zhangsan]# kubectl --kubeconfig=zhangsan-kubeconfig get svc -n dabao	'//service无法访问'
Error from server (Forbidden): services is forbidden: User "zhangsan" cannot list resource "services" in API group "" in the namespace "dabao"
[root@master zhangsan]# kubectl --kubeconfig=zhangsan-kubeconfig get svc	'//默认名称空间也无法访问'
Error from server (Forbidden): services is forbidden: User "zhangsan" cannot list resource "services" in API group "" in the namespace "default"

  • UI访问控制

    [root@master zhangsan]# kubectl get svc -n kube-system
NAME                   TYPE       CLUSTER-IP   EXTERNAL-IP   PORT(S)         AGE
kubernetes-dashboard   NodePort   10.0.0.139   <none>        443:30005/TCP   13d
[root@master zhangsan]# kubectl get pod -n kube-system -o wide
NAME                                    READY   STATUS    RESTARTS   AGE   IP            NODE              NOMINATED NODE
kubernetes-dashboard-7dffbccd68-58qms   1/1     Running   5          13d   172.17.78.3   192.168.233.132   <none>

'//接下来访问之前搭建的UI界面'

mark

  • 查看令牌

    [root@master zhangsan]# kubectl get secret -n kube-system	'//这是管理员的令牌'
NAME                               TYPE                                  DATA   AGE
dashboard-admin-token-zwktc        kubernetes.io/service-account-token   3      13d
default-token-cnnbv                kubernetes.io/service-account-token   3      21d
kubernetes-dashboard-certs         Opaque                                11     13d
kubernetes-dashboard-key-holder    Opaque                                2      13d
kubernetes-dashboard-token-qgppd   kubernetes.io/service-account-token   3      13d
[root@master zhangsan]# vim sa.yaml	'//编辑认证yaml文件'
apiVersion: v1
kind: ServiceAccount
metadata:
  name: pod-reader
  namespace: dabao

---

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: sa-read-pods
  namespace: dabao
subjects:
- kind: ServiceAccount
  name: pod-reader
roleRef:
  kind: Role
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io
[root@master zhangsan]# kubectl apply -f sa.yaml 
serviceaccount/pod-reader created
rolebinding.rbac.authorization.k8s.io/sa-read-pods created
[root@master zhangsan]# kubectl get sa -n dabao
NAME         SECRETS   AGE
default      1         60m
pod-reader   1         11s
[root@master zhangsan]# kubectl get secret -n dabao
NAME                     TYPE                                  DATA   AGE
default-token-5lkxq      kubernetes.io/service-account-token   3      61m
pod-reader-token-l49zb   kubernetes.io/service-account-token   3      76s
[root@master zhangsan]# kubectl describe secret pod-reader-token-l49zb -n dabao
Name:         pod-reader-token-l49zb
Namespace:    dabao
Labels:       <none>
Annotations:  kubernetes.io/service-account.name: pod-reader
              kubernetes.io/service-account.uid: b262ec71-9b16-11ea-8c4f-000c294b2dd3

Type:  kubernetes.io/service-account-token

Data
====
ca.crt:     1359 bytes
namespace:  5 bytes
token:      eyJhbGciOiJSUzI1NiIsImtpZCI6IiJ9.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJkYWJhbyIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VjcmV0Lm5hbWUiOiJwb2QtcmVhZGVyLXRva2VuLWw0OXpiIiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZXJ2aWNlLWFjY291bnQubmFtZSI6InBvZC1yZWFkZXIiLCJrdWJlcm5ldGVzLmlvL3NlcnZpY2VhY2NvdW50L3NlcnZpY2UtYWNjb3VudC51aWQiOiJiMjYyZWM3MS05YjE2LTExZWEtOGM0Zi0wMDBjMjk0YjJkZDMiLCJzdWIiOiJzeXN0ZW06c2VydmljZWFjY291bnQ6ZGFiYW86cG9kLXJlYWRlciJ9.vUdzOLAxq4GE6sRGmS4RkK6_s-NeF7mAeNnuZf9zkacYXZSxxWR6yz7h2-xpSPFJJIvZ1IAmP_G0XO4pazlS_DkLn_cNzLwAT7moOp8CxalATySLY-KtXxbRslwpcyLfyxaZ-PSEiI3fKt5f66C0eL3aoFYIM-xukVQNx_UJE2vsmu93WTuUb8XQjMVGUkQW-p7Mw_2f2wCyGbk_Y__LzXv3dRj0df7EoANHPiadYbntO-_k04LNSfrA1cHRZKBgIddO5tF8olw6rTs99IkSWfMUoF4-qCBDROOBf2h8tSMgz3jrOlhAbvq8kuvR4zjBtwUfI4l0c2IS00HZFW3K3g
[root@master zhangsan]#

