安科网

Kubernetes API服务器的安全防护

锋锋

锋锋

2019-08-11

关注 关注

正文

12.1.了解认证机制

启动API服务器时,通过命令行选项可以开启认证插件。

12.1.1.用户和组

了解用户:

分为两种连接到api服务器的客户端:

1.真实的人

2.pod,使用一种称为ServiceAccount的机制

了解组:

认证插件会连同用户名,和用户id返回组,组可以一次性给用户服务多个权限,不用单次赋予,

system:unauthenticated组:用于所有认证插件都不会认证客户端身份的请求。

system:authenticated组:会自动分配给一个成功通过认证的用户。

system:serviceaccount组:包含 所有在系统中的serviceaccount。

system:serviceaccount:<namespace>组:包含了所有在特定命名空间中的serviceAccount。

12.1.2 ServiceAccount介绍

每个pod中都包含/var/run/secrets/kubernetes.io/serviceaccount/token文件,如下图所示,文件内容用于对身份进行验证,token文件持有serviceaccount的认证token。

Kubernetes API服务器的安全防护

应用程序使用token去连接api服务器时,认证插件会对serviceaccount进行身份认证,并将serviceaccount的用户名传回到api服务器内部。

       serviceaccount的用户名格式如下:

system:serviceaccount:<namespace>:<service account name>

ServiceAccount是运行在pod中的应用程序,和api服务器身份认证的一中方式

了解ServiceAccount资源

ServiceAcount作用在单一命名空间,为每个命名空间创建默认的ServiceAccount。

       Kubernetes API服务器的安全防护

多个pod可以使用相同命名空间下的同一的ServiceAccount

 ServiceAccount如何与授权文件绑定

   在pod的manifest文件中,可以指定账户名称的方式,将一个serviceAccount赋值给一个pod,如果不指定,将使用该命名空间下默认的ServiceAccount.

   可以 将不同的ServiceAccount赋值给pod,让pod访问不同的资源。

 

 

12.1.3创建ServiceAccount

为了集群的安全性,可以手动创建ServiceAccount,可以限制只有允许的pod访问对应的资源。

        创建方法如下:

$ kubectl get sa
NAME      SECRETS  AGE
default  1        21h
 
 
$ kubectl create serviceaccount yaohong
serviceaccount/yaohong created
 
 
$ kubectl get sa
NAME      SECRETS  AGE
default  1        21h
yaohong  1        3s

使用describe来查看ServiceAccount。

$ kubectl describe sa yaohong
Name:                yaohong
Namespace:          default
Labels:              <none>
Annotations:        <none>
Image pull secrets:  <none>
Mountable secrets:  yaohong-token-qhbxn  //如果强制使用可挂载秘钥。那么使用这个serviceaccount的pod只能挂载这个秘钥
Tokens:              yaohong-token-qhbxn
Events:              <none>

查看该token,

$ kubectl describe secret yaohong-token-qhbxn
Name:        yaohong-token-qhbxn
Namespace:    default
Labels:      <none>
Annotations:  kubernetes.io/service-account.name: yaohong
              kubernetes.io/service-account.uid: a3d0d2fe-bb43-11e9-ac1e-005056870b4d
 
Type:  kubernetes.io/service-account-token
 
Data
====
ca.crt:    1342 bytes
namespace:  7 bytes
token:      eyJhbGciOiJSUzI1NiIsImtpZCI6IiJ9.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJkZWZhdWx0Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZWNyZXQubmFtZSI6Inlhb2hvbmctdG9rZW4tcWhieG4iLCJrdWJlcm5ldGVzLmlvL3NlcnZpY2VhY2NvdW50L3NlcnZpY2UtYWNjb3VudC5uYW1lIjoieWFvaG9uZyIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VydmljZS1hY2NvdW50LnVpZCI6ImEzZDBkMmZlLWJiNDMtMTFlOS1hYzFlLTAwNTA1Njg3MGI0ZCIsInN1YiI6InN5c3RlbTpzZXJ2aWNlYWNjb3VudDpkZWZhdWx0Onlhb2hvbmcifQ.BwmbZKoM95hTr39BuZhinRT_vHF-typH4anjkL0HQxdVZEt_eie5TjUECV9UbLRRYIqYamkSxmyYapV150AQh-PvdcLYPmwKQLJDe1-7VC4mO2IuVdMCI_BnZFQBJobRK9EdPdbZ9uxc9l0RL5I5WyWoIjiwbrQvtCUEIkjT_99_NngdrIr7QD9S5SxHurgE3HQbmzC6ItU911LjmxtSvBqS5NApJoJaztDv0cHKvlT67ZZbverJaStQdxr4yiRbpSycRNArHy-UZKbNQXuzaZczSjVouo5A5hzgSHEBBJkQpQ6Tb-Ko5XGjjCgV_b9uQvhmgdPAus8GdFTTFAbCBw  

