k8s安全控制、授权管理介绍

目录

一.Kubernetes安全控制介绍

1.客户端认证操作

2.访问对象资源依次流程

二.授权管理介绍

1.AlwaysDeny

2.AlwaysAllow

3.ABAC

4.Webhook

5.Node

6.RBAC

三.Role解释

1.Role和ClusterRole

2.Rolebinding和ClusterBinding

3.Rolebinding和ClusterRole

四.准入控制

1.命令格式

2.可配置控制器

五.例子

1.生成签署证书

2.设置用户和上下文信息

3.为sulibao用户授权


 

 

一.Kubernetes安全控制介绍

1.客户端认证操作

两者最终都是面向kubernetes的

(1)user account

单独位于kubernetes外的用户账号

(2)service account

kubernetes管理账号,为pod中的服务进程在访问kubernete时提供身份标识

2.访问对象资源依次流程

(1)Authentication认证

所有请求都要经过apiserver,这里进行身份认证,只认准正确的账号

(2)Authorization

账号认证通过后进行资源权限判定,授权发生在认证成功之后,这时候就知道请求用户是谁, Kubernetes就会根据事先定义的授权策略来决定用户是否有权限访问。请求报文一般包含这些内容,请求的用户、请求的路径、请求的动作等,kubernetes将这些内容与事先定义好的策略比对,如果符合策略,则认为授权通过,否则会错误。

(3)Admission Control

准入控制,实现更加精细的访问控制

二.授权管理介绍

我是以kubeadm安装的kubernetes,主要是用到rbac的角色访问控制。

实际上apiserver支持至少六种授权策略:

1.AlwaysDeny

表示拒绝所有请求,通常不使用哈

2.AlwaysAllow

默认的策略,允许接收所有请求,就相当于没进行权限控制

3.ABAC

表示使用用户配置的授权规则对用户请求进行匹配和控制(基于用户属性)

4.Webhook

引用外部REST服务对用户进行授权管理

5.Node

用于对kubelet发出的请求进行访问控制,比较特殊的一种模式

6.RBAC

基于角色访问控制,一般是需要账号等

三.Role解释

理解为哪些对象拥有哪些权限,如下介绍RBAC的四个顶级资源对象(Role、Rolebinding、ClusterRole、ClusterRoleBinding)

1.Role和ClusterRole

角色,可以为角色指定一组权限,指定什么权限该角色就拥有什么权限,一个角色一组权限

(1)Role,是对指定的命名空间的资源进行权限配置,是需要指定名称空间的

#rule中的参数用来对授权进行配置
rules:
- apiGroups: [""]  #支持的API组列表,"" 空字符串,表示核心API群resources: ["pods"]  #支持的资源对象列表verbs: ["get", "watch", "list"]  #允许的对资源对象的操作方法列表

(2)ClusterRole,是对整个集群范围内资源(不仅仅限于具体某个名称空间)、非资源类型等进行授权配置

2.Rolebinding和ClusterBinding

角色绑定,将角色绑定给目标对象,那么目标对象就会拥有该角色的权限

(1)Rolebinding,是将Role和目标对象进行绑定,可以是User、Group和ServiceAccount

# RoleBinding可以将同一namespace中的subject绑定到某个Role下,subject内的对象就会拥有role的权限
​
subjects:
- kind: Username: username
apiGroup: rbac.authorization.k8s.io
roleRef:kind: Rolename: 定义的的role的名称apiGroup: rbac.authorization.k8s.io

(2)ClusterRoleBinding,ClusterRoleBinding在整个集群级别的特定的subject与ClusterRole绑定,授予subject内目标权限,用法和Rolebinding一致

3.Rolebinding和ClusterRole

(1)可以将ClusterRole把通过RoleBinding绑定给目标对象,但是由于此时是使用Rolebinding方式,所以ClusterRole此时的作用范围也被局限在特定的namespace中。

(2)集群管理员会在集群范围内预先定义一组通用的角色(ClusterRole),然后在多个命名空间中重复使用这些 ClusterRole,好处是:

通过预定义一组通用的 ClusterRole,可以避免在每个命名空间中都重新定义相同的权限规则,从而节省时间和精力。

使用相同的 ClusterRole 在不同的命名空间中授权,可以确保各个命名空间下的基础授权规则保持一致,简化了权限管理并提供一致的用户体验。

当需要更新权限规则时,只需修改预定义的 ClusterRole,所有引用该 ClusterRole 的 RoleBinding 将自动应用新的权限规则,避免了在每个命名空间中手动更新权限规则的繁琐过程。

四.准入控制

用户的权限请求时要通过准入控制后最后才会被apiserver去判断是否处理,通过则继续处理,否则驳回请求

1.命令格式

--admission-control=配置的控制器列表,多个参数用“,”隔开

2.可配置控制器

参数含义
AlwaysAdmit允许所有请求
AlwaysDeny禁止所有请求,通常不用哈
AlwaysPullImages在启动容器之前总去下载镜像
DenyExecOnPrivileged拦截所有想在Privileged Container上执行命令的请求
ImagePolicyWebhook一个插件,将允许后端的一个Webhook程序来完成admission controller的功能
Service Account实现ServiceAccount,自动化
SecurityContextDeny一个插件,将使用SecurityContext的Pod中的定义全部失效
ResourceQuota用于资源配额管理,观察所有请求,确保在namespace上的配额不会超标
LimitRanger用于资源限制管理,作用于namespace上,确保对Pod进行资源限制
InitialResources为未设置资源请求与限制的Pod,根据其镜像的历史资源的使用情况进行设置
NamespaceLifecycle如果尝试在一个不存在的namespace中创建资源对象,则该创建请求将被拒绝。当删除一个namespace时,系统将会删除该namespace中所有对象。
DefaultStorageClass为了实现共享存储的动态供应,为未指定StorageClass或PV的PVC尝试匹配默认的StorageClass,尽可能减少用户在申请PVC时所需了解的后端存储细节
DefaultTolerationSeconds一个插件,为那些没有设置forgiveness tolerations并具有notready:NoExecute和unreachable:NoExecute两种taints的Pod设置默认的“容忍”时间,为5min
PodSecurityPolicy一个插件,用于在创建或修改Pod时决定是否根据Pod的security context和可用的PodSecurityPolicy对Pod的安全策略进行控制

五.例子

配置一个sulibao用户,限制其只能对ns-sulibao名称空间内的pod进行get, watch, list三个行为

1.生成签署证书

[root@k8s-master ~]# cd /etc/kubernetes/pki/
[root@k8s-master pki]# (umask 077; openssl genrsa -out sulibao.key 2048)    #生成.key,在当前生效
Generating RSA private key, 2048 bit long modulus
............................+++
...........................................................+++
e is 65537 (0x10001)
[root@k8s-master pki]# openssl req -new -key sulibao.key -out sulibao.csr -subj "/CN=sulibao/O=sulibao"
#生成.csr,用sulibao用户和组进行签署
[root@k8s-master pki]# ll
total 64
-rw-r--r-- 1 root root 1285 Mar  9 11:24 apiserver.crt
-rw-r--r-- 1 root root 1155 Mar  9 11:24 apiserver-etcd-client.crt
-rw------- 1 root root 1679 Mar  9 11:24 apiserver-etcd-client.key
-rw------- 1 root root 1679 Mar  9 11:24 apiserver.key
-rw-r--r-- 1 root root 1164 Mar  9 11:24 apiserver-kubelet-client.crt
-rw------- 1 root root 1675 Mar  9 11:24 apiserver-kubelet-client.key
-rw-r--r-- 1 root root 1107 Mar  9 11:24 ca.crt
-rw------- 1 root root 1675 Mar  9 11:24 ca.key
drwxr-xr-x 2 root root  162 Mar  9 11:24 etcd
-rw-r--r-- 1 root root 1123 Mar  9 11:24 front-proxy-ca.crt
-rw------- 1 root root 1679 Mar  9 11:24 front-proxy-ca.key
-rw-r--r-- 1 root root 1119 Mar  9 11:24 front-proxy-client.crt
-rw------- 1 root root 1675 Mar  9 11:24 front-proxy-client.key
-rw------- 1 root root 1679 Mar  9 11:24 sa.key
-rw------- 1 root root  451 Mar  9 11:24 sa.pub
-rw-r--r-- 1 root root  911 Mar  9 19:32 sulibao.csr
-rw------- 1 root root 1679 Mar  9 19:31 sulibao.key
#用apiserver证书签署
[root@k8s-master pki]# openssl x509 -req -in sulibao.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out sulibao.csr -days 3650
#生成
Signature ok
subject=/CN=sulibao/O=sulibao
Getting CA Private Key
[root@k8s-master pki]# kubectl config set-cluster kubernetes --embed-certs=true --certificate-authority=/etc/kubernetes/pki/ca.crt --server=https://192.168.2.150:6443
Cluster "kubernetes" set.

2.设置用户和上下文信息

[root@k8s-master pki]# kubectl config set-credentials sulibao --embed-certs=true --client-certificate=/etc/kubernetes/pki/sulibao.csr --client-key=/etc/kubernetes/pki/sulibao.key 
User "sulibao" set.
​
[root@k8s-master pki]# kubectl config set-context sulibao@kubernetes --cluster=kubernetes --user=sulibao
Context "sulibao@kubernetes" created.
​
[root@k8s-master pki]# kubectl config use-context sulibao@kubernetes
Switched to context "sulibao@kubernetes".
#当前无权限
[root@k8s-master pki]# kubectl get pods -n ns-sulibao
Error from server (Forbidden): pods is forbidden: User "sulibao" cannot list resource "pods" in API group "" in the namespace "ns-sulibao"
​
[root@k8s-master pki]# kubectl config use-context kubernetes-admin@kubernetes 
Switched to context "kubernetes-admin@kubernetes".

3.为sulibao用户授权

[root@k8s-master pki]# vim role.yaml
apiVersion: v1
kind: Namespace
metadata:name: ns-sulibao
​
---
​
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:namespace: ns-sulibaoname: ns-sulibao-role
rules:
- apiGroups: [""]resources: ["pods"]verbs: ["get", "watch", "list"]
​
---
​
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:name: authorization-role-bindingnamespace: ns-sulibao
subjects:
- kind: Username: sulibaoapiGroup: rbac.authorization.k8s.io
roleRef:kind: Rolename: ns-sulibao-roleapiGroup: rbac.authorization.k8s.io
​
[root@k8s-master pki]# kubectl apply -f role.yaml 
namespace/ns-sulibao created
role.rbac.authorization.k8s.io/ns-sulibao-role created
rolebinding.rbac.authorization.k8s.io/authorization-role-binding created
[root@k8s-master pki]# vim test-pod.yaml
apiVersion: v1
kind: Pod
metadata:name: my-nginxnamespace: ns-sulibao
spec:containers:- name: nginx-sulibaoimage: nginxports:- containerPort: 80
​
[root@k8s-master pki]# kubectl apply -f test-pod.yaml 
pod/my-nginx created
[root@k8s-master pki]# kubectl get pods -n ns-sulibao
NAME       READY   STATUS    RESTARTS   AGE
my-nginx   1/1     Running   0          7s
[root@k8s-master pki]# kubectl config use-context sulibao@kubernetes 
Switched to context "sulibao@kubernetes".
[root@k8s-master pki]# kubectl get pods -n ns-sulibao    #已有权限
NAME       READY   STATUS    RESTARTS   AGE
my-nginx   1/1     Running   0          32s
[root@k8s-master pki]# 

 

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/734420.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

LeetCode-22题:括号生成(原创)

【题目描述】 数字 n 代表生成括号的对数,请你设计一个函数,用于能够生成所有可能的并且 有效的 括号组合。 【题目链接】. - 力扣(LeetCode) 【解题代码】 package dp;import java.util.ArrayList; import java.util.Arrays; im…

数字化审计智慧

简析内部审计数字化转型的方法和路径 内部审计是一种独立的、客观的确认和咨询活动,包括鉴证、识别和分析问题以及提供管理建议和解决方案。狭义的数字化转型是指将企业经营管理和业务操作的各种行为、状态和结果用数字的形式来记录和存储,据此再对数据进…

2024年展望:AI辅助研发引领科技创新潮流,重塑未来研发格局

2024 年 AI 辅助研发趋势 随着人工智能技术的持续发展与突破,2024年AI辅助研发正成为科技界和工业界瞩目的焦点。从医药研发到汽车设计,从软件开发到材料科学,AI正逐渐渗透到研发的各个环节,变革着传统的研发模式。在这一背景下&a…

ChatGPT预训练的奥秘:大规模数据、Transformer架构与自回归学习【文末送书-31】

文章目录 ChatGPT原理与架构ChatGPT的预训练ChatGPT的迁移学习ChatGPT的中间件编程 ChatGPT原理与架构:大模型的预训练、迁移和中间件编程【文末送书-31】 ChatGPT原理与架构 近年来,人工智能领域取得了巨大的进展,其中自然语言处理&#xf…

【Java项目介绍和界面搭建】拼图小游戏完结——源代码分析以及资料上传

🍬 博主介绍👨‍🎓 博主介绍:大家好,我是 hacker-routing ,很高兴认识大家~ ✨主攻领域:【渗透领域】【应急响应】 【Java、PHP】 【VulnHub靶场复现】【面试分析】 🎉点赞➕评论➕收…

AI与IoT之间的融合:预测性维护

预测性维护是利用数据分析和机器学习算法来预测设备故障和计划维护的一种方法。这种方法可以帮助企业减少意外停机时间,延长设备寿命,并优化维护资源。以下是一个简化的预测性维护应用实例,使用Python和机器学习库scikit-learn来实现。 假设我…

一款开源、免费、跨平台的Redis可视化管理工具

前言 经常有小伙伴在技术群里问:有什么好用的Redis可视化管理工具推荐的吗?, 今天大姚给大家分享一款我一直在用的开源、免费(MIT License)、跨平台的Redis可视化管理工具:Another Redis Desktop Manager。 Redis介绍…

【亲测有效】解决三月八号ChatGPT 发消息无响应!

背景 今天忽然发现 ChatGPT 无法发送消息,能查看历史对话,但是无法发送消息。 可能的原因 出现这个问题的各位,应该都是点击登录后顶部弹窗邀请 [加入多语言 alapha 测试] 了,并且语言选择了中文,抓包看到 ab.chatg…

hive中split函数相关总结

目录 split函数示例实战注意事项 split 函数一直再用,居然发现没有总结,遂补充一下; split函数 在Hive中,split函数用于将一个字符串根据指定的分隔符进行分割,并返回一个数组。它的语法如下: split(str…

【Python】成功解决ModuleNotFoundError: No module named ‘matplotlib‘

【Python】成功解决ModuleNotFoundError: No module named ‘matplotlib’ 🌈 个人主页:高斯小哥 🔥 高质量专栏:Matplotlib之旅:零基础精通数据可视化、Python基础【高质量合集】、PyTorch零基础入门教程&#x1f448…

PyCharm如何添加python库

1.使用pip命令在国内源下载需要的库 下面使用清华源,在cmd中输入如下命令就可以了 pip install i https://pypi.tuna.tsinghua.edu.cn/simple 包名版本号2.如果出现报错信息,Cannot unpack file…这种情况,比如下面这种 ERROR: Cannot unpa…

数据结构奇妙旅程之二叉平衡树

꒰˃͈꒵˂͈꒱ write in front ꒰˃͈꒵˂͈꒱ ʕ̯•͡˔•̯᷅ʔ大家好,我是xiaoxie.希望你看完之后,有不足之处请多多谅解,让我们一起共同进步૮₍❀ᴗ͈ . ᴗ͈ აxiaoxieʕ̯•͡˔•̯᷅ʔ—CSDN博客 本文由xiaoxieʕ̯•͡˔•̯᷅ʔ 原创 CSDN …

图神经网络实战(4)——基于Node2Vec改进嵌入质量

图神经网络实战(4)——基于Node2Vec改进嵌入质量 0. 前言1. Node2Vec 架构1.2 定义邻居1.2 在随机游走中引入偏向性1.3 实现有偏随机游走 2. 实现 Node2Vec小结系列链接 0. 前言 Node2Vec 是一种基于 DeepWalk 的架构,DeepWalk 主要由随机游…

深入理解nginx upstream共享内存机制

目录 1. 概述2. 开启upstream共享内存机制3. 源码分析3.1 配置指令分析3.2 共享内存区的初始化1. 概述 我们知道,nginx的配置是由主进程来加载到内存的,然后fork出各个worker进程,而worker进程自然继承了主进程的内存状态,所以worker进程自然有了加载好的配置信息。然而,每…

北约 / 多个国家地区的 数据链 汇总

战术数据链 编号用途说明Link-1地地北约用于NADGE(北约地面防空系统)的雷达情报数据传输Link-2地地其功能类似于Link-1,用于北约陆基雷达站间的数据传输,现已停止发展Link-3地地类似于Link-14的低速电报数据链,用于某些防空预警单元Link-4空…

python实现--分块查找

python实现–顺序查找 python实现–折半查找 python实现–分块查找 python实现B/B树 分块查找(Block Search),也称为索引顺序查找,是一种结合顺序查找和索引查找思想的查找算法。它适用于线性表中数据量较大,但是分布不…

qt 格式化打印 日志 QMessagePattern 格式词法语法及设置

一、qt源码格式化日志 关键内部类 QMessagePattern qt为 格式化打印日志 提供了一个简易的 pattern(模式/格式) 词法解析的简易的内部类QMessagePattern,作用是获取和解析自定义的日志格式信息。 该类在qt的专门精心日志操作的源码文件Src\qtbase\src\corelib\global\qloggi…

[LeetCode][226]翻转二叉树

题目 226. 翻转二叉树 给你一棵二叉树的根节点 root,翻转这棵二叉树,并返回其根节点。 示例 1: 输入:root [4,2,7,1,3,6,9] 输出:[4,7,2,9,6,3,1] 示例 2: 输入:root [2,1,3] 输出&#x…

深度学习500问——Chapter02:机器学习基础(5)

文章目录 前言一、pandas是什么?二、使用步骤 1.引入库2.读入数据总结 2.14 贝叶斯分类器 2.14.1 图解极大似然估计 极大似然估计的原理,用一张图片来说明,如下图所示: 例:有两个外形完全相同的箱子,1号箱…

重学SpringBoot3-内容协商机制

重学SpringBoot3-内容协商机制 ContentNegotiationConfigurer接口配置内容协商URL参数Accept头使用Url扩展名 自定义内容协商格式步骤1: 注册自定义媒体类型步骤2: 实现HttpMessageConverter接口步骤3: 使用自定义HttpMessageConverter 注意点 在 Spring Boot 3 中,…