  • 9、使用令牌登陆UI界面

    mark

1.4:第三关:准入控制Admission Control

  • Adminssion Control实际上是一个准入控制器插件列表,发送到API Server的请求都需要经过这个列表中的每个准入控制器 插件的检查,检查不通过,则拒绝请求。

  • 查看进程信息

    [root@master zhangsan]# ps aux |grep apiserver
root      12636  3.0 20.9 420460 208584 ?       Ssl  5月17 160:57 /opt/kubernetes/bin/kube-apiserver --logtostderr=true --v=4 --etcd-servers=https://192.168.233.131:2379,https://192.168.233.132:2379,https://192.168.233.133:2379 --bind-address=192.168.233.131 --secure-port=6443 --advertise-address=192.168.233.131 --allow-privileged=true --service-cluster-ip-range=10.0.0.0/24 --enable-admission-plugins=NamespaceLifecycle,LimitRanger,ServiceAccount,ResourceQuota,NodeRestriction '//此行是准入控制的插件信息'--authorization-mode=RBAC,Node --kubelet-https=true --enable-bootstrap-token-auth --token-auth-file=/opt/kubernetes/cfg/token.csv --service-node-port-range=30000-50000 --tls-cert-file=/opt/kubernetes/ssl/server.pem --tls-private-key-file=/opt/kubernetes/ssl/server-key.pem --client-ca-file=/opt/kubernetes/ssl/ca.pem --service-account-key-file=/opt/kubernetes/ssl/ca-key.pem --etcd-cafile=/opt/etcd/ssl/ca.pem --etcd-certfile=/opt/etcd/ssl/server.pem --etcd-keyfile=/opt/etcd/ssl/server-key.pem
root      23615  0.0  0.0 112728   972 pts/0    S+   12:18   0:00 grep --color=auto apiserver

  • NamespaceLifecycle: 命令空间回收

    LimitRanger:配额管理

    ServiceAccount: 每个pod中导入方便访问apiserver

    ResourceQuota: 基于命名空间的高级配额管理

    NodeRestriction: Node加入到k8s群集中以最小权限运行

    官网推荐的插件:

    1.11版本以上推荐使用的插件:

    –enable-admission-plugins= \ NamespaceLifecycle,LimitRanger,ServiceAccount,DefaultStorageClass,DefaultTolerationSeconds, ResourceQuota

ca.pem --etcd-certfile=/opt/etcd/ssl/server.pem --etcd-keyfile=/opt/etcd/ssl/server-key.pem
root 23615 0.0 0.0 112728 972 pts/0 S+ 12:18 0:00 grep --color=auto apiserver


- NamespaceLifecycle: 命令空间回收

LimitRanger:配额管理

ServiceAccount: 每个pod中导入方便访问apiserver

ResourceQuota: 基于命名空间的高级配额管理

NodeRestriction: Node加入到k8s群集中以最小权限运行

官网推荐的插件:

1.11版本以上推荐使用的插件:

–enable-admission-plugins= \ NamespaceLifecycle,LimitRanger,ServiceAccount,DefaultStorageClass,DefaultTolerationSeconds, ResourceQuota

