概述

访问K8S集群,需要经过三个步骤完成具体操作

  1. 认证
  2. 鉴权(授权)
  3. 准入控制

进行访问时,过程中需要经过 ApiServer,做统一协调,比如门卫,访问过程中需要证书、token、或者用户名+密码,如果访问pod需要 ServiceAccount

认证

传输安全:对外不暴露8080端口,只能内部访问,对外使用端口 6443

认证:客户端身份认证常用方法,

  • https:证书认证,基于CA证书;
  • http: token 认证,通过 token 识别用户(Node加入 master),基本认证(用户名+密码)

鉴权(授权)

基于RBAC进行鉴权操作

基于角色访问控制

准入控制

是一个准入控制器列表,如果列表中有就通过,没有不让通过

RBAC

基于角色的访问控制



角色

  • role:特定命名空间访问权限
  • clusterRole:所有命名空间访问权限

角色绑定

  • roleBinding: 角色绑定到主体
  • ClusterRoleBinding: 集群角色绑定到主体

主体

  • user:用户
  • group: 用户组
  • serviceAccount: 服务帐号

RBAC 实现

rbac-role.yaml



rbac-bolebinding.yaml

# 创建命名空间

[root@k8smaster ~]# kubectl create ns roledemo

# 创建pod

[root@k8smaster ~]# kubectl run nginx --image=nginx -n roledemo

[root@k8smaster ~]# vi rbac-role.yaml

# 创建 rbac-role.yaml,内容见上图

[root@k8smaster ~]# kubectl apply -f rbac-role.yaml

# 查看角色

[root@k8smaster ~]# kubectl get role -n roledemo

# 创建角色绑定 rbac-rolebinding.yaml

[root@k8smaster ~]# vi rbac-rolebinding.yaml

# 创建 rbac-rolebinding.yaml

[root@k8smaster ~]# kubectl apply -f rbac-rolebinding.yaml

# 查看角色

[root@k8smaster ~]# kubectl get role,rolebinding -n roledemo
使用证书识别身份



rabc-user.sh

cat > mary-csr.json <<EOF

{

  "CN": "mary",

  "hosts": [],

  "key": {

    "algo": "rsa",

    "size": 2048

  },

  "names": [

    {

      "C": "CN",

      "L": "BeiJing",

      "ST": "BeiJing"

    }

  ]

}

EOF

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes mary-csr.json | cfssljson -bare mary 

kubectl config set-cluster kubernetes \

  --certificate-authority=ca.pem \

  --embed-certs=true \

  --server=https://192.168.31.63:6443 \

  --kubeconfig=mary-kubeconfig

kubectl config set-credentials mary \

  --client-key=mary-key.pem \

  --client-certificate=mary.pem \

  --embed-certs=true \

  --kubeconfig=mary-kubeconfig

kubectl config set-context default \

  --cluster=kubernetes \

  --user=mary \

  --kubeconfig=mary-kubeconfig

kubectl config use-context default --kubeconfig=mary-kubeconfig




[root@k8smaster ~]# mkdir mary

[root@k8smaster ~]# cd mary

# 详细内容见上文

[root@k8smaster mary]# vi rabc-user.sh

# 将证书复制到 mary 目录中,具体文件(私聊)

[root@k8smaster mary]# cp ./k8s/ca* ./

[root@k8smaster mary]# ls

ca-config.json ca.scr ca-csr.json ca-key.pem ca.pem rabc-user.sh

# 会多出一些 myar* 证书

[root@k8smaster mary]# bash rabc-user.sh

# 查看 mary-kubeconfig

[root@k8smaster mary]# bash mary-kubeconfig

# 查看 pod

[root@k8smaster mary]# kubectl get pods -n roledemo

Kubernetes(K8S) 集群安全机制的更多相关文章

  1. kubernetes(k8s)集群安全机制RBAC

    1.基本概念 RBAC(Role-Based Access Control,基于角色的访问控制)在k8s v1.5中引入,在v1.6版本时升级为Beta版本,并成为kubeadm安装方式下的默认选项, ...

  2. kubernetes实战(八):k8s集群安全机制RBAC

    1.基本概念 RBAC(Role-Based Access Control,基于角色的访问控制)在k8s v1.5中引入,在v1.6版本时升级为Beta版本,并成为kubeadm安装方式下的默认选项, ...

  3. K8s集群安全机制

    安全机制说明 k8s作为一个分布式集群管理的工具,保证集群的安全性是其一个重要的任务.API Server是集群内部各个组件通信的中介,也是外部控制的入口,,所以K8s的安全机制就是围绕保护API S ...

  4. 5.基于二进制部署kubernetes(k8s)集群

    1 kubernetes组件 1.1 Kubernetes 集群图 官网集群架构图 1.2 组件及功能 1.2.1 控制组件(Control Plane Components) 控制组件对集群做出全局 ...

