Kubernetes认证、鉴权与准入控制(一)

已于 2024-11-01 17:56:29 修改
阅读量616 收藏 18
点赞数 21
CC 4.0 BY-SA版权
分类专栏: Kubernetes 文章标签: kubernetes 容器 云原生
于 2024-10-27 21:30:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35529116/article/details/143272984

K8s身份认证策略:

  1. x.509客户端证书认证
  2. 静态令牌文件认证

一、静态令牌文件认证

1. 静态令牌认证的基础配置

令牌信息保存于文本文件中

  1. 文件格式为CSV,每行定义一个用户,由“令牌、用户名、用户ID和所属的用户组”四个字段组成,用户组为可选字段
    格式:token,user,uid,“group1,group2,group3”
    如 3e6745.42c03381b4162e8e,jack,998,kubeadmin
  2. 由kube-apiserver在启动时通过–token-auth-file选项加载
  3. 加载完成后的文件变动,仅能通过重启程序进行重载(kubelet会扫描到文件发生变化并重启apiserver),因此,相关的令牌会长期有效
  4. 客户端在HTTP请求中,通过“Authorization Bearer TOKEN”标头附带令牌令牌以完成认证
  5. 配置加载完成以后,kubelet会监控到配置文件发生变化
    1.2 静态令牌认证配置示例
    1.2.1 生成token
root@k8s-master01:/etc/kubernetes/manifests# echo "$(openssl rand -hex 3).$(openssl rand -hex 8)"
0d62b3.afc3dd15eac1b5fd
root@k8s-master01:/etc/kubernetes/manifests# echo "$(openssl rand -hex 3).$(openssl rand -hex 8)"
f2b630.7a6661ae816edf9b
root@k8s-master01:/etc/kubernetes/manifests# echo "$(openssl rand -hex 3).$(openssl rand -hex 8)"
947a13.bea6f44f252a6e81

1.2.2. 生成static token文件

root@master1:~#  cd /etc/kubernetes/
root@master1:/etc/kubernetes# mkdir auth 
root@master1:/etc/kubernetes/auth# cat /etc/kubernetes/auth/token.csv
0d62b3.afc3dd15eac1b5fd,tom,1001,kubeusers
f2b630.7a6661ae816edf9b,jerry,1002,kubeusers
947a13.bea6f44f252a6e81,park,999,kubeadmin

配置kube-apiserver加载该静态令牌文件以启用相应的认证功能
vi /etc/kubernetes/manifes/kube-apiserver.yaml
增加如下三处配置(建议先备份原文件,修改备份文件后覆盖原文件,因kubelet会扫描原文件配置
在这里插入图片描述
在这里插入图片描述
增加配置
验证:

kubectl --server https://172.29.7.2:6443/ --token='0d62b3.afc3dd15eac1b5fd' --certificate-authority=/etc/kubernetes/pki/ca.crt get pods

2. x509数字证书认证API Server

1.创建证书签署请求
2.由kubernetes CA签署证书
3.用户使用证书认证到API Server

方式一:
步骤:
1.创建证书签署请求

openssl genrsa -out mason.key 2048
openssl req -new -key mason.key -out mason.csr -subj "/CN=mason/O=developers"
 (CN后面为用户名,O后面为用户所属的主)

2.创建CertificateSignRequest资源

cat mason.csr |base64 |tr -d  ‘\n’  生成request字段所需要的csr编码内容
kubectl apply -f certificatesignrequest-mason.yaml

