阿里云-云小站(无限量代金券发放中)
【腾讯云】云服务器、云数据库、COS、CDN、短信等热卖云产品特惠抢购

集群安全介绍

205次阅读
没有评论

共计 1849 个字符,预计需要花费 5 分钟才能阅读完成。

一、机制说明

​ Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介,也是外部控制的入口。所以 Kubernetes 的安全机制基本就是围绕保护 API Server 来设计的,Kubernetes 使用了认证(Authentication)、鉴权(Authorization)、准入控制(AdmissionControl)三步来保证 API Server 的安全。

集群安全介绍

二、认证 Authentication

HTTP Token 认证:

​通过一个 Token 来识别合法用户,HTTP Token 的认证是用一个很长的特殊编码方式的并且难以被模仿的字符串 – Token 来表达客户的一种方式。Token 是一个很长的很复杂的字符串,每一个 Token 对应一个用户名存储在 API Server 能访问的文件中,当客户端发起 API 调用请求时,需要在 HTTP Header 里放入 Token。

HTTP Base 认证:

​通过用户名 + 密码的方式进行认证,用户名 + 密码用 BASE64 算法进行编码后的字符串放在 HTTP Request 中的 Heather Authorization 域里发送给服务端,服务端收到后进行编码,获取用户名及密码。

HTTPS 证书认证:

​HTTPS 证书认证是最严格的认证,基于 CA 根证书签名的客户端身份认证方式。

1、HTTPS 证书认证:

集群安全介绍

2、需要认证的节点

集群安全介绍

两种类型

  • Kubenetes 组件对 API Server 的访问:kubectl、Controller Manager、Scheduler、kubelet、kube-proxy

  • Kubernetes 管理的 Pod 对容器的访问:Pod(dashborad 也是以 Pod 形式运行)

安全性说明

Controller Manager、Scheduler 与 API Server 在同一台机器,所以直接使用 API Server 的非安全端口访问,–insecure-bind-address=127.0.0.1

kubectl、kubelet、kube-proxy 访问 API Server 就都需要证书进行 HTTPS 双向认证

证书颁发

  • 手动签发:通过 k8s 集群的跟 ca 进行签发 HTTPS 证书

  • 自动签发:kubelet 首次访问 API Server 时,使用 token 做认证,通过后,Controller Manager 会为 kubelet 生成一个证书,以后的访问都是用证书做认证了

3、kubeconfig

kubeconfig 文件包含集群参数(CA 证书、API Server 地址),客户端参数(上面生成的证书和私钥),集群 context 信息(集群名称、用户名)。Kubenetes 组件通过启动时指定不同的 kubeconfig 文件可以切换到不同的集群。

4、ServiceAccount

​Pod 中的容器访问 API Server。因为 Pod 的创建、销毁是动态的,所以要为它手动生成证书就不可行了。Kubenetes 使用了 Service Account 解决 Pod 访问 API Server 的认证问题。

5、Secret 与 SA 的关系

​Kubernetes 设计了一种资源对象叫做 Secret,分为两类,一种是用于 ServiceAccount 的 service-account-token,另一种是用于保存用户自定义保密信息的 Opaque。ServiceAccount 中用到包含三个部分:Token、ca.crt、namespace。

​1、token 是使用 API Server 私钥签名的 JWT。用于访问 API Server 时,Server 端认证

​2、ca.crt,根证书。用于 Client 端验证 API Server 发送的证书

3、namespace, 标识这个 service-account-token 的作用域名空间 

# Json web token(JWT),是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准(RFC 7519),该 token 被设计为紧凑且安全的,特别适合用于分布式站点的单点登陆(SSO)场景,JWT 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其他业务逻辑所必需声明的信息,该 token 也可以直接用于认证,也可以被加密。

默认情况下,每个 namespace 都会有一个 ServiceAccount,如果 Pod 在创建时没有指定 ServiceAccount,就会使用 Pod 所属的 namespace 的 ServiceAccount

集群安全介绍

正文完
星哥玩云-微信公众号
post-qrcode
集群安全介绍
发表至: linux教程
2022-06-09
 0
星锅
版权声明:本站原创文章,由 星锅 于2022-06-09发表,共计1849字。
转载说明:除特殊说明外本站文章皆由CC-4.0协议发布,转载请注明出处。
【腾讯云】推广者专属福利,新客户无门槛领取总价值高达2860元代金券,每种代金券限量500张,先到先得。
如何提升 Linux 服务器安全的开源工具和技巧?
分享18个 实用 Linux 运维命令及知识
Linux中各发行版之间的区别与联系是什么?
教你如何捕捉内核崩溃信息
在Linux下将网站自动定时备份到阿里云OSS
Linux下有趣的命令
如何在 Linux 中配置使用 SSD (固态驱动器)
在 VSCode 中自动缩进代码指南
阿里云-最新活动爆款每日限量供应
评论(没有评论)
验证码
星哥说事
星哥说事
分享互联网知识
阅读量
3410659
评论数
4
文章搜索
热门文章
基于开源MaxKB构建大语言模型的本地知识库系统

基于开源MaxKB构建大语言模型的本地知识库系统

基于开源 MaxKB 构建大语言模型的本地知识库系统 什么是 MaxKB MaxKB 是一款基于 LLM(La...
获取各大人工智能AI工具通过API和KEY调用的方法

获取各大人工智能AI工具通过API和KEY调用的方法

获取各大人工智能 AI 工具通过 API 和 KEY 调用的方法 前言 随着人工智能技术的飞速发展,AI 工具...
安装开源软件ChatALL(齐叨)来聚合各大人工智能工具

安装开源软件ChatALL(齐叨)来聚合各大人工智能工具

安装开源软件 ChatALL(齐叨)来聚合各大人工智能工具 前言 如果你跟我一样无论遇到什么问题都要询问人工智...
给你的NAS无限可能,安装小晓雅全家桶影音库

给你的NAS无限可能,安装小晓雅全家桶影音库

给你的 NAS 无限可能,安装小晓雅全家桶影音库 家庭存储和娱乐的需求日益增长。无论是高清电影、电视剧,还是音...
vmware下的网卡分配问题

vmware下的网卡分配问题

导读 vmware 虚拟机下 linux centos6.6 只有 lo,没有 eth0 网卡、随机分配 ip...
CDN
阿里云CDN-提高用户访问的响应速度和成功率
随机文章
详解:Linux中设置SSH无密码安全登录

详解:Linux中设置SSH无密码安全登录

作为一名运维人员来说,管理 1 - 5 台机器尚有余力,但如果是 10 台、100 台或更多服务器,是不是每次...
rtop 通过 SSH 监控远程主机

rtop 通过 SSH 监控远程主机

rtop 是一个基于 SSH 的直接的交互式远程系统监控工具,它收集并显示重要的系统性能指标,如 CPU、磁盘...
使用 BTFS 在线观看种子视频

使用 BTFS 在线观看种子视频

Bittorrent 已经存在了很长时间,它可以从互联网上共享和下载数据。市场上有大量的 GUI 和 CLI ...
MySQL binlog后面的编号如何取值?

MySQL binlog后面的编号如何取值?

导读 每个 binlog 文件都有编号,从最早的 3 位数(没错,很老的版本只有 3 位数~),到现在扩展到 ...
不幸被DDOS攻击,应该做什么?

不幸被DDOS攻击,应该做什么?

导读 一直以来,网络上关于 ddos 攻击的讨论都围绕着 ddos 攻击的防御方式以及攻击种类。但是当网站还是...
一言一句话
-「
【腾讯云】云服务器、云数据库、COS、CDN、短信等云产品特惠热卖中