Kubernetes 的安全机制 APIServer 认证、授权、准入控制
本文讲解 kubernetes 的安全机制。主要会按照这几个部分来讲解:APIServer 认证、授权、准入控制等。
我们都知道 kubenetes 默认在两个端口提供服务:一个是基于 https 安全端口 6443,另一个是基于 http 的非安全端口 8080。其中非安全端口 8080 限制只能本机访问,即绑定的是 localhost。
对于安全端口来讲,一个 API 请求到达 6443 端口后,主要经 过以下几步处理:
- 认证
- 授权
- 准入控制
- 实际的 API 请求
APIServer 认证
Authentication verifies who you are.
认证的接口为:
// Request attempts to extract authentication information from a request and returns // information about the current user and true if successful, false if not successful, // or an error if the request could not be checked. type Request interface { AuthenticateRequest(req *http.Request) (user.Info, bool, error) } // Info describes a user that has been authenticated to the system. type Info interface { GetName() string GetUID() string GetGroups() []string GetExtra() map[string][]string } 也就是说,认证的目的是识别出访问者是谁,识别出访问者身份之后,具体有没有权限执行某个操作则是由“ 授权模块 ”来完成。
kubernetes 认证主要分为三种:CA 证书认证、Token 认证、Base 认证。可以同时配置多种认证方式,只要其中任意一个方式认证通过即可。
APIServer 授权
Authorization verifies what you are authorized to do.
授权就是授予不同用户不同的访问权限,APIServer 目前支持以下几种授权策略:
- AlwaysDeny:表示拒绝所有的请求,该配置一般用于测试
- AlwaysAllow:表示接收所有请求,如果集群不需要授权,则可以采取这个策略
- ABAC:基于属性的访问控制,表示基于配置的授权规则去匹配用户请求,判断是否有权限。Beta 版本
- RBAC:基于角色的访问控制,允许管理员通过 api 动态配置授权策略。Beta 版本
RBAC 主要还是基于私有云的那种授权思路,网易云基础服务(蜂巢)是基于 ABAC 自己开发的一套用户隔离的授权策略。因此接下来主要讲解一下 ABAC。
授权的接口为:
type Authorizer interface { Authorize(a Attributes) (err error) } // Attributes is an interface used by an Authorizer to get information about a request // that is used to make an authorization decision. type Attributes interface { GetUserName() string GetGroups() []string GetVerb() string IsReadOnly() bool // The namespace of the object, if a request is for a REST object. GetNamespace() string // The kind of object, if a request is for a REST object. GetResource() string // GetSubresource returns the subresource being requested, if present GetSubresource() string GetName() string GetTenantId(tenantId string) }
其实主要有六个基本属性:
- 用户名,代表一个已经被认证的用户的 id
- 是否是只读请求
- 请求类型,比如 GET、List、Watch 等
- 资源类型,比如 pods、nodes 等
- namespace,被访问对象所属的 namespace
- tenantid,被访问对象所属的租户 id
假如用户 A 发来请求 /api/v1/namespaces/nsa/pods/pda,那么我们可以通过这个请求以及 apiserver 的缓存,设置好上面的五个基本属性,为接下来的授权做好准备工作:
- 用户名:A
- 只读:是
- 请求类型:GET
- namespace:nsa
- 资源类型:pods
- tenantid:一个租户下面可以由多个 namespace,namespace 的 label 中设置了它属于哪个租户
接下来,看一下如何配置授权策略。
比如,我们限制集群内的用户只能访问自己租户的 persistentvolumes 资源,并且只能执行 get、list 和 watch 请求,那么对应的授权规则为:
{"ruleName": "kubelet", "resource": "persistentvolumes", "tenantId": "self", "method": "get&list&watch"}
限制集群内的用户能访问集群内的所有 pods 资源,但是只有对自己租户的 pods 资源才具有更改权限,那么对应的授权策略为:
{"ruleName": "kubelet", "resource": "pods", "tenantId": "self","method":"*"} {"ruleName": "kubelet", "resource": "pods", "tenantId":"*","method": "get&list&watch"}
