集群安全介绍

共计 1849 个字符，预计需要花费 5 分钟才能阅读完成。

一、机制说明

​ Kubernetes 作为一个分布式集群的管理工具，保证集群的安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介，也是外部控制的入口。所以 Kubernetes 的安全机制基本就是围绕保护 API Server 来设计的，Kubernetes 使用了认证（Authentication）、鉴权（Authorization）、准入控制（AdmissionControl）三步来保证 API Server 的安全。

二、认证 Authentication

HTTP Token 认证：

​通过一个 Token 来识别合法用户，HTTP Token 的认证是用一个很长的特殊编码方式的并且难以被模仿的字符串 – Token 来表达客户的一种方式。Token 是一个很长的很复杂的字符串，每一个 Token 对应一个用户名存储在 API Server 能访问的文件中，当客户端发起 API 调用请求时，需要在 HTTP Header 里放入 Token。

HTTP Base 认证：

​通过用户名 + 密码的方式进行认证，用户名 + 密码用 BASE64 算法进行编码后的字符串放在 HTTP Request 中的 Heather Authorization 域里发送给服务端，服务端收到后进行编码，获取用户名及密码。

HTTPS 证书认证：

​HTTPS 证书认证是最严格的认证，基于 CA 根证书签名的客户端身份认证方式。

1、HTTPS 证书认证：

2、需要认证的节点

两种类型

• Kubenetes 组件对 API Server 的访问：kubectl、Controller Manager、Scheduler、kubelet、kube-proxy

• Kubernetes 管理的 Pod 对容器的访问：Pod（dashborad 也是以 Pod 形式运行）

安全性说明

Controller Manager、Scheduler 与 API Server 在同一台机器，所以直接使用 API Server 的非安全端口访问，–insecure-bind-address=127.0.0.1

kubectl、kubelet、kube-proxy 访问 API Server 就都需要证书进行 HTTPS 双向认证

证书颁发

• 手动签发：通过 k8s 集群的跟 ca 进行签发 HTTPS 证书

• 自动签发：kubelet 首次访问 API Server 时，使用 token 做认证，通过后，Controller Manager 会为 kubelet 生成一个证书，以后的访问都是用证书做认证了

3、kubeconfig

kubeconfig 文件包含集群参数（CA 证书、API Server 地址），客户端参数（上面生成的证书和私钥），集群 context 信息（集群名称、用户名）。Kubenetes 组件通过启动时指定不同的 kubeconfig 文件可以切换到不同的集群。

4、ServiceAccount

​Pod 中的容器访问 API Server。因为 Pod 的创建、销毁是动态的，所以要为它手动生成证书就不可行了。Kubenetes 使用了 Service Account 解决 Pod 访问 API Server 的认证问题。

5、Secret 与 SA 的关系

​Kubernetes 设计了一种资源对象叫做 Secret，分为两类，一种是用于 ServiceAccount 的 service-account-token，另一种是用于保存用户自定义保密信息的 Opaque。ServiceAccount 中用到包含三个部分：Token、ca.crt、namespace。

​1、token 是使用 API Server 私钥签名的 JWT。用于访问 API Server 时，Server 端认证

​2、ca.crt，根证书。用于 Client 端验证 API Server 发送的证书

3、namespace, 标识这个 service-account-token 的作用域名空间

# Json web token（JWT），是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准（RFC 7519），该 token 被设计为紧凑且安全的，特别适合用于分布式站点的单点登陆（SSO）场景，JWT 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息，以便于从资源服务器获取资源，也可以增加一些额外的其他业务逻辑所必需声明的信息，该 token 也可以直接用于认证，也可以被加密。

默认情况下，每个 namespace 都会有一个 ServiceAccount，如果 Pod 在创建时没有指定 ServiceAccount，就会使用 Pod 所属的 namespace 的 ServiceAccount