阿里云-云小站(无限量代金券发放中)
【腾讯云】云服务器、云数据库、COS、CDN、短信等热卖云产品特惠抢购

集群安全介绍

131次阅读
没有评论

共计 1849 个字符,预计需要花费 5 分钟才能阅读完成。

一、机制说明

​ Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介,也是外部控制的入口。所以 Kubernetes 的安全机制基本就是围绕保护 API Server 来设计的,Kubernetes 使用了认证(Authentication)、鉴权(Authorization)、准入控制(AdmissionControl)三步来保证 API Server 的安全。

集群安全介绍

二、认证 Authentication

HTTP Token 认证:

​通过一个 Token 来识别合法用户,HTTP Token 的认证是用一个很长的特殊编码方式的并且难以被模仿的字符串 – Token 来表达客户的一种方式。Token 是一个很长的很复杂的字符串,每一个 Token 对应一个用户名存储在 API Server 能访问的文件中,当客户端发起 API 调用请求时,需要在 HTTP Header 里放入 Token。

HTTP Base 认证:

​通过用户名 + 密码的方式进行认证,用户名 + 密码用 BASE64 算法进行编码后的字符串放在 HTTP Request 中的 Heather Authorization 域里发送给服务端,服务端收到后进行编码,获取用户名及密码。

HTTPS 证书认证:

​HTTPS 证书认证是最严格的认证,基于 CA 根证书签名的客户端身份认证方式。

1、HTTPS 证书认证:

集群安全介绍

2、需要认证的节点

集群安全介绍

两种类型

  • Kubenetes 组件对 API Server 的访问:kubectl、Controller Manager、Scheduler、kubelet、kube-proxy

  • Kubernetes 管理的 Pod 对容器的访问:Pod(dashborad 也是以 Pod 形式运行)

安全性说明

Controller Manager、Scheduler 与 API Server 在同一台机器,所以直接使用 API Server 的非安全端口访问,–insecure-bind-address=127.0.0.1

kubectl、kubelet、kube-proxy 访问 API Server 就都需要证书进行 HTTPS 双向认证

证书颁发

  • 手动签发:通过 k8s 集群的跟 ca 进行签发 HTTPS 证书

  • 自动签发:kubelet 首次访问 API Server 时,使用 token 做认证,通过后,Controller Manager 会为 kubelet 生成一个证书,以后的访问都是用证书做认证了

3、kubeconfig

kubeconfig 文件包含集群参数(CA 证书、API Server 地址),客户端参数(上面生成的证书和私钥),集群 context 信息(集群名称、用户名)。Kubenetes 组件通过启动时指定不同的 kubeconfig 文件可以切换到不同的集群。

4、ServiceAccount

​Pod 中的容器访问 API Server。因为 Pod 的创建、销毁是动态的,所以要为它手动生成证书就不可行了。Kubenetes 使用了 Service Account 解决 Pod 访问 API Server 的认证问题。

5、Secret 与 SA 的关系

​Kubernetes 设计了一种资源对象叫做 Secret,分为两类,一种是用于 ServiceAccount 的 service-account-token,另一种是用于保存用户自定义保密信息的 Opaque。ServiceAccount 中用到包含三个部分:Token、ca.crt、namespace。

​1、token 是使用 API Server 私钥签名的 JWT。用于访问 API Server 时,Server 端认证

​2、ca.crt,根证书。用于 Client 端验证 API Server 发送的证书

3、namespace, 标识这个 service-account-token 的作用域名空间 

# Json web token(JWT),是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准(RFC 7519),该 token 被设计为紧凑且安全的,特别适合用于分布式站点的单点登陆(SSO)场景,JWT 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其他业务逻辑所必需声明的信息,该 token 也可以直接用于认证,也可以被加密。

默认情况下,每个 namespace 都会有一个 ServiceAccount,如果 Pod 在创建时没有指定 ServiceAccount,就会使用 Pod 所属的 namespace 的 ServiceAccount

集群安全介绍

正文完
星哥说事-微信公众号
post-qrcode
集群安全介绍
发表至: linux教程
2022-06-09
 
星锅
版权声明:本站原创文章,由 星锅 2022-06-09发表,共计1849字。
转载说明:除特殊说明外本站文章皆由CC-4.0协议发布,转载请注明出处。
【腾讯云】推广者专属福利,新客户无门槛领取总价值高达2860元代金券,每种代金券限量500张,先到先得。
Linux 使用远程传输命令 scp 进行服务器文件互传
Linux面试真题- 对名为fido的文件用chmod 551 fido 进行了修改,则它的许可权是什么 ?
通过Docker部署一个NSFW JS搭建一个私有的图片鉴黄API
SQL介绍
各发行版Linux介绍
Windows 7安装IIS7启用ASP+Access环境图文教程
GoDaddy简介及注册账号教程[图文]
Linux面试题:系统负载查看及进程 ?
阿里云-最新活动爆款每日限量供应
评论(没有评论)
验证码
星哥说事
星哥说事
分享互联网知识
阅读量
1882815
评论数
3
文章搜索
热门文章
开源项目搭建中国裁判文书网本地搜索WEB系统

开源项目搭建中国裁判文书网本地搜索WEB系统

2023 年 12 月听新闻说裁判文书网将不再对公众开放,对于这个消息对于中国法制进程影响可谓深远。 今天在 ...
历史往往不是由问题决定的,而是由对问题的应对方式决定的【转】

历史往往不是由问题决定的,而是由对问题的应对方式决定的【转】

历史往往不是由问题决定的,而是由对问题的应对方式决定的 文 / 孙立平 清华大学社会学系教授 前些天,我在一篇...
开源项目MessageNest打造个性化消息推送平台多种通知方式

开源项目MessageNest打造个性化消息推送平台多种通知方式

开源项目 MessageNest 打造个性化消息推送平台多种通知方式 今天介绍一个开源项目,Message N...
阿里云2核4G4M轻量应用服务器_297元/年【优惠购买入口】

阿里云2核4G4M轻量应用服务器_297元/年【优惠购买入口】

2024 阿里云: 2 核 2G3M 轻量服务器 61 元 / 年、2 核 2G3M 云服务器 ECS 优惠 ...
阿里云免费SSL证书有效期从1年缩短至3个月!

阿里云免费SSL证书有效期从1年缩短至3个月!

2024 阿里云: 2 核 2G3M 轻量服务器 61 元 / 年、2 核 2G3M 云服务器 ECS 优惠 ...
CDN
阿里云CDN-提高用户访问的响应速度和成功率
随机文章
MindMaster 思维导图软件 – 让工作学习效率翻倍利器!好用的多平台制图工具

MindMaster 思维导图软件 – 让工作学习效率翻倍利器!好用的多平台制图工具

「思维导图」早已不是一个陌生的名词了,在工作职场、学习中它都能起到非常重要的作用——归纳、整理,把复杂的事物以...
OpenAI Translator – 超强开源 AI 划词翻译工具 (基于 ChatGPT API / 跨平台 / 质量高)

OpenAI Translator – 超强开源 AI 划词翻译工具 (基于 ChatGPT API / 跨平台 / 质量高)

使用过「ChatGPT」的朋友一定对这款 AI 人工智能印象深刻,其中最让人惊艳的就是它对不同语言的理解、分析...
酷狗音乐概念版 – 官方纯净精简无广告播放器,高音质 MP3 无损音乐下载工具

酷狗音乐概念版 – 官方纯净精简无广告播放器,高音质 MP3 无损音乐下载工具

本站早前给大家推荐过腾讯 酷我 旗下的「波点音乐」能免费免 VIP 听全网版权音乐,比如周杰伦的歌等。但它是以...
阿里云轻量应用服务器可以干什么?

阿里云轻量应用服务器可以干什么?

2024 阿里云: 2 核 2G3M 轻量服务器 61 元 / 年、2 核 2G3M 云服务器 ECS 优惠 ...
劲爆!Epic 连续 16 天免费送游戏!每天“白嫖”一款限免正版 (领取后永久拥有)

劲爆!Epic 连续 16 天免费送游戏!每天“白嫖”一款限免正版 (领取后永久拥有)

话说 Epic 游戏平台从零诞生至今,已经迅速成长为 Steam 的最大劲敌了,可谓是相当成功!这背后并没有太...
一言一句话
-「
【腾讯云】云服务器、云数据库、COS、CDN、短信等云产品特惠热卖中