一、kubernetes安全框架

k8s安全控制框架主要由下面三个阶段进行控制,每一个阶段都支持插件方式,通过api server配置来启用插件。

1、鉴权:Authentication

2、授权:Authorization

3、准入控制:Admission Control

客户端要想访问k8s集群api server,一般需要证书、token或用户名+密码;如果Pod访问,需要ServiceAccount。

二、认证、授权、准入控制

2.1 鉴权:Authentication

三种客户端身份认证:

a、HTTPS证书认证: 基于CA证书签名的数字证书认证

b、HTTP Token认证:通过一个Token来识别用户

c、HTTP Base认证:用户名+密码的方式认证

2.2、授权:Authorization

RBAC(Role-BasedAccess Control,基于角色的访问控制):负责完成授权(Authorization)工作。

RBAC根据API请求属性,决定允许还是拒绝

比较常见的授权维度:

a、user:用户名

b、group:用户分组

c、资源,如pod、deployment

d、资源操作方法:get, list, create, update, patch, watch, delete

e、命名空间

f、API组

2.3 准入控制:Admission Control

实际上是一个准入控制插件列表,发送到API Server的请求都需要经过这个列表中的每个准入控制器插件的检查,检查不通过,则拒绝请求。

准入控制插件列表:https://kubernetes.io/zh-cn/docs/reference/command-line-tools-reference/kube-apiserver/

三、基于角色的权限访问控制:RBAC

RBAC(Roke-Based Access Control,基于角色的访问控制),允许通过kubernetes API动态配置策略(立即生效)。

3.1 角色:

1、Role:授权特定命名空间的访问权限

2、ClusterRole:授权所有命名空间的访问权限

3.2 角色绑定:

1、RoleBinding:将角色绑定到主体(即subject)

2、ClusterRoleBinding:将集群角色绑定到主体

3.3 主体:

1、User: 用户

2、Group: 用户组

3、 ServiceAccount:服务账号

四、案例:为指定用户授权访问不同命名空间权限

示例:为qj用户授权default命名空间pod读取权限

4.1、用k8s CA签发客户端证书

CA指的是k8s的根证书。

kubeadmin部署,目录是:/etc/kubernetes/pki/ca.crt  和 ca.key

二进制部署,一般会放到一个单独的目录:TLS/kubernetes/ca.pem或者其他后缀 和 ca-key.pem

需要单独安装cfssl、 cfssl-certinfo、cfssljson等 命令

vi cert.sh

cat > ca-config.json << EOF

{

  "signing": {

    "default": {

  "expiry": "87600h"

  },

  "profiles": {

    "kubernetes": {

  "usages": [

    "signing",

"key encipherment",

"server auth",

"client auth"

  ],

  "expiry": "87600h"

}

  }

}

}

EOF

cat > qj-csr.json <<EOF

{

  "CN": "qj",

  "hosts": [],

  "key": {

    "algo": "rsa",

"size": 2048

  },

  "names": [

    {

  "C": "CN",

  "ST": ""BeiJing,

  "L": "BeiJing",

  "O": "k8s",

  "OU": "System"

}

  ]

}

EOF

cfssl gencert -ca=/etc/kubernetes/pki/ca.crt -ca-key=/etc/kubernetes/pki/ca.key -config=ca-config.json -profile=kubernetes qj-csr.json | cfssljson -bare qj

注:

CN字段代表用户名

O字段代表用户组名

# bash cert.sh

会生成qj-key.pem和qj.pem两个文件

4.2、生成kubeconfig授权文件

# vi  kubeconfig.sh

kubectl config set-cluster kubernetes \

  --certificate-authority=/etc/kubernetes/pki/ca.crt \

  --embed-certs=true \

  --server=https://192.168.2.153:6443 \

  --kubeconfig=qj.kubeconfig

#设置客户端认证

kubectl config set-credentials qj \

  --client-key=qj-key.pem \

  --client-certificate=qj.pem \

  --embed-certs=true \

  --kubeconfig=qj.kubeconfig

#设置默认上下文

kubectl config set-context kubernetes \

  --cluster=kubernetes \

  --user=qj \

  --kubeconfig=qj.kubeconfig

#设置当前使用配置

kubectl config use-context kubernetes --kubeconfig=qj.kubeconfig

# bash  kubeconfig.sh

会生成qj.kubeconfig文件。

4.3、创建RBAC权限策略

拷贝qj.kubeconfig文件到远程主机。

# scp qj.kubeconfig root@x.x.x.x:~

在远程主机执行kubectl命令:

# kubectl get pods  --kubeconfig=qj.kubeconfig   此时会报qj账户无法列出默认命名空间pods,即没有权限

创建RBAC权限策略

# vi rbac.yaml

apiVersion: rbac.authorization.k8s.io/v1

kind: Role

metadata:

namespace: default

name: pod-server

rule:

- apiGroups: [""] #API组

  resources: ["pods"] #资源

  verbs: ["get","watch","list"] #操作方法

---

apiVersion: rbac.authorization.k8s.io/v1

kind: RoleBinding

metadata:

name: read-pods

namespace: default

subjects:

- kind: User #主体

  name: qj #用户名

  apiGroup: rbac.authorization.k8s.io

roleRef:

kind: Role #绑定角色

name: pod-reader #绑定的角色名称

apiGroup: rbac.authorization.k8s.io

# kubectl apply -f rbac.yaml

4.4、# 指定kubeconfig文件测试:

# kubectl get pods --kubeconfig=./qj.kubeconfig

4.5、# 添加service权限,修改此配置:

# kubectl apply -f rbac.yaml

4.6、# 添加apps和deployment权限

# kubectl apply -f rbac.yaml

4.7、# 官方示例参考:

https://kubernetes.io/docs/reference/access-authn-authz/rbac/

4.8、查看所有API接口:

# kubectl api-resources   《红框重表示API组,只有v1的表示为核心组,留空 。如apps/v1表示组为apps组》

4.9、不添加kubeconfig文件直接执行kubectl命令

放在家目录如:/root

# mkdir /root/.kube

# mv qj.kubeconfig /root/.kube/config

# kubectl get pod,svc

五、授权一个应用程序(pod)访问apiserver流程

1、创建一个serviceaccount

2、创建role规则

3、role绑定serviceaccount

subjects:

- king: ServiceAccount

name: nfs-client-provisioner

六、获取token

# kubectl get sa

#kubectl get secret

七、管理员权限组

获取权限组:

获取管理员权限组,默认的管理员权限组:

赋管理员权限,可以直接使用:

# kubectl create serviceaccount dashboard-admin -n kube-system

# kubectl create clusterrolebinding dashboard-admin --cluserrrole=cluster-admin --serviceaccount=kube-system:dashboard-admin

#kubectl describe secrets -n kube-system $(kubectl -n kube-system get secret |awk '/dashboard-admin/{print $1}')

# kubernetes # 安全 # 容器
Logo
K8S/Kubernetes

K8S/Kubernetes社区为您提供最前沿的新闻资讯和知识内容

更多推荐

【深度】阿里巴巴万级规模 K8s 集群全局高可用体系之美

作者 |  韩堂、柘远、沉醉来源 | 阿里巴巴云原生公众号​前言台湾作家林清玄在接受记者采访的时候,如此评价自己 30 多年写作生涯:“第一个十年我才华横溢,‘贼光闪现’,令周边黯然失色;第二个十年,我终于‘宝光现形’,不再去抢风头,反而与身边的美丽相得益彰;进入第三个十年,繁华落尽见真醇,我进入了‘醇光初现’的阶段,真正体味到了境界之美”。​长夜有穷,真水无香。领略过了 K8s“身在江

avatar K8S/Kubernetes

如何基于 K8s 构建下一代 DevOps 平台?

作者 | 孙健波(天元)导读:当前云原生 DevOps 体系现状如何?面临哪些挑战?如何通过 OAM 解决云原生 DevOps 场景下的诸多问题?云原生开发应用模型 OAM(Open Application Model) 社区核心成员孙健波将为大家一一解答,并分享如何基于 OAM 和 Kubernetes 打造无限能力的下一代 DevOps 平台。什么是 DevOps?为什么基于 Kub

avatar K8S/Kubernetes

k8s 火了!

2020,上云之年,产品云端化成为一种趋势。在一线城市,很多公司都已经构建了自己的私有云环境,比如阿里云、网易云、华为云等。而Kubernetes 作为基于容器编排领域的王者,具备扩展...

avatar K8S/Kubernetes