k8s集群安全机制

最新推荐文章于 2025-04-23 18:05:19 发布
最新推荐文章于 2025-04-23 18:05:19 发布
阅读量226 收藏 1
点赞数
分类专栏: k8s
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43753680/article/details/114090942
版权

k8s集群安全机制

机制说明

在这里插入图片描述

安全主要是围绕 api server 来展开的

认证(Authentication)

当用户访问到api server 的时候,需要进行相关的认证
在这里插入图片描述

token信息存储在文件中,不安全
用户名加密码的认证信息是用的 base64 算法,但是该算法不安全
https证书最安全,所有节点的证书都是根据ca签发出来的子证书。目前均采用 https 双向认证

HTTPS 证书认证(双向)

认证过程

在这里插入图片描述

客户端和服务端都需要向ca申请证书,然后ca进行下发证书
双方访问时进行证书认证

需要认证的节点

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

可以在master关闭非安全端口,让master节点的其他组件被迫访问安全端口

在这里插入图片描述
在这里插入图片描述

ServiceAccount 是 负责循环访问的,避免pod 重建销毁过程中大量证书资源的浪费

在这里插入图片描述

JWT科普
在这里插入图片描述

认证总结

在这里插入图片描述

鉴权

上面的认证通过后并不意味着你就可以进行资源的访问了,还需要进行鉴权
类似于相亲,认证只是表明可以见面了,而鉴权则是决定是否能在一起。。。。。

在这里插入图片描述

目前常用的RBAC

RBAC 鉴权模式在这里插入图片描述

RBAC 资源对象

在这里插入图片描述
在这里插入图片描述

把一些相关的操作 作为角色然后进行绑定

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

Role 和 ClusterRole

role是pod级别,ClusterRole 是集群级别

role

在这里插入图片描述

role 是命名空间级别

在这里插入图片描述

意思是:当把上面的role 赋予某个用户时,该用户就可以在默认的命名空间下对pod(仅对指定的资源类型)进行 get 、 watch、list 操作

ClusterRole

在这里插入图片描述
在这里插入图片描述

含义:把创建的角色赋予给某个用户后,即所谓的ClusterRoleBinding 后,该用户可以在所有的命名空间下进行对 指定资源(目前指定的时 secrets)的指定操作

RoleBinding 和 ClusterRoleBinding

RoleBinding
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
RoleBinding 绑定 ClusterRole