certificatesignrequest-mason.yaml

apiVersion: certificates.k8s.io/v1
kind: CertificateSigningRequest
metadata:
  name: mason
spec:
  request: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURSBSRVFVRVNULS0tLS0KTUlJQ2FqQ0NBVklDQVFBd0pURU9NQXdHQTFVRUF3d0ZiV0Z6YjI0eEV6QVJCZ05WQkFvTUNtUmxkbVZzYjNCbApjbk13Z2dFaU1BMEdDU3FHU0liM0RRRUJBUVVBQTRJQkR3QXdnZ0VLQW9JQkFRRFZSaVphbXppczg2NjRNdGtRCnVxb0RZR01uK0F0UFRXMTNNdzB4VzE2VFczaGVjQzJuNDhIekVqTktoRjRSVW9UMGJTQmZUWXNIZHBVTU5Uak4KcVZyQWlBT2gyT3hSMHRZS2dMbmFyUGh6dVE3aDJ2M2tKU1FpZ1Q5bGtHTEtDQzFwcERML0QrMTV0eG50bXpMaApxTUZ1U01DL3BTdUhQYTN1NzhvTldXSGpRVmN1M3d6UkhoRTFibWNMOVVvdWtiZGh1V0dIMlVtN211dmNwQUJXCjFDRDZGek1vQzFmdjNpam93OG0yaFUxNEVzZkFhaVBlU2J1VEtUMW9vUkJxd0J6UDRDV3MzVVd3cUhHcHB3cHMKVDhOeFY2RmZGYkQ2K3pxcFNMVy8rbHc5VHhDZWlrTmtUb1RnM0IwajBYSTlreWpvOFliOFdDMUpuTG5pNXZWVgo3K3pGQWdNQkFBR2dBREFOQmdrcWhraUc5dzBCQVFzRkFBT0NBUUVBSmFoTE41V00yemZNeWFxNGFKelNsS253CnlhL3MwZUcxR1JkbzdRUXVLcmNkcFdmRzk0b0xPNkcyKzZBakVzNXhZVSt2amVha0gxcjRVRUhiN3B2WDRWcy8KazhublVFV3hwUkIvQzdQZ3ZlMnBKd2pyZHhlMEJrVnM0aEd3TnByazhaK1FtdFhGUGNPOWJGUFN4aUhNdm12egoydkk0MVZ6eGV4YXZYWG5PWnJuT2w1YmlhWGNRSkZnUjhlY2VYcFJtZzVrM09NMzZITk9PdmV6dUw5WE94cG5lCnE0ZWZTdEU0ZFlYQlRtaGtMMUdjd1lPbzZxM0luN3BXL2FEMFBRbktqQWhkU2ExWmRHRVFzMS9OOFZDQXNJK3IKWGpxLzQzeElreEloNEliajErZjh4NmdyUS9Hbkt0MCsyWXF5K21NMW5Zc0NScTU3S3ZhRDBvQmVPc24vZXc9PQotLS0tLUVORCBDRVJUSUZJQ0FURSBSRVFVRVNULS0tLS0K
  signerName: kubernetes.io/kube-apiserver-client
  expirationSeconds: 864000  # ten days
  usages:
  - client auth

说明: request后面为客户端证书签署请求文件(CSR)的base64编码内容

root@k8s-master01:~/learning-k8s-master/examples/authn_and_authz/certificate-sign-request-demo# kubectl get csr
NAME    AGE   SIGNERNAME                            REQUESTOR          REQUESTEDDURATION   CONDITION
mason   7s    kubernetes.io/kube-apiserver-client   kubernetes-admin   10d                 Pending

3.签署证书

root@k8s-master01:~/learning-k8s-master/examples/authn_and_authz/certificate-sign-request-demo# kubectl certificate approve mason
NAME    AGE    SIGNERNAME                            REQUESTOR          REQUESTEDDURATION   CONDITION
mason   119s   kubernetes.io/kube-apiserver-client   kubernetes-admin   10d                 Approved,Issued

4.获取证书,保存为证书文件

kubectl get csr mason -o jsonpath='{.status.certificate}' |base64 -d > mason.crt

5.验证

curl -k -E ./mason.crt --key mason.key https://172.29.7.1:6443
-k 表示不验证服务器端证书

方式二:
步骤:

  1. 创建证书签署请求
openssl genrsa -out tom.key 2048
openssl req -new -key tom.key -out tom.csr -subj "/CN=tom/O=system:masters"
 (CN后面为用户名,O后面为用户所属的主,system:masters组拥有管理员权限)
  1. 签署证书
openssl x509 -req -days 30 -CA /etc/kubernetes/pki/ca.crt -CAkey /etc/kubernetes/pki/ca.key -CAcreateserial -in ./tom.csr -out ./tom.crt
  1. 验证
curl -k -E ./tom.crt --key ./tom.key https://172.29.7.1:6443/api/v1/namespaces/default/pods
或者
scp -r tom.crt tom.key 172.29.7.3:/tmp
kubectl --server https://172.29.7.1:6443/ --client-certificate=/tmp/tom.crt --client-key=/tmp/tom.key --certificate-authority=/etc/kubernetes/pki/ca.crt get pods

kubeconfig基础
kubeconfig是Yaml格式的文件,用于存储用户身份认证信息,以便于客户端加载并认证到API Server
kubeconfig 保存有认证到1至多个kubernetes集群的相关配置信息,并允许管理员在各配置间灵活切换
clusters: kubernetes集群访问断点列表
users: 认证到API Server的身份凭据列表
contexts: 将每一个user同可认证到的cluster建立关联的上下文列表

客户端程序加载kubeconfig的途径和次序

  1. –kubeconfig 选项
  2. KUBECONFIG环境变量: 其值是包含有kubeconfig文件的列表
  3. 默认路径: $HOME/.kube/config

kubectl加载认证信息的方式:

scp /etc/kubernetes/admin.conf $HOME/.kube/config  # master主节点的admin.conf配置同步到其他节点便可以使kubectl通过kubeconfig文件来认证到APIServer
kubectl get pods
或者
export KUBECONFIG='/etc/kubernetes/admin.conf' 
kubectl get pods
或者
kubectl --kubeconfig=/etc/kubernetes/admin.conf get pods

cat /etc/kubernete/admin.conf  
openssl x509 -in kubernetes-admin.crt -text  查看证书内容