### 如有疑问可评论区交流!
K8s系列之:KubernetesRBAC (Role-Based Access Control)
zhengzaifeidelushang的博客
07-06 206
K8s系列之:KubernetesRBAC (Role-Based Access Control)
k8s安全机制
mikechen1的博客
06-05 1039
Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介, 也是外部控制的入口。所以 Kubernetes安全机制基本就是围绕保护 API Server 来设计的。
k8s-集群安全机制
weixin_43025075的博客
11-18 284
1、概述 (1)访问k8s集群时候,需要经过三个步骤完成具体操作 认证 鉴权(授权) 准入控制 (2)进行访问时候,过程中都需要经过apiserver, apiserver做统一协调,比如门卫。 访问过程中需要证书、token、或者用户名+密码 如果访问pod需要serviceAccount 第一步 认证 传输安全 传输安全:对外不暴露8080端口,只能内部访问,对外使用端口6443 认证 客户端身份认证常用方式: HTTPS证书认证,基于ca证书 http token认证,通过token识别
k8s——安全机制
sea_bunch的博客
06-07 1555
RoloBinding 可以将角色中定义的权限授予用户或用户组,RoleBinding 包含一组主体(subject),subject 中包含有不同形式的待授予权限资源类型(User、Group、ServiceAccount)RoloBinding 同样包含对被绑定的 Role 引用;RoleBinding 适用于某个命名空间内授权,而 ClusterRoleBinding 适用于集群范围内的授权准入控制是API Server的一个准入控制器插件列表,通过添加不同的插件,实现额外的准入控制规则。
K8S——安全机制
rmh0713的博客
06-05 992
默认情况下,每个 namespace 都会有一个 Service Account,如果 Pod 在创建时没有指定 Service Account,就会使用 Pod 所属的 namespace 的 Service Account。比如 kubectl 如果想向 API Server 请求资源,需要过三关,第一关是认证(Authentication),第二关是鉴权(Authorization), 第三关是准入控制(Admission Control),只有通过这三关才可能会被 K8S 创建资源。
k8s安全机制
xhredeem的博客
02-22 359
k8s安全机制
k8s,盘他!k8s安全机制RBAC使用方法
CN_TangZheng的博客
05-21 1490
文章目录前言一:k8s安全机制1.1:kubernetes安全框架1.2:第一关:Authentication认证1.3:第二关:Authorization授权1.3.1:RBAC使用测试1.4:第三关:准入控制Admission Control如有疑问可评论区交流! 前言 一:k8s安全机制 安全框架、 传输安全、认证,授权,准入控制 使用rbac授权 1.1:kubernetes安全框架 安全框架的流程 流程:kubectl先请求api资源,然后是过三关,第一关是认证(Authenticatio
k8s安全框架RBAC
qq_73797346的博客
11-04 1066
介绍K8SRBAC,和丰富的授权案例。 以及dashboard组件如何部署授权
k8sRBAC使用
crontab_e的博客
11-12 918
知道了ssl原理,https请求过程,我们就了解了,ssl的安全机制;实际上k8s当中“根证书”早就生成好了,在我们kubeadm部署的时候,就自动帮我们生成了;k8s是模拟ca机构,给自己颁发证书,自己验证自己,所以,整数中有私钥、公钥等;total 56#根证书#ca机构的私钥。
k8s - 安全认证(RBAC
栋院
03-18 3152
api server 是集群访问控制的统一入口 k8s认证过程: 认证 -> 授权 - > 准入控制 (adminationcontroller) 1 认证()是对客户端的认证,简单说就是账户密码 2 授权()是资源的授权,容器、网络、存储资源的权限 3 准入机制 准入控制器位于api server ,在对象被持久化之前,准入控制器拦截对api server 的请求,一般用来做认证和授权。其中包括连个控制器: MutatingAdmissionWebhook 和 Validating
k8s.gcr.io/kube-proxy:v1.17.3镜像包
03-06
kubernetesk8s.gcr.io/kube-proxy:v1.17.3镜像包,版本为v1.17.3。文件是kube-proxy_v_1_17.3.tar
k8s-安全机制
Andrew的博客
05-04 406
文章目录AuthenticationⅠ、HTTPS 证书认证:Ⅱ、需要认证的节点两种类型安全性说明证书颁发Ⅲ、kubeconfifigⅣ、ServiceAccountⅤ、Secret SA 的关系实践:创建一个用户只能管理 dev 空间 Authentication HTTP Token 认证:通过一个 Token 来识别合法用户 HTTP Token 的认证是用一个很长的特殊编码方式的...
K8S安全机制
mcl914的博客
03-10 1675
前言:机制 Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介, 也是外部控制的入口。所以 Kubernetes安全机制基本就是围绕保护 API Server 来设计的。比如 kubectl 如果想向 API Server 请求资源,需要过三关,第一关是认证(Authentication),第二关是鉴权(...
K8s安全机制
qq_37705525的博客
05-14 513
K8s安全机制
K8S 云原生】K8S安全机制
koeda1的博客
01-25 1567
K8S安全机制,对用户的K8S权限的管理
举例说明k8srbac机制
最新发布
03-08
<think>好的,我现在需要回答用户关于Kubernetes RBAC机制的例子说明。首先,用户之前已经询问过用户和组在K8S中的定义,现在希望了解RBAC的具体例子。我需要确保回答结构清晰,逐步说明,并符合之前的格式要求。 首先,我应该回顾RBAC的基本概念,然后通过具体示例来展示如何定义角色、绑定角色,以及如何应用到用户或服务账户上。可能需要分步骤,比如创建命名空间、角色、角色绑定,然后测试权限。 然后,考虑用户可能的背景。他们可能有一定的K8S基础,但需要具体例子来理解机制。因此,示例需要简洁明了,命令和YAML示例要准确,并且有解释每个部分的作用。 需要注意用户提到的系统级指令,比如使用正确的LaTeX格式,但用户的问题中没有数学表达式,可能不需要太多格式,但需要确保代码块正确。另外,回答要用中文,结构清晰,可能使用列表和分段。 可能需要包括Role和ClusterRole的区别,RoleBinding和ClusterRoleBinding的区别,以及如何通过kubectl auth can-i来验证权限。此外,服务账户的例子也是重要的,因为这是K8S中常用的权限管理方式。 需要检查是否有遗漏的关键点,比如内置的用户组或系统角色的引用,是否需要提到这些。同时,确保示例的步骤可行,用户能够按步骤操作并看到结果。 最后,总结RBAC的关键点,帮助用户记忆。