Kubernetes 的安全机制 APIServer 认证、授权、准入控制-低调大师

Kubernetes 的安全机制 APIServer 认证、授权、准入控制

2018-12-13 583

本文讲解 kubernetes 的安全机制。主要会按照这几个部分来讲解：APIServer 认证、授权、准入控制等。

我们都知道 kubenetes 默认在两个端口提供服务：一个是基于 https 安全端口 6443，另一个是基于 http 的非安全端口 8080。其中非安全端口 8080 限制只能本机访问，即绑定的是 localhost。

对于安全端口来讲，一个 API 请求到达 6443 端口后，主要经过以下几步处理：

认证
授权
准入控制
实际的 API 请求

APIServer 认证

Authentication verifies who you are.

认证的接口为：

// Request attempts to extract authentication information from a request and returns // information about the current user and true if successful, false if not successful, // or an error if the request could not be checked.
 type Request interface { AuthenticateRequest(req *http.Request) (user.Info, bool, error) } // Info describes a user that has been authenticated to the system.
 type Info interface { GetName() string GetUID() string GetGroups() []string GetExtra() map[string][]string } 也就是说，认证的目的是识别出访问者是谁，识别出访问者身份之后，具体有没有权限执行某个操作则是由“ 授权模块 ”来完成。

kubernetes 认证主要分为三种：CA 证书认证、Token 认证、Base 认证。可以同时配置多种认证方式，只要其中任意一个方式认证通过即可。

APIServer 授权

Authorization verifies what you are authorized to do.

授权就是授予不同用户不同的访问权限，APIServer 目前支持以下几种授权策略：

AlwaysDeny：表示拒绝所有的请求，该配置一般用于测试
AlwaysAllow：表示接收所有请求，如果集群不需要授权，则可以采取这个策略
ABAC：基于属性的访问控制，表示基于配置的授权规则去匹配用户请求，判断是否有权限。Beta 版本
RBAC：基于角色的访问控制，允许管理员通过 api 动态配置授权策略。Beta 版本

RBAC 主要还是基于私有云的那种授权思路，网易云基础服务（蜂巢）是基于 ABAC 自己开发的一套用户隔离的授权策略。因此接下来主要讲解一下 ABAC。

授权的接口为：

type Authorizer interface { Authorize(a Attributes) (err error) } // Attributes is an interface used by an Authorizer to get information about a request // that is used to make an authorization decision.
 type Attributes interface { GetUserName() string GetGroups() []string GetVerb() string IsReadOnly() bool // The namespace of the object, if a request is for a REST object. GetNamespace() string // The kind of object, if a request is for a REST object. GetResource() string // GetSubresource returns the subresource being requested, if present GetSubresource() string GetName() string GetTenantId(tenantId string) }

其实主要有六个基本属性：

用户名，代表一个已经被认证的用户的 id
是否是只读请求
请求类型，比如 GET、List、Watch 等
资源类型，比如 pods、nodes 等
namespace，被访问对象所属的 namespace
tenantid，被访问对象所属的租户 id

假如用户 A 发来请求 /api/v1/namespaces/nsa/pods/pda，那么我们可以通过这个请求以及 apiserver 的缓存，设置好上面的五个基本属性，为接下来的授权做好准备工作：

用户名：A
只读：是
请求类型：GET
namespace：nsa
资源类型：pods
tenantid：一个租户下面可以由多个 namespace，namespace 的 label 中设置了它属于哪个租户

接下来，看一下如何配置授权策略。

比如，我们限制集群内的用户只能访问自己租户的 persistentvolumes 资源，并且只能执行 get、list 和 watch 请求，那么对应的授权规则为：

{"ruleName": "kubelet", "resource": "persistentvolumes", "tenantId": "self", "method": "get&list&watch"}

限制集群内的用户能访问集群内的所有 pods 资源，但是只有对自己租户的 pods 资源才具有更改权限，那么对应的授权策略为：

{"ruleName": "kubelet", "resource": "pods", "tenantId": "self","method":"*"} {"ruleName": "kubelet", "resource": "pods", "tenantId":"*","method": "get&list&watch"}