设置集群

kubectl config set-cluster mykube --embed-certs=true --certificate-authority=/etc/kubernetes/pki/ca.crt --server="https://172.29.7.1:6443" 
kubectl config view --raw   查看原始格式(包含证书内容)

配置用户

kubectl config set-credentials tom --token='0d62b3.afc3dd15eac1b5fd' 
kubectl config view --raw
kubectl config set-credentials  --client-certificate=mason.crt --client-key=mason.key --embed-certs=true
kubectl config view --raw

设置集群上下文

kubectl config set-context tom@mykube --cluster=mykube --user=tom
kubectl config set-context mason@mykube --cluster=mykube --user=mason

切换使用上下文

kubectl config get-contexts
kubectl config use-context mason@mykube
kubectl get pods
kubectl get pods --context=tom@mykube

以上操作均使用默认的kubeconfig配置文件路径,也可以指定手动指定 --kubeconfig=/root/mykube.conf 将配置文件生成到指定位置,但是需要在执行kubectl 命令时指定–kubeconfig=/root/mykube.conf,为了方便可以将配置文件加入环境变量

export KUBECONFIG='/root/kube.conf:/root/.kube/config'   
kubectl config view
云原生安全攻防》-- K8s安全框架:认证准入控制
12-17 469
从本节课程开始,我们将来介绍K8s安全框架,这是保障K8s集群安全比较关键的安全机制。接下来,让我们起来探索K8s安全框架的运行机制。在这个课程中,我们将学习以下内容:K8s安全框架:由认证准入控制三个关键阶段组成,通过这样的机制,可以确保对K8s系统资源的安全访问。认证(Authentication):用来验证请求者的身份,支持多种认证方式。(Authorization):检查请求...
文读懂K8s安全控制:从准入控制
zgt_certificate的博客
06-18 764
客户想要访问K8s集群的API Server,般需要证书、Token或用户名+密码。实际上是准入控制器插件列表,发送到API Server的请求都需要经过这个列表中的每个准入控制器插件的检查。通过配置和管理准入控制器,可以确保所有进入Kubernetes集群的请求都经过严格的审查和验证。最后步是准入控制插件,这些插件可以对即将持久化的资源进行检查、修改或拒绝。通过后,API Server会检查该用户是否有限执行所请求的操作。经过上述三步之后,请求才会被处理,对应的操作才会在集群中执行。
Kubernetes_认证_初识认证
毛毛的专栏
03-12 838
UserAccount、ServiceAccount、RBAC的关系
k8s从入门到放弃-第九章安全认证
每天进步一点点!!!
05-14 655
文章目录9.1访问控制概述9.2认证管理9.3授管理9.4准入控制 本章节主要介绍Kubernetes的安全认证机制。 9.1访问控制概述 Kubernetes作为个分布式集群的管理工具,保证集群的安全性是其个重要的任务。 所谓的安全性其实就是 保证对Kubernetes的各种客户端进行认证操作。 客户端 在Kubernetes集群中,客户端通常有两类: ●User Account: 般是独立于kubernetes之外的其他服务管理的用户账号。 ●Service Account: kubern
kubernetes认证
wuxingge的博客
12-01 626
用户访问 客户端 访问 API server user: username uid group: extra: API Request path http://10.0.0.11:6443/apis/apps/v1/namespaces/default/deployments/myapp-deploy/ HTTP request verb: get post put delete API r...
Kubernetes 安全认证
axibazZ的博客
08-31 394
访问控制概述 Kubernetes作为个分布式集群的管理工具,保证集群的安全性是其个重要的任务。所谓的安全性就是保证对Kubernetes的各种客户端进行认证操作。 客户端 在Kubernetes集群中,客户端通常有两类: User Account:般是独立于kubernetes之外的其他服务管理的用户账号。 Service Account:kubernetes管理的账号,用于为Pod中的服务进程在访问Kubernetes时提供身份标识。 认证、授准入控制 ApiServe.
Kubernetes安全之认证
weixin_38299404的博客
05-19 311
机制说明 Kubernetes作为个分布式集群的管理工具,保证集群的安全性是其个重要的任务。API Server是集群内部各个组件通信的中介,也是外部控制的入口。所以Kubernetes的安全机制基本就是围绕保护API Server来设计的。Kubernetes使用了认证(Authentication)、(Authorization)、准入控制(AdmissionControl)三步来保证API Server的安全 Authentication HTTP Token认证:通过个Token来识别