  5. Kubernetes-深入分析集群安全机制

    Kubernetes过一系列机制来实现集群的安全机制,包括API Server的认证授权.准入控制机制及保护敏感信息的Secret机制等.集群的安全性必须考虑以下的几个目标: 保证容器与其所在宿主机的 ...

  6. Centos7 安装部署Kubernetes(k8s)集群

    目录 一.系统环境 二.前言 三.Kubernetes 3.1 概述 3.2 Kubernetes 组件 3.2.1 控制平面组件 3.2.2 Node组件 四.安装部署Kubernetes集群 4. ...

  7. Apache-Shiro+Zookeeper系统集群安全解决方案之缓存管理

    上篇[Apache-Shiro+Zookeeper系统集群安全解决方案之会话管理],解决了Shiro在系统集群开发时安全的会话共享问题,系统在使用过程中会有大量的权限检查和用户身份检验动作,为了不频繁 ...

  8. 一键运行CIS安全扫描,集群安全无忧!

    CIS安全扫描是Rancher 2.4推出的其中一个重磅功能,旨在帮助用户快速.有效地加强集群的安全性.本文将详细介绍CIS安全扫描这一功能,包含详细的操作demo. 本文来自Rancher Labs ...

  9. 使用kubectl管理Kubernetes(k8s)集群:常用命令,查看负载,命名空间namespace管理

    目录 一.系统环境 二.前言 三.kubectl 3.1 kubectl语法 3.2 kubectl格式化输出 四.kubectl常用命令 五.查看kubernetes集群node节点和pod负载 5 ...

  10. Kubernetes(k8s)集群部署(k8s企业级Docker容器集群管理)系列目录

    0.目录 整体架构目录:ASP.NET Core分布式项目实战-目录 k8s架构目录:Kubernetes(k8s)集群部署(k8s企业级Docker容器集群管理)系列目录 一.感谢 在此感谢.net ...

随机推荐

  1. 《最新出炉》系列初窥篇-Python+Playwright自动化测试-26-处理单选和多选按钮-下篇

    1.简介 今天这一篇宏哥主要是讲解一下,如何使用Playwright来遍历单选和多选按钮.大致两部分内容:一部分是宏哥在本地弄的一个小demo,另一部分,宏哥是利用JQueryUI网站里的单选和多选按 ...

  2. 使用MVVM Toolkit简化WPF开发

    最近. NET 8 的 WPF 推出了 WPF File Dialog改进,这样无需再引用 Win32 命名空间就可以实现文件夹的选择与存储了,算是一个很方便的改进了.顺手写了一个小的 WPF 程序, ...

  3. Linux-目录层次标准

    版权声明:原创作品,谢绝转载!否则将追究法律责任. ----- 作者:kirin 根目录(/) 根目录是整个系统最重要的一个目录,因为不但所有的目录都是由根目录衍生出来的,同时根目录也与开机.还原.系 ...

  4. 3. Shell 条件判断

    重点: 条件测试. read. Shell 环境配置. case. for. find. xargs. gzip,bzip2,xz. tar. sed. 1)Shell 的配置文件 Bash Shel ...

  5. 两道题浅析PHP反序列化逃逸

    两道题浅析PHP反序列化逃逸 一.介绍 反序列化逃逸的出现是因为php反序列化函数在进行反序列化操作时,并不会审核字符串中的内容,所以我们可以操纵属性值,使得反序列化提前结束. 反序列化逃逸题一般都是 ...

  6. 构建一个语音转文字的WebApi服务

    构建一个语音转文字的WebApi服务 简介 由于业务需要,我们需要提供一个语音输入功能,以便更方便用户的使用,所以我们需要提供语音转文本的功能,下面我们将讲解使用Whisper将语音转换文本,并且封装 ...

  7. STM32外设:定时器TIM

    主要外设: TIM:Timer 定时器 TIM中的基本电路 定时器 计数器的基本功能 复位:计数器值=初值.产生一个输出脉冲.产生更新事件(UEV)脉冲.更新中断标志UIF=1 计数:计数器值递增或递 ...

  8. spring cloud生态中Feign、Ribbon、loadbalancer的一些历史

    背景 本意是想写个feign中loadbalancer组件和nacos相遇后,一个兼容相关的问题,后面发现Feign这套东西很深,想一篇文章写清楚很难,就先开一篇,讲历史. Feign.OpenFei ...

  9. ElasticSearch给索引起"别名"和其重要性

    创建别名: https://www.elastic.co/guide/en/elasticsearch/reference/6.8/indices-aliases.html 我们有时候并不能确保索引库 ...

  10. NetSuite 开发日记:创建 Transfer(转账单)

    经测试,截止到 2022.12.26,Transfer 只能使用 Client 脚本创建,使用服务端脚本创建报错:ReferenceError: "document" is not ...