 

12.1.4将ServiceAccount分配给pod

  在pod中定义的spec.serviceAccountName字段上设置,此字段必须在pod创建时设置后续不能被修改。

  自定义pod的ServiceAccount的方法如下图

      Kubernetes API服务器的安全防护

12.2通过基于角色的权限控制加强集群安全

12.2.1.介绍RBAC授权插件

RBAC授权插件将用户角色作为决定用户能否执行操作的关机因素

 

12.2.2介绍RBAC授权资源

RBAC授权规则通过四种资源来进行配置的,他们可以分为两组:

  Role和ClusterRole,他们决定资源上可执行哪些动词。

         RoleBinding和ClusterRoleBinding,他们将上述角色绑定到特定的用户,组或者ServiceAccounts上。

Role和RoleBinding是namespace级别资源

ClusterRole和ClusterRoleBinding是集群级别资源

12.2.3使用Role和RoleBinding

   Role资源定义了哪些操作可以在哪些资源上执行,

创建Role

service-reader.yml

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: kube-system
  name: service-reader
rules:
- apiGroups: [""]
  verbs: ["get", "list"]
  resources: ["services"]

在kube-system中创建Role

#kubectl -n kube-system create -f service-reader.yml

查看该namespace下的role

$ kubectl -n kube-system get role
NAME                                            AGE
extension-apiserver-authentication-reader        41h
kube-state-metrics-resizer                      41h
service-reader                                  2m17s
system::leader-locking-kube-controller-manager  41h
system::leader-locking-kube-scheduler            41h
system:controller:bootstrap-signer              41h
system:controller:cloud-provider                41h
system:controller:token-cleaner                  41h

绑定角色到ServiceAccount

 将service-reader角色绑定到default ServiceAccount

$ kubectl  create rolebinding test --role=service-reader
rolebinding.rbac.authorization.k8s.io/test created

Kubernetes API服务器的安全防护

$ kubectl  get rolebinding test -o yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  creationTimestamp: 2019-08-11T03:40:51Z
  name: test
  namespace: default
  resourceVersion: "239323"
  selfLink: /apis/rbac.authorization.k8s.io/v1/namespaces/default/rolebindings/test
  uid: d0aff243-bbe9-11e9-ac1e-005056870b4d
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: Role
  name: service-reader

 

12.2.4使用ClusterRole和ClusterRoleBinding

 查看集群ClusterRole

# kubectl get clusterrole
NAME                                                                  AGE
admin                                                                  42h
cluster-admin                                                          42h
edit                                                                  42h
flannel                                                                42h
kube-state-metrics                                                    42h
system:aggregate-to-admin                                              42h
...

创建ClusterRole

kubectl create clusterrole flannel --verb=get,list -n kube-system

查看yaml文件

# kubectl get  clusterrole flannel -o yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  annotations:
    kubectl.kubernetes.io/last-applied-configuration: |
      {"apiVersion":"rbac.authorization.k8s.io/v1","kind":"ClusterRole","metadata":{"annotations":{},"name":"flannel"},"rules":[{"apiGroups":[""],"resources":["pods"],"verbs":["get"]},{"apiGroups":[""],"resources":["nodes"],"verbs":["list","watch"]},{"apiGroups":[""],"resources":["nodes/status"],"verbs":["patch"]}]}
  creationTimestamp: 2019-08-09T09:58:42Z
  name: flannel
  resourceVersion: "360"
  selfLink: /apis/rbac.authorization.k8s.io/v1/clusterroles/flannel
  uid: 45100f6f-ba8c-11e9-8f57-005056870608
rules:
- apiGroups:
  - ""
  resources:
  - pods
  verbs:
  - get
- apiGroups:
  - ""
  resources:
  - nodes
  verbs:
  - list
  - watch
- apiGroups:
  - ""
  resources:
  - nodes/status
  verbs:
  - patch

 

创建clusterRoleBinding

$ kubectl  create clusterrolebinding  cluster-tetst  --clusterrole=pv-reader  --serviceaccount=kuebsystem:yaohong
clusterrolebinding.rbac.authorization.k8s.io/cluster-tetst created

Kubernetes API服务器的安全防护

 

 