其中“ * ”表示匹配所有。
我们可以定义多条授权策略，只要有一条通过即授权通过。

Admission Control 准入控制

通过了前面的认证和授权之后，还需要经过准入控制处理通过之后，apiserver 才会处理这个请求。Admission Control 有一个准入控制列表，我们可以通过命令行设置选择执行哪几个准入控制器。只有所有的准入控制器都检查通过之后，apiserver 才执行该请求，否则返回拒绝。

当前可配置的准入控制器主要有：

AlwaysAdmit：允许所有请求
AlwaysDeny：拒绝所有请求
AlwaysPullImages：在启动容器之前总是去下载镜像
ServiceAccount：将 secret 信息挂载到 pod 中，比如 service account token，registry key 等
ResourceQuota 和 LimitRanger：实现配额控制
SecurityContextDeny：禁止创建设置了 Security Context 的 pod

准入控制的接口定义为：

// Interface is an abstract, pluggable interface for Admission Control decisions.
 type Interface interface { // Admit makes an admission decision based on the request attributes Admit(a Attributes) (err error) // Handles returns true if this admission controller can handle the given operation // where operation can be one of CREATE, UPDATE, DELETE, or CONNECT Handles(operation Operation) bool }

type Handler struct {
 operations sets.String } // Handles returns true for methods that this handler supports
 func (h *Handler) Handles(operation Operation) bool { return h.operations.Has(string(operation)) }

如果我们想实现自己的准入控制插件，只要实现这个接口即可，使用起来非常简单。

本文转自中文社区-Kubernetes 的安全机制 APIServer 认证、授权、准入控制

微信关注我们

原文链接：https://yq.aliyun.com/articles/679549

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

Kubernetes 1.8 kube-proxy 开启 ipvs

一、环境准备目前测试为 5 台虚拟机，CentOS 系统，etcd、kubernetes 全部采用 rpm 安装，使用 systemd 来做管理，网络组件采用 calico，Master 实现了 HA；基本环境如下 IP 组件 10.10.1.5 Master、Node、etcd 10.10.1.6 Master、Node、etcd 10.10.1.7 Master、Node、etcd 10.10.1.8 Node 10.10.1.9 Node 二、注意事项之所以把这个单独写一个标题是因为坑有点多，为了避免下面出现问题，先说一下注意事项: 2.1、SELinux 如果对 SELinux 玩的不溜的朋友，我建议先关闭 SELinux，关闭方法如下 # 编辑 /etc/selinux/config 文件；确保 SELINUX=disabled docker1.node ~ cat /etc/selinux/config # This file controls the state of SELinux on the system. # SELINUX= can take one of...

2018-12-14

543

在大型团队的 CI 构建里具有丰富最佳实践的经验。今天我给大家分享的更多是聚焦在 Jenkins 本身，结合我在 Jenkins 实际使用过程中和整个 Jenkins Slave 管理演化的过程的案例，这样能给大家带来更好的借鉴和参考体验。下面是主要要分享的四大内容： Jenkins分布式构建架构基于Lable的Slave集群管理基于Docker插件的容器化实践基于Kubernetes的容器化实践一. Jenkins分布式构建架构 1.1 架构图 Jenkins 分布式架构一个 Master 和多个 Slave Node 分布式的架构。在 Jenkins Master 上管理你的项目，可以把你的一些构建任务分担到不同的 Slave Node 上运行，Master 的性能就提高了。如果单纯的使用 Master 去构建，除了要承担项目上的编译、测试等开销外，还会大大的影响 Jenkins 应用本身占用 memory 和 CPU 资源。 1.2 Jenkins Slave 连接方式 Jenkins Slave 连接方式常使用下面两种：通过 SSH 启动 Slave 代理在...

2018-12-14

654

资源下载

更多资源

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。