在这里插入图片描述
ClusterRoleBinding 方案

在这里插入图片描述
在这里插入图片描述

Resources

在Role和ClusterRole 中会引用

在这里插入图片描述
在这里插入图片描述

to Subjects

在这里插入图片描述

k8s——安全机制
sea_bunch的博客
06-07 1440
RoloBinding 可以将角色中定义的权限授予用户或用户组,RoleBinding 包含一组主体(subject),subject 中包含有不同形式的待授予权限资源类型(User、Group、ServiceAccount)RoloBinding 同样包含对被绑定的 Role 引用;RoleBinding 适用于某个命名空间内授权,而 ClusterRoleBinding 适用于集群范围内的授权准入控制是API Server的一个准入控制器插件列表,通过添加不同的插件,实现额外的准入控制规则。
【Kubernetes】k8s集群安全机制
weixin_68840588的博客
08-19 1123
k8s集群安全机制
k8s-集群安全机制
weixin_43025075的博客
11-18 259
1、概述 (1)访问k8s集群时候,需要经过三个步骤完成具体操作 认证 鉴权(授权) 准入控制 (2)进行访问时候,过程中都需要经过apiserver, apiserver做统一协调,比如门卫。 访问过程中需要证书、token、或者用户名+密码 如果访问pod需要serviceAccount 第一步 认证 传输安全 传输安全:对外不暴露8080端口,只能内部访问,对外使用端口6443 认证 客户端身份认证常用方式: HTTPS证书认证,基于ca证书 http token认证,通过token识别
k8sRoleBinding详解
最新发布
woshihlf的博客
04-23 1087
RoleBinding 是 Kubernetes RBAC 体系中的关键组件,它通过将角色与主体关联来实现细粒度的权限控制。实现最小权限原则隔离不同环境和工作负载提供审计跟踪能力支持多租户场景理解 RoleBinding 与 Role、ClusterRole、ServiceAccount 等资源的关系,是设计健壮的 Kubernetes 权限系统的基础。
k8s-安全机制
Andrew的博客
05-04 369
文章目录AuthenticationⅠ、HTTPS 证书认证:Ⅱ、需要认证的节点两种类型安全性说明证书颁发Ⅲ、kubeconfifigⅣ、ServiceAccountⅤ、Secret 与 SA 的关系实践:创建一个用户只能管理 dev 空间 Authentication HTTP Token 认证:通过一个 Token 来识别合法用户 HTTP Token 的认证是用一个很长的特殊编码方式的...
k8s安全机制
weixin_67470255的博客
08-06 2364
kind: Podmetadata:spec:ports:serviceAccountName: daniel # 指定sa为daniel。
K8S安全机制
L2111533547的博客
08-07 1597
访问K8S集群的资源需要过三关:认证、鉴权、准入控制普通用户若要安全访问集群API Server,往往需要证书、 Token或者用户名+密码;Pod访问,需要ServiceAccountK8S安全控制框架主要由下面3个阶段进行控制,每一个阶段 都支持插件方式,通过API Server配置来启用插件。1. Authentication:用于识别用户身份, 方式有: SSL证书,token, 用户名+密码等2. Authorization:确认是否对资源具有相关的权限。......
sealos离线安装k8s集群镜像-part3
12-25
Sealos 离线安装 Kubernetes (K8s) 集群是一个特定的部署方式,尤其适用于无法稳定连接互联网的环境。在离线安装过程中,相关的容器镜像需要提前下载到本地并进行配置。本篇主要讲述在离线环境下安装 Kubernetes ...
K8S——安全机制
rmh0713的博客
06-05 918
默认情况下,每个 namespace 都会有一个 Service Account,如果 Pod 在创建时没有指定 Service Account,就会使用 Pod 所属的 namespace 的 Service Account。比如 kubectl 如果想向 API Server 请求资源,需要过三关,第一关是认证(Authentication),第二关是鉴权(Authorization), 第三关是准入控制(Admission Control),只有通过这三关才可能会被 K8S 创建资源。
K8s安全机制
qq_37705525的博客
05-14 469
K8s安全机制
k8s 安全机制详解
qq_51545656的博客
03-11 1476
Token 和 Basic 认证主要是单向的,即只能验证客户端对服务器的身份。而 HTTPS 证书认证可以实现双向认证,这对于需要确保通信双方身份的场景非常重要,比如在 Kubernetes API Server 与 etcd 或其他组件之间的通信中。使用 HTTPS 证书认证可以防止中间人攻击,确保数据传输的安全性。kind: Rolemetadata:rules:- apiGroups: [""] # 空字符串表示核心 API 组。
Kubernetes(k8s安全机制
weixin_56270746的博客
08-11 2260
Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介, 也是外部控制的入口。
k8s安全机制
m0_75209491的博客
01-25 1280
k8s安全机制。分布式集群管理工具,就是容器编排安全机制的核心:APIserver作为整个内部通信的中介,也是外部控制的入口,所有的安全机制都是围绕API server来进行设计请求API资源:1、认证 2、鉴权 3、准入机制只有三个条件都通过,才可以在k8s集群当中创建。
k8s安全机制
xhredeem的博客
02-22 336
k8s安全机制
二进制方式部署k8s集群完整文件包
使用二进制方式部署k8s集群可以带来以下几点好处: 1. **理解底层工作原理:** 通过手动部署,可以更深入地理解Kubernetes集群的工作机制和各个组件的作用。 2. **灵活性:** 对于某些特定场景,可能需要对集群组件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值