12.2.5了解默认的ClusterRole和ClusterRoleBinding

如下所示使用kubectl get clusterroles和kubectl get clusterrolesbinding可以获取k8s默认资源。

用edit ClusterRole允许对资源进行修改

用admin ClusterRole赋予一个命名空间全部的权限

$ kubectl get clusterroles
NAME                                                                  AGE
admin                                                                  44h
cluster-admin                                                          44h
edit                                                                  44h
flannel                                                                44h
kube-state-metrics                                                    44h
system:aggregate-to-admin                                              44h
system:aggregate-to-edit                                              44h
system:aggregate-to-view                                              44h
system:auth-delegator                                                  44h
system:aws-cloud-provider                                              44h
system:basic-user                                                      44h
system:certificates.k8s.io:certificatesigningrequests:nodeclient      44h
system:certificates.k8s.io:certificatesigningrequests:selfnodeclient  44h
system:controller:attachdetach-controller                              44h
system:controller:certificate-controller                              44h
system:controller:clusterrole-aggregation-controller                  44h
。。。
wps@wps:~$ kubectl get clusterrolebindings
NAME                                                  AGE
clust-tetst                                            17m
cluster-admin                                          44h
cluster-tetst                                          13m
flannel                                                44h
kube-state-metrics                                    44h
kubelet-bootstrap                                      44h
system:aws-cloud-provider                              44h
system:basic-user                                      44h
system:controller:attachdetach-controller              44h
system:controller:certificate-controller              44h
。。。

kubernetes api pod system

锋锋

锋锋

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

(转)Kubernetes总架构图

Kubecfg将特定的请求,比如创建Pod,发送给Kubernetes Client。API Server根据请求的类型,比如创建Pod时storage类型是pods,然后依此选择何种REST Storage API对请求作出处理。REST Storage

xieyixiao 2020-09-17

两款超好用的Kubernetes实时日志查看工具

通常情况下,Kubernetes 环境下的应用日志都需要通过日志系统来进行收集,比如:Filebeat + ElasticSearch + Kibana 的组合来实现。虽然这一组合的功能相当强大,但是在一些比较简陋的测试集群中,或者不具备浏览器条件的自动化

远远的山 2020-11-09

Kubernetes上对应用程序进行故障排除的6个技巧

从 Docker 迁移到 Docker Swarm,再到 Kubernetes,然后处理了多年来的所有各种 API 更改之后,我非常乐意发现部署中出现的问题和把问题进行修复。我今天分享下我认为最有用的5条故障排除技巧,以及一些其他的使用技巧。这个命令如此重

kaidiphp 2020-10-13

首次部署 Kubernetes 应用,总会忽略这些事

根据我的个人经验,大多数人似乎倾向于通过 Helm 或者手动方式将应用程序甩给 Kubernetes,之后就坐等每天轻松调用的美好生活。但在 GumGum 公司的实践当中,我们体会到 Kubernetes 应用的一系列“陷阱”,也希望把这些陷阱与大家分享,

JustHaveTry 2020-09-29

Kubernetes如何为应用程序提供网络和存储?

网络组件支持pod到pod、节点到pod、pod到服务以及外部客户端到服务的通信。Kubernetes遵循用于实现网络服务的插件模式。Kubenet是默认的网络插件,配置简单。它通常与为节点之间或单节点环境中的通信设置路由规则的云提供商一起使用。Kuber

cloudvtech 2020-09-18

第7章:Kubernetes存储

创建一个空卷,挂载到Pod中的容器。Pod删除该卷也会被删除。什么样的适合在pod中运行多个容器?command: ["bash","-c","for i in {1..100};do echo $i &g

BigDataMining 2020-08-21

6张图带你学懂 Kubernetes Ingress

Kubernetes Ingress 只是 Kubernetes 中的一个普通资源对象,需要一个对应的 Ingress 控制器来解析 Ingress 的规则,暴露服务到外部,比如 ingress-nginx,本质上来说它只是一个 Nginx Pod,然后将

朱培知浅ZLH 2020-11-16

推荐4款超好用本地Kubernetes部署工具

我们本地开发者,真的需要一个 Kuberntees 吗?这个是必要的吗?我认为这个答案是非必要,并不是所有的本地开发者都需要有一个独立的 Kubernetes 集群来使用,但是如果有符合下列需求之一,就会需要创建一个本地的 Kubernetes 集群:。而

cdbdqn00 2020-11-12

值得推荐的13个 Jenkins 替代方案

Jenkins 是目前最常用的持续集成工具,拥有近 50% 的市场份额,它还是很多技术团队的第一个使用的自动化工具。但是随着自动化领域的持续发展,Jenkins 逐渐暴露出了一些问题,例如缺乏功能、维护问题、依赖关系和扩展问题等等。本文将为大家介绍几个持续