17+18+19+20、认证++准入控制+HEML-V2.pdf
10-11
综上所述,Kubernetes认证准入控制机制构成了个强大的安全框架,确保了集群内资源的安全管理。通过理解并正确配置这些机制,可以有效地保护Kubernetes环境,防止未经授的访问和潜在的安全威胁。
认证 准入控制Kubernetes 集群安全认证机制说明及https证书认证
作为个文件,"17 18 19 20、认证 准入控制 HEML-V2.pdf"是关于Kubernetes集群安全中认证的内容。该文件总结了认证机制的说明和Authentication认证的细节。其中提到了三种认证介绍,包括HTTPS证书认证和需要...
理清 Kubernetes 中的准入控制(Admission Controller)
k8s 生态
11-30 701
大家好,我是张晋涛。在我之前发布的文章 《云原生时代下的容器镜像安全》(系列)中,我提到过 Kubernetes 集群的核心组件 -- kube-apiserver,它允许来自终端用户或...
kubernetes安全认证
weixin_73882207的博客
08-04 390
Kubernetes作为个分布式集群的管理工具,保证集群的安全性是其个重要的任务。所谓的安全性其实就是保证对Kubernetes的各种客户端进行认证操作。
kubernetes认证和授(RBAC)
最新发布
拥抱开源 热爱分享
07-31 1275
当然,以上只是k8s中最基础的认证功能,更高阶的也都在此基础之上,如果大家有兴趣请自行探索。在码字的过程中难免会出错,欢迎大家批评指正。我会长期分享K8s、CloudNative方面的知识。
kubernetes——安全认证
liuchao666888的博客
11-05 3961
机制说明 kubernetes作为个分布式集群的管理工具,保证集群的安全性是个重要的任务。API server是集群内部各个组件通信的中介,也是外部控制的入口。所以kubernetes的安全机制基本就是围绕保护API server来设计的。kubernetes使用了认证(Authentication)(Authorization)准入控制(AdmissionControl)三步来保证API server的安全 Authentivation(认证) 1、HTTP Token认证:通过个tok
kubernetes认证-CKA、CKS考试
热门推荐
西京刀客
04-17 3万+
K8s的专业技术认证主要有以下几种: * CKA(Kubernetes 管理员认证) * CKAD(Kubernetes 应用程序开发者认证) * CKS(Kubernetes 认证安全专家。预计2020年11月开放,须先通过CKA认证
Kubernetes-认证准入控制
刘某的博客
01-30 1572
Kubernetes 作为个分布式集群的管理工具,保证集群的安全性是其个重要的任务。API Server 是集群内部各个组件通信的中介,也是外部控制的入口。所以 Kubernetes 的安全机制基本就是围绕保护 API Server 来设计的。Kubernetes 使用了认证(Authentication)、(Authorization)、准入控制(Admission Control)三步来保证API Server的安全,称为3A服务。
kuberneteskubernetes中的安全和认证
追寻梦想的青春
10-02 1296
时,返回了百度的证书,为了得到并验证百度的公钥,又必须有签发给百度证书的GlobalSign Organization Validation CA机构的公钥,因此,客户端又必须有GlobalSign Organization Validation CA机构的证书,从而可以从中提取出百度的公钥。kubernetes中的所有组件通信时都采用HTTPS双向认证,而部署时不可能为他们申请证书,因此,在部署kuberentes时通常都是先生成自签名证书,然后用该证书作为根证书,后续的证书都通过它签发。
kubernetes认证
班婕妤
04-15 2665
访问控制 Kubernetes API的每个请求都会经过多阶段的访问控制之后才会被接受,这包括认证、授以及准入控制(Admission Control)等。 认证->授->准入控制(adminationcontroller) 认证kubernetes中,在集群开启TLS后,客户端发往Kubernetes的所有API请求都需要进行认证, 以验证用户的合法性。 Kubernetes支持多种认证机制,并支持同时开启多个认证插件(只要有认证通过即可)。如果认证成功,则用户的us
Kubernetes(K8s)安全认证-10
qq_36255346的博客
12-05 503
Kubernetes(K8s)安全认证
【k8s】9、安全认证
努力充实,远方可期
06-20 491
第九章 安全认证 本章节主要介绍Kubernetes的安全认证机制。 访问控制概述 ​ Kubernetes作为个分布式集群的管理工具,保证集群的安全性是其个重要的任务。所谓的安全性其实就是保证对Kubernetes的各种客户端进行认证操作。 客户端 在Kubernetes集群中,客户端通常有两类: User Account:般是独立于kubernetes之外的其他服务管理的用户账号。 Service Account:kubernetes管理的账号,用于为Pod中的服务进程在访问K
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值