k8s 安全机制
k8s的安全机制:
核心:分布式集群管理工具,就是容器编排,安全机制的核心:API server 作为整个集群内部通信的中介,也是外控控制的入口。实验的安全机制都是围绕api server来进行设计:
请求api资源:
1,认证
2,鉴权
3,准入机制
三个条件都通过,才开源在k8s集群当中创建。
认证:Anthentcation
HTTP TOKEN:通过token失败合法用户。token是一个很差,很复杂的一个字符串,字符串是用来表达客户的一种方式。
每一个token对应一个用户名,用户名存储在apiserver能够访问的文件中。
客户端发起请求时,http headr包含token。
客户端发起请求----(请求包含)token----apiserver(用户名存储文件)-----解码------用户名-----访问集群。
http base:用户+密码的验证方式。用户名和密码都是通过base64进行加密,加密完成的字符串,http requset的haeder Atuthorization发送给服务端。服务端收到加密字符串,节目,获取用户名和密码,验证通过,登录成功。
https 证书:最严格的方式,也是最严谨的方式。基于CA根证书的客户端进行验证。
认证的访问类型:
k8s组件对api server组件的访问 kubelet kube-proxy
pod对API server的访问。pod coredns dashborad都是pod。也需要访问api
客户端 kubectl
kubelet kube-proxy:
controller manager sheduler 与 api server在一台服务器,可以直接使用api server的非安全端口访问。 (8080端口)
kubectl kubelet kube-proxy都是通过apiserver的https证书,进行双向验证,都是用6443端口进行验证
签发证书:
1,手动签发,二进制部署就是手动签发证书,ca签发---把证书匹配到每个对应组件。如何访问6443即可。
2,自动签发 kubeadm,kubelet第一次访问api server 使用token,token 通过之后,controller manager 会为kubelet生成一个证书,以后都是通过证书访问。kubeadm修改 了证书的有效期。默认1年。
3,kubeconfig 文件包含了集群的参数,CA证书,API server地址,客户端的参数(客户端的证书和私钥),集群的名称和用户名。
k8s中的组件通过启动时自动访问不同的kube config,可以分为不同的集群-----api server----namespace-----资源对象----pod-----容器
kubeconfig即是集群的描述文件,也是一个集群的保存文件,包含了集群的分为方式和认证信息。
~/.kube/config 保存的是kubectl的访问认证信息。
4,serviceAccount:
serviceAccount:就是为了方便pod中的容器访问API server