其中“ * ”表示匹配所有。
我们可以定义多条授权策略,只要有一条通过即授权通过。
Admission Control 准入控制
通过了前面的认证和授权之后,还需要经过准入控制处理通过之后,apiserver 才会处理这个请求。Admission Control 有一个准入控制列表,我们可以通过命令行设置选择执行哪几个准入控制器。只有所有的准入控制器都检查通过之后,apiserver 才执行该请求,否则返回拒绝。
当前可配置的准入控制器主要有:
- AlwaysAdmit:允许所有请求
- AlwaysDeny:拒绝所有请求
- AlwaysPullImages:在启动容器之前总是去下载镜像
- ServiceAccount:将 secret 信息挂载到 pod 中,比如 service account token,registry key 等
- ResourceQuota 和 LimitRanger:实现配额控制
- SecurityContextDeny:禁止创建设置了 Security Context 的 pod
准入控制的接口定义为:
// Interface is an abstract, pluggable interface for Admission Control decisions. type Interface interface { // Admit makes an admission decision based on the request attributes Admit(a Attributes) (err error) // Handles returns true if this admission controller can handle the given operation // where operation can be one of CREATE, UPDATE, DELETE, or CONNECT Handles(operation Operation) bool } type Handler struct { operations sets.String } // Handles returns true for methods that this handler supports func (h *Handler) Handles(operation Operation) bool { return h.operations.Has(string(operation)) }
如果我们想实现自己的准入控制插件,只要实现这个接口即可,使用起来非常简单。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
Kubernetes 1.8 kube-proxy 开启 ipvs
一、环境准备 目前测试为 5 台虚拟机,CentOS 系统,etcd、kubernetes 全部采用 rpm 安装,使 用 systemd 来做管理,网络组件采用 calico,Master 实现了 HA;基本环境如下 IP 组件 10.10.1.5 Master、Node、etcd 10.10.1.6 Master、Node、etcd 10.10.1.7 Master、Node、etcd 10.10.1.8 Node 10.10.1.9 Node 二、注意事项 之所以把这个单独写一个标题是因为坑有点多,为了避免下面出现问题,先说一下注意事项: 2.1、SELinux 如果对 SELinux 玩的不溜的朋友,我建议先关闭 SELinux,关闭方法如下 # 编辑 /etc/selinux/config 文件;确保 SELINUX=disabled docker1.node ~ cat /etc/selinux/config # This file controls the state of SELinux on the system. # SELINUX= can take one of...
- 下一篇
基于 Kubernetes 的 Jenkins 构建集群实践
在大型团队的 CI 构建里具有丰富最佳实践的经验。今天我给大家分享的更多是聚焦在 Jenkins 本身,结合我在 Jenkins 实际使用过程中和整个 Jenkins Slave 管理演化的过程的案例,这样能给大家带来更好的借鉴和 参考体验。 下面是主要要分享的四大内容: Jenkins分布式构建架构 基于Lable的Slave集群管理 基于Docker插件的容器化实践 基于Kubernetes的容器化实践 一. Jenkins分布式构建架构 1.1 架构图 Jenkins 分布式架构一个 Master 和多个 Slave Node 分布式的架构。 在 Jenkins Master 上管理你的项目,可以把你的一些构建任务分担到不同的 Slave Node 上运行,Master 的性能就提高了。 如果单纯的使用 Master 去构建,除了要承担项目上的编译、测试等开销外,还会大大的影响 Jenkins 应用本身占用 memory 和 CPU 资源。 1.2 Jenkins Slave 连接方式 Jenkins Slave 连接方式常使用下面两种: 通过 SSH 启动 Slave 代理 在...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
-
Docker使用Oracle官方镜像安装(12C,18C,19C)
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS8编译安装MySQL8.0.19
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
推荐阅读
最新文章
- SpringBoot2全家桶,快速入门学习开发网站教程
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- MySQL8.0.19开启GTID主从同步CentOS8
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- SpringBoot2整合Redis,开启缓存,提高访问速度
- Windows10,CentOS7,CentOS8安装Nodejs环境
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果