Kubernetes控制平面组件:APIServer 基于匿名请求的认证机制详解

最新推荐文章于 2025-06-11 19:50:30 发布
最新推荐文章于 2025-06-11 19:50:30 发布
阅读量1k 收藏 6
点赞数 8
分类专栏: 云原生学习专栏 文章标签: kubernetes 容器 匿名请求 认证 authentication apiserver 安全配置
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/a1369760658/article/details/145799854
版权

云原生学习路线导航页(持续更新中)

本文主要对 kubernetes API Server 认证机制中的 基于匿名请求的认证进行介绍,包括 匿名请求 的设计理念、实现原理、认证流程,以及在 Kubernetes 中的具体应用

1.基本概念

1.1.匿名请求定义

  • 当客户端访问 Kubernetes API Server 时,若请求中 未携带任何认证信息(如证书、Token、Basic Auth 等),该请求会被标记为 匿名请求

1.2.默认行为

  • Kubernetes 1.6+:默认启用匿名请求认证(--anonymous-auth=true
  • 身份标识
    • 用户名:system:anonymous
    • 用户组:system:unauthenticated

2.认证流程

+------------+       +--------------+
|   Client   |       | API Server   |
+------------+       +--------------+
      | 1. 无认证请求       |
      |-------------------->|
      |                     | 2. 认证链检查
      |                     |--+ 
      |                     |  | 所有认证方法失败
      |                     |<-+
      | 3. 标记为匿名用户    |
      |<---------------------|

3.操作示例

3.1.允许匿名请求(默认配置)

3.1.1.直接访问 API

# 不携带任何认证信息
curl -k https://<API_SERVER_IP>:6443/api/v1/namespaces/default/pods

响应示例

{
  "kind": "Status",
  "apiVersion": "v1",
  "status": "Failure",
  "message": "pods is forbidden: User \"system:anonymous\" cannot list resource \"pods\" in API group \"\" in the namespace \"default\"",
  "reason": "Forbidden",
  "details": { "kind": "pods" },
  "code": 403
}

说明:认证通过但授权(RBAC)拒绝

3.1.2.查看认证用户信息

kubectl create clusterrolebinding anonymous-access \
  --clusterrole=view \
  --user=system:anonymous

curl -k https://<API_SERVER_IP>:6443/api/v1/namespaces/default/pods

此时将返回 Pod 列表(需提前创建测试 Pod)

3.2.禁用匿名请求

3.2.1.修改 API Server 配置

# 编辑 /etc/kubernetes/manifests/kube-apiserver.yaml
spec:
  containers:
  - command:
    - kube-apiserver
    - --anonymous-auth=false  # 添加此参数

3.2.2.验证禁用效果

curl -k https://<API_SERVER_IP>:6443/api/v1/namespaces/default/pods

响应示例

{
  "kind": "Status",
  "apiVersion": "v1",
  "status": "Failure",
  "message": "Unauthorized",
  "code": 401
}

4.安全建议

4.1.生产环境推荐配置

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: deny-anonymous-access
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin  # 根据实际情况调整
subjects:
- kind: User
  name: system:anonymous
  apiGroup: rbac.authorization.k8s.io

通过 RBAC 显式拒绝匿名用户的所有权限

4.2.审计配置

# /etc/kubernetes/audit-policy.yaml
apiVersion: audit.k8s.io/v1
kind: Policy
rules:
- level: Metadata
  users: ["system:anonymous"]  # 记录匿名请求审计日志

5.关键排查命令

# 查看 API Server 匿名认证配置
ps aux | grep kube-apiserver | grep anonymous-auth

# 检查匿名请求的 RBAC 权限
kubectl auth can-i list pods --as=system:anonymous
kubernetes1.5新特性:kubelet API增加认证和授权能力
容器技术爱好者
12-22 1万+
一、背景介绍 在Kubernetes1.5中,对于kubelet新增加了几个同认证/授权相关的几个启动参数,分别是: 认证相关参数: •       anonymous-auth参数:是否启用匿名访问,可以选择true或者false,默认是true,表示启用匿名访问。 •       authentication-token-webhook参数:使用tokenreviewAPI来进行令牌认
kubernetes源码分析-kube-apiserver
xiyanxiyan10的专栏
02-13 478
基于属性的访问控制(Attribute-based access control - ABAC)定义了访问控制范例,其中通过使用将属性组合在一起的策略来向用户授予访问权限。启用ABAC鉴权器需要额外增加一个。
[kubernetes]Kube-APIServer
weixin_38805083的博客
12-25 1275
定义groupGroupName定义groupversion定义SchemeBuildervar (将对象加入SchemeBuilderr!= nil {return err&Pod{},}}List单一对象数据结构• TypeMeta• Spec• Status。
Kubernetes控制平面组件:API Server RBAC授权机制 详解
a1369760658的博客
02-23 1171
本文主要对kubernetes的控制面组件API Server 授权机制中的RBAC进行详细介绍,包括RBAC的设计理念、在kubernetes中的优化改造、完整运作流程、使用案例、最佳实践、生产中常遇到的陷阱等
Kubernetes控制平面组件:API Server Node 授权机制 详解
a1369760658的博客
02-24 1073
本文主要对kubernetes的控制面组件API Server 授权机制中的 Node 授权机制进行详细介绍,涵盖Node机制基础概念、设计理念、实现原理、授权流程、参数配置及实操案例等
Kubernetes控制平面组件:API Server详解(一)
a1369760658的博客
02-23 984
本文是kubernetes的控制面组件API Server详解(一),首先总览了API Server的整个处理流程,然后对 请求超时限制、authentication认证、audit审计日志、impersonation模拟用户 模块分别进行了详细介绍。希望大家多多 点赞 关注 评论 收藏,作者会更有动力继续编写技术文章
Kubernetes控制平面组件:API Server Webhook 授权机制 详解
a1369760658的博客
04-13 1012
本文主要对kubernetes的控制面组件API Server 授权机制中的 Webhook 授权机制进行详细介绍,涵盖Webhook授权机制基础概念、设计理念、实现原理、授权流程、参数配置等。希望大家多多 点赞 关注 评论 收藏,作者会更有动力编写技术文章
Kubernetes控制平面组件:API Server详解(二)
a1369760658的博客
04-19 1176
本文是kubernetes的控制面组件API Server详解(二),首先总览了API Server的整个处理流程,然后对 max-in-flight限流限制、authorization授权鉴权机制、aggregator扩展apiserver机制、内置apiserver请求转换处理和admission准入控制模块 分别进行了详细介绍。希望大家多多 点赞 关注 评论 收藏,作者会更有动力继续编写技术文章
Kubernetes控制平面组件:API Server ABAC 授权机制 详解
a1369760658的博客
02-24 1002
本文主要对kubernetes的控制面组件API Server 授权机制中的 ABAC 机制进行详细介绍,涵盖ABAC基础概念、Kubernetes 对 ABAC 的优化改造、ABAC设计原理、参数配置及实操案例
Kubernetes控制平面组件:Kubelet详解(一):架构 及 API接口层介绍
a1369760658的博客
05-12 938
本文是 kubernetes 的控制面组件 kubelet 系列文章第一篇,主要讲解了 kubelet是什么、核心功能、工作流程、架构设计。并且对kubelet架构的API接口层的主通信接口10250、cadvisor监控采集端口4194、只读API端口10255、健康检查端口10248分别进行了详细介绍
Kubernetes学习之RBAC
Micky_Yang的博客
09-17 382
一、访问控制概述   API Server作为Kubernetes集群系统的网关,是访问及管理资源对象的唯一入口,余下所有需要访问集群资源的组件,包括kube-controller-manager、kube-scheduler、kubelet和kube-proxy等集群基础组件、CoreDNS等集群的附加组件以及此前使用的kubelet命令等都要经由网关进行集群访问和管理。这些客户端均要经由API Server访问或改变集群状态并完成数据存储,并由它对每一次的访问请求进行合法性校验,包括用户身份鉴别、操作权
网络协议深度解析:Linux网络服务背后的秘密语言
![Linux网络服务的配置与管理]...理解网络协议的工作机制是每个IT专业人员必须掌握的知识,无论是在网络设计、故障排查还是性能优化方面,网络协议都是核心要素。 ## 网络协议的分类 网络协议按照其功能和作用范围,
尹成学院区块链 Go 学习大纲-取得大纲试看视频联系微信yinchengak48
尹成的技术博客
08-21 4951
所处阶段 主讲内容 技术要点 学习目标 第一阶段Go语言开发入门实战 1.Go语言介绍及开发环境搭建 1.Go语言是什么 2.Go语言优势 3.Go语言适合来做什么 4.Go语言安装和设置 5.标准命令概述 6.第一个Go语言程序 课程设计理念: 夯实基础,Go语言作为...
Python读书笔记
lynchyueliu的博客
04-03 3038
Python读书笔记 目录 Python读书笔记 1 总览 3 拷机测试服务整体结构 4 2.1. 业务结构 4 2.2. 技术结构-图像 4 2.3. 技术结构-异常状态 5 2.4. 技术选型 5 2.5. 运维模型 6 2.6. 工具选择 6 了解python基础知识 7 3.1. Python底层是用什么语言实现的? 7 3.2. Python关键字(保留字)一览表 7 3.3...
argocd部署cli工具并添加k8s集群
crontab_e的博客
06-11 361
本文介绍了在已有Kubernetes集群环境下部署ArgoCD CLI工具并添加K8s集群的步骤。首先从ArgoCD Web界面下载匹配版本的CLI工具,上传至服务器/usr/local/bin目录并配置执行权限。接着修改kubeconfig文件中的server地址为master主机IP,解决kubekey部署集群时的解析问题。使用argocd cluster add命令添加集群,创建argocd-manager服务账户并授予集群权限。最后通过CLI和Web界面验证集群添加成功,为后续应用部署做好准备。整个
k8s业务程序联调工具-KtConnect
weixin_38924998的博客
06-05 464
架构图。
K8s简述
moxiaolin的博客
06-10 914
各个工作节点上的Kubelet(读库布利特)定期从API Server获取需要运行的Pod清单,调用容器运行时接口(如Docker)创建和启动容器实例。它主要功能包括:弹性伸缩(Autoscaling)、服务发现(KubeDnS/CoreDNS)、配置中心(configMap/Secret)、服务网关(ingress Controller)、负载均衡(Load Balancer)、服务安全(RBAC API)、跟踪监控(Metrics API/Dashboard)Docker:根据镜像运行容器实例。
云原生核心技术 (6/12): K8s 从零到一:使用 Minikube/kind 在本地搭建你的第一个 K8s 集群
程序员阿超的博客
06-10 628
本文是一篇保姆级的实践指南,旨在解决学习 Kubernetes (K8s) 时“环境搭建难”的头号痛点。我们将对比分析 Minikube、kind、K3s 和 Docker Desktop Kubernetes 等主流本地 K8s 环境方案的优缺点,帮助你选择最适合自己的工具。随后,文章将提供详细的分步教程,手把手带你使用 Minikube 和 kind (Kubernetes in Docker) 这两种最流行的方式,在自己的 Windows、macOS 或 Linux 电脑上,快速搭建起一个功能完备的单
Spring cloud-k8s容器化部署
最新发布
qq_63781342的博客
06-11 684
使用k8s进行SPring-cloud项目的部署
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值