避免使用复杂术语,保持解释简单易懂。确保每个示例都有明确的目的和结果说明,比如创建角色允许读取Pod,绑定到用户后,用户能够执行get命令但无法删除。</think>在 Kubernetes 中,**RBAC(基于角色的访问控制)** 通过 **Role**、**ClusterRole**、**RoleBinding** 和 **ClusterRoleBinding** 实现细粒度权限管理。下面通过具体场景演示其工作机制: --- ### 场景 1:授权用户查看 Pod **目标**:允许用户 `alice` 在 `default` 命名空间中查看 Pod,但禁止其他操作。 #### 1. 创建 **Role**(定义权限范围) ```yaml # pod-reader-role.yaml apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: namespace: default # 仅对 default 命名空间生效 name: pod-reader rules: - apiGroups: [""] # "" 表示核心 API 组(如 Pod) resources: ["pods"] # 控制访问的资源类型 verbs: ["get", "list"] # 允许的操作 ``` 应用配置: ```bash kubectl apply -f pod-reader-role.yaml ``` #### 2. 创建 **RoleBinding**(绑定权限) ```yaml # alice-pod-reader-binding.yaml apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: name: alice-read-pods namespace: default subjects: - kind: User name: alice # 要授权的用户 apiGroup: rbac.authorization.k8s.io roleRef: kind: Role name: pod-reader # 引用的 Role apiGroup: rbac.authorization.k8s.io ``` 应用配置: ```bash kubectl apply -f alice-pod-reader-binding.yaml ``` #### 3. 验证权限 ```bash # 切换为 alice 用户(需提前配置 kubeconfig) kubectl get pods -n default # 成功 kubectl delete pod mypod # 失败(无 delete 权限) ``` --- ### 场景 2:授权组管理全部命名空间 **目标**:允许 `dev-team` 组在所有命名空间中管理 Deployment。 #### 1. 创建 **ClusterRole**(集群级权限) ```yaml # deployment-admin-clusterrole.yaml apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: deployment-admin rules: - apiGroups: ["apps"] resources: ["deployments"] verbs: ["*"] # 允许所有操作(create/delete/update等) ``` #### 2. 创建 **ClusterRoleBinding**(全局绑定) ```yaml # dev-team-deployment-binding.yaml apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: dev-team-deployment-admin subjects: - kind: Group name: dev-team # 组名(通常由认证系统自动映射) apiGroup: rbac.authorization.k8s.io roleRef: kind: ClusterRole name: deployment-admin apiGroup: rbac.authorization.k8s.io ``` --- ### 场景 3:限制 ServiceAccount 权限 **目标**:仅允许 `monitoring-sa` 服务账户在 `monitoring` 命名空间中读取 Pod 日志。 #### 1. 创建 ServiceAccount ```bash kubectl create sa monitoring-sa -n monitoring ``` #### 2. 定义 Role ```yaml # pod-logs-reader.yaml apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: namespace: monitoring name: pod-logs-reader rules: - apiGroups: [""] resources: ["pods/log"] # 指定子资源 verbs: ["get", "list"] ``` #### 3. 绑定权限 ```yaml # monitoring-sa-binding.yaml apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: name: monitoring-sa-logs namespace: monitoring subjects: - kind: ServiceAccount name: monitoring-sa namespace: monitoring roleRef: kind: Role name: pod-logs-reader apiGroup: rbac.authorization.k8s.io ``` --- ### 权限验证工具 使用 `kubectl auth can-i` 快速检查权限: ```bash # 检查当前用户能否删除 default 命名空间的 Pod kubectl auth can-i delete pods -n default # 模拟特定用户的权限 kubectl auth can-i list pods --as=alice -n default ``` --- ### RBAC 核心组件对比 | 组件 | 作用域 | 典型用例 | |---------------------|-------------|------------------------------------------| | **Role** | 命名空间内 | 限制权限到单个命名空间(如管理 Pod) | | **ClusterRole** | 集群全局 | 跨命名空间操作(如查看节点、存储类) | | **RoleBinding** | 命名空间内 | 将 Role/ClusterRole 绑定到某命名空间的实体 | | **ClusterRoleBinding** | 集群全局 | 全局授权(如管理员权限) | --- ### 关键规则 1. **最小权限原则**:只授予必要权限 2. **优先使用 Role**:除非需要跨命名空间权限 3. **组优于用户**:通过组批量管理权限 4. **定期审计**:使用 `kubectl get rolebindings,clusterrolebindings` 检查授权
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值