达观数据 2020-11-11

2020年非常值得推荐的7种 Kubernetes 日志管理工具

你可能会奇怪,为什么要为 Kubernetes 的日志管理工具而烦恼?Kubernetes 是容器编排市场的主导者,经常被用来托管微服务。微服务的每个实例都会生成大量的日志事件,并且这些事件很快就会变得难以管理。大多数 Kubernetes 日志管理工具都

JustinChia 2020-11-11

本地环境运行Kubernetes的4种开源工具

Kubernetes作为最重要的开源容器编排平台,用于自动化部署,扩展和管理容器化应用程序。无论遇到什么情况,建议将本地Kubernetes设置为开发环境,因为这种设置可以创建安全,灵活的应用程序部署过程。Minikube是本地Kubernetes应用程序

jingtao 2020-11-08

五款值得关注的Kubernetes日志监控工具

Kubernetes在容器编排市场中占主导地位,推动企业向微服务演进。微服务的每个实例都会生成大量日志事件,这些事件很快就变得难以管理。但更复杂的是当出现问题时,由于服务之间复杂的交互作用,以及可能的故障模式,导致很难找到根本原因。潜在的问题使得Kuber

大叔比较胖 2020-10-30

机器学习任务编排工具比较

最近,出现了用于编排任务和数据工作流的新工具。这些工具的数量众多,因此很难选择要使用的工具,也难以理解它们的重叠方式,因此我们决定对一些最受欢迎的工具进行比较。> Airflow is the most popular solution, follo

gracecxj 2020-10-30

使用Ansible的Kubernetes模块实现容器编排自动化

将 Kubernetes 与 Ansible 结合实现云端自动化。此外,还可以参照我们的 Ansible 的 k8s 模块速查表。Ansible是实现自动化工作的优秀工具,而Kubernetes则是容器编排方面的利器,要是把两者结合起来,会有怎样的效果呢?

onepiecedn 2020-10-29

面试问到了K8S原理,花5分钟来总结下,以后再也不怕了

K8S现在是一项必会的技能,它为软件工程师提供了强大的容器编排能力,模糊了开发和运维之间的边界,让我们开发、管理和维护一个大型的分布式系统和项目变得更加容易,并且每次面试多多少少都会问到,笔者也是被问到了很多次。本文就准备用最短的篇幅来介绍下K8S的工作过

kunyus 2020-10-28

如何降低开发人员的生产力?

关于开发人员是如何因构造其日常工作而导致生产力下降的文章很多。常见的一个例子是:在一天中安排了很多非必要的会议,因此没人能进入深度聚焦模式。今天,我想研究开发人员生产力方面的最大杀手:配置和设置DevOps工作流程的方式。在几乎所有情况下,我都遇到了一些捷

JustHaveTry 2020-10-27

Windows环境下,如何在Docker里运行SAP UI5应用

本文面向的读者是对Docker技术有一些基本概念,但因为没有测试环境,所以没有动手操作过的朋友们。最近Jerry因为要做一个新的SAP云产品开发,得搭各种开发环境,其中之一就是Docker.当时给出的例子是,在Ubuntu操作系统下用Docker和Kube

锋锋 2020-10-26

解放开发者!3款工具实现快速K8S开发

时至今日,Kubernetes正在变得越来越重要,不仅仅是运维需要Kubernetes,在开发的世界里Kubernetes也不可或缺。因此能够熟练掌握Kubernetes知识会备受追捧。然而问题是,开发人员是否需要直接上手操作Kubernetes,他们是否

hubanbei00的家园 2020-10-25

什么是CaaS?简化容器管理

随着现代容器化应用陆续被各大企业发现并认可,主要供应商开始提供容器基础设施和管理 "即服务 "只是时间问题。根据Flexera最新的2020年云计算状态报告,容器的使用在全球企业中稳中有升,65%的组织表示他们使用Docker容器,58

谢恩铭 2020-10-23

Linux基金会开源软件大学技术公开课丨K8s必备技能攻略

随着云开发向容器方面转移,Kubernetes等与容器相关的技术已成为当下技术人员的必备技能。数字时代,许多企业及其所服务的客户正在探寻更灵活、更快交付,且在私有云、混合云,甚至多云环境下都能快速部署或运行的软件及系统。此外,应用Kubernetes还能带

btqszl 2020-10-21
锋锋

锋锋

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号