kubernetes 扩展应用——auth

最新推荐文章于 2025-04-27 14:44:43 发布
最新推荐文章于 2025-04-27 14:44:43 发布
阅读量337 收藏
点赞数
文章标签: 运维 lua
原文链接:https://my.oschina.net/xiajie/blog/1617091
版权

Basic Authentication

一、生成密码

$ htpasswd -c auth foo
New password: <bar>
New password:
Re-type new password:
Adding password for user foo

auth 是生成的认证文件名,可以自定义,最好还是自定义,不然会弄混的。

二、创建secret

1、指定文件创建secret

$ kubectl create secret generic basic-auth --from-file=auth
secret "basic-auth" created

2、检查secret

$ kubectl get secret basic-auth -o yaml
apiVersion: v1
data:
  auth: Zm9vOiRhcHIxJE9GRzNYeWJwJGNrTDBGSERBa29YWUlsSDkuY3lzVDAK
kind: Secret
metadata:
  name: basic-auth
  namespace: default
type: Opaque

三、ingress管理

对于ingress,建议对于需要权限管理的网站单独设置ingress,否则当前ingress文件下的所有网站都必须登录。

echo "
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: ingress-with-auth
  annotations:
    # type of authentication,  basic(帐号密码)|digest(凭证)
    nginx.ingress.kubernetes.io/auth-type: basic
    # name of the secret that contains the user/password definitions 密码文件
    nginx.ingress.kubernetes.io/auth-secret: basic-auth
    # message to display with an appropiate context why the authentication is required 提示信息
    nginx.ingress.kubernetes.io/auth-realm: "Authentication Required - foo"
spec:
  rules:
  - host: foo.bar.com
    http:
      paths:
      - path: /
        backend:
          serviceName: http-svc
          servicePort: 80
" | kubectl create -f -

四、测试

不输入帐号密码

$ curl -v http://10.2.29.4/ -H 'Host: foo.bar.com'
*  Trying 10.2.29.4...
* Connected to 10.2.29.4 (10.2.29.4) port 80 (#0)
> GET / HTTP/1.1
> Host: foo.bar.com
> User-Agent: curl/7.43.0
> Accept: */*
>
< HTTP/1.1 401 Unauthorized
< Server: nginx/1.10.0
< Date: Wed, 11 May 2016 05:27:23 GMT
< Content-Type: text/html
< Content-Length: 195
< Connection: keep-alive
< WWW-Authenticate: Basic realm="Authentication Required - foo"
<
<html>
<head><title>401 Authorization Required</title></head>
<body bgcolor="white">
<center><h1>401 Authorization Required</h1></center>
<hr><center>nginx/1.10.0</center>
</body>
</html>
* Connection #0 to host 10.2.29.4 left intact

输入正确帐号密码

$ curl -v http://10.2.29.4/ -H 'Host: foo.bar.com' -u 'foo:bar'
*  Trying 10.2.29.4...
* Connected to 10.2.29.4 (10.2.29.4) port 80 (#0)
* Server auth using Basic with user 'foo'
> GET / HTTP/1.1
> Host: foo.bar.com
> Authorization: Basic Zm9vOmJhcg==
> User-Agent: curl/7.43.0
> Accept: */*
>
< HTTP/1.1 200 OK
< Server: nginx/1.10.0
< Date: Wed, 11 May 2016 06:05:26 GMT
< Content-Type: text/plain
< Transfer-Encoding: chunked
< Connection: keep-alive
< Vary: Accept-Encoding
<
CLIENT VALUES:
client_address=10.2.29.4
command=GET
real path=/
query=nil
request_version=1.1
request_uri=http://foo.bar.com:8080/

SERVER VALUES:
server_version=nginx: 1.9.11 - lua: 10001

HEADERS RECEIVED:
accept=*/*
authorization=Basic Zm9vOmJhcg==
connection=close
host=foo.bar.com
user-agent=curl/7.43.0
x-forwarded-for=10.2.29.1
x-forwarded-host=foo.bar.com
x-forwarded-port=80
x-forwarded-proto=http
x-real-ip=10.2.29.1
BODY:
* Connection #0 to host 10.2.29.4 left intact
-no body in request-

更多资料
gitlab kubernetes 扩展应用——auth

转载于:https://my.oschina.net/xiajie/blog/1617091

chengyuyao8941
关注
K8S--- kubectl auth
qq_41768644的博客
01-10 981
kubectl auth
扩展Kubernetes集群——通过Amazon EKS管理微服务的指南
AI天才研究院
08-27 163
作者:禅与计算机程序设计艺术 1.简介 随着云计算、容器化及微服务架构的不断推进,越来越多的企业应用开始采用基于容器技术的分布式系统架构。由于容器技术和编排工具(如Kubernetes)的普及,使得微服务部署、管理变得非常简单和高效。因此,通过使用云平台提供的Kubernetes托管服务或自行安装部署K
k8s 之 auth部署
qq_36465337的博客
03-23 528
k8s 系列之 部署eureka集群 k8s 部署gateway k8s 系列之 user 的部署 一:简介 基本上之前的所有问题我都已经讲解过了 , 那么现在可以直接部署了 二 : 部署 auth 资源清单 apiVersion: v1 kind: Service metadata: name: cloud-auth namespace: ms spec: po...
Kubernetes 安全机制 认证 授权 准入控制
低温热源的博客
08-20 608
Role 受命名空间的影响,只能在指定的命名空间中操作资源ClusterRole 默认能够在K8S集群中所有的命名空间中操作资源,不要配置 namespace如果使用 RoleBinding 绑定 ClusterRole,仍会受到命名空间的影响;如果使用 ClusterRoleBinding 绑定 ClusterRole, 将会作用于整个 K8S 集群。Role (受限命名空间)+ RoleBinding(受限命名空间)
老卫带你学---K8S源码剖析(Auth
老卫带你学
03-05 407
Nodeidentify用来限制kubelet对api-server的访问鉴权,目前做的也比较简单,主要是对前缀进行匹配,看前缀是否是“system:node:”那核心的模块其实主要在几个match函数中。在前面进行完匹配后决定是否鉴权成功。
配置kubernetes服务basic auth
weixin_34138139的博客
10-23 367
     由于一些内部服务访问并不需要鉴权,如kubernetes-dashboard、traefik-ui,所以当我们想通过外网域名访问的时候会有安全问题。这里我们可以为服务配置basic auth,访问时需要验证,以下是配置过程: 1. 创建用户密码文件   这里我们使用htpasswd创建加密过的密码文件。 # htpasswd -bc basic-auth-secret ...
Kubernetes和Jenkins——基于Kubernetes构建Jenkins持续集成平台
优快云_KONGlX的博客
07-07 3889
.markdown-body { line-height: 1.75; font-weight: 400; font-size: 16px; overflow-x: hidden; color: rgba(51, 51, 51, 1) } .markdown-body h1, .markdown-body h2, .markdown-body h3, .markdown-body h4, .ma...
容器编排引擎Kubernetes 10——在k8s集群中部署项目
maizixuetang的博客
07-29 971
基于 centOS7,如果没有这个镜像那么它会下载这个镜像 FROM centos:7 创建者 MAINTAINER chuxuezhe 复制文件到指定目录并自动解压 ADD openjdk-11_linux-x64_bin.tar.gz /usr/local/ 设置环境变量 ENV JAVA_HOME=/usr/local/jdk-11 ENV CLASSPATH=.:/lib ENV PATH=$JAVA_HOME/bin:$PATH:/usr/local/jdk-11/bin。
红队视角出发的k8s敏感信息收集——Kubernetes API 扩展与未授权访问
qq_44373268的博客
02-16 1228
为了查询特定自定义资源(CR)的实例数据,你可以使用kubectl get命令并指定自定义资源的类型和命名空间。以下是如何获取名为databases.example.com的CRD在default命名空间下的所有实例,并以YAML格式输出其详细信息。这条命令会输出所有属于databases.example.com类型的自定义资源实例的详细信息,包括它们的规格(spec)、状态(status)等。
理解 Kubernetes 初始访问向量(一)——控制平面
最新发布
技术超强的网络安全平台
04-27 674
Kubernetes 是一个复杂的分布式系统,具有多个访问向量。如果每个向量都存在安全隐患,都可能导致整个集群被攻陷。在本文中,我们分享了 Kubernetes 控制平面初始访问向量的分类,旨在帮助运维人员和安全专业人员更好地保护其集群安全。我们还概述了针对每个向量的检测和预防策略。我们力求在内容的深度和广度之间取得平衡。在下一篇文章中,我们将对数据平面访问向量进行同样的探讨。
kubernetes(k8s):访问控制(认证+授权+准入控制)
weixin_43936969的博客
05-24 4432
文章目录1. kubernetes API 访问控制2. 认证 Authentication1 访问k8s的API Server的客户端2 UserAccount 与 serviceaccount2.1 创建serviceaccount:2.2 添加secrets到serviceaccount中2.3 把serviceaccount和pod绑定起来2.4 创建useraccount3. 授权 Authorization3.1RBAC基于角色访问控制授权3.2 RoleBinding角色绑定3.3Cluste
K8S访问控制------认证(authentication )、授权(authorization )体系
qq_41768644的博客
08-29 917
在K8S体系中有两种账号类型:User accounts(用户账号),即针对human user的;Service accounts(服务账号),即针对pod的。
Kubernetes(k8s) kubectl auth常用命令
m0_60105488的博客
12-29 260
kubectl 在 $HOME/.kube 目录中查找一个名为 config 的配置文件。可以通过设置 KUBECONFIG 环境变量或设置 --kubeconfig 参数来指定其它 kubeconfig 文件。本文主要介绍Kubernetes(K8s)中kubectl auth常用命令。
k8s的访问控制(认证+授权+准入控制)
yrx420909的博客
05-05 3423
1. kubernetes API 访问控制 由上图来介绍一下 Kubernetes API 的请求从发起到其持久化入库的一个流程。 首先看一下请求的发起,请求的发起分为两个部分: 第一个部分是人机交互的过程。 是大家非常熟悉的用 kubectl 对 apiserver 的一个请求过程; 第二个部分是 Pod 中的业务逻辑与 apiserver 之间的交互。 当我们的 apiserver 收到请...
k8s之认证鉴权准入控制
fourierr的博客
04-29 877
k8s认证,Authentication,检查用户是否为合法用户。认证方式有很多,常用的是 X509 Client Certs(用于外部用户如kubectl)和Service Accout Tokens(用于pod中进程),kubeconfig使用X509 Client Certs方式。 同时ServiceAccount Resource中主要包含了三个内容:namespace、token和ca.crt,其中namespace表示当前管理的命名空间;ca.crt用于校验服务端的的证书信息,即apiserve
K8S - Access Control 机制介绍
nvd11的专栏
09-18 1673
Kubernetes(K8s)的权限认证机制主要涉及认证(Authentication)和授权(Authorization)两个方面:Authentication 包括用户验证与 服务帐号(SA) 认证至于Authorization 授权方面, 就是我们常见的RBAC (Role-based Access Control)如下图, 其实一切对k8s集群的管理操作都是通过api service 去调用nodes 的kubelet 去完成。
LNMP Nginx默认虚拟主机 用户认证 域名重定向 访问日志 日志切割 静态文件不记录日志和过期时间 防盗链 访问控件 解析PHP相关 Nginx代理
xou6363的博客
07-04 528
1、Nginx默认虚拟主机在Nginx中也有默认虚拟主机,跟httpd类似,第一个被Nginx加载的虚拟主机就是默认主机,但和httpd不相同的地方是,它还有一个配置用来标记默认虚拟主机,也就是说,如果没有这个标记,第一个虚拟主机为默认虚拟主机。首先删除/usr/local/nginx/conf/nginx.conf 中的一部分内容——&gt;目的是修改nginx.cnf配置,删除server后面...
HTTP BASIC AUTHENTICATION by Java RestTemplate
sijun1102的专栏
04-01 949
今天在接入EMQX 管理架空API时,必须使用HTTP BASIC AUTHENTICATION。 对应的,我把日志打印出来: RdeMacBook-Pro:~ r$ curl -v --basic -u username:password http://127.0.0.1:8081/hello/ * Trying 127.0.0.1... * TCP_NODELAY set ...
Kubernetes API Server 认证机制
小楼一夜听春雨,深巷明朝卖杏花
07-11 1810
开启 TLS时,所有的请求都需要首先认证。Kubernetes支持多种认证机制,并支持同时开启多个认证插件(只要有一个认证通过即可)。如果认证成功,则用户的 username 会传入授权模块做进一步授权验证;而对于认证失败的请求则返回 HTTP 401。当apiserver启动的时候,其实有两个和安全相关的配置,一个叫insecure-port,一个叫secure-port,早期大家很习惯的将insecure-port打开,经过insecure-port端口所有的请求其实是没有做任何的安全校验的,也就是认证
Go语言开发的Traefik插件功能与应用
Traefik支持多种后端服务(如Docker、Swarm、Kubernetes、Marathon、Consul、Etcd等),并且具有内置的负载均衡、路由规则、服务健康检查以及多种身份验证机制。 本文主要介绍Traefik的一个组件——traefik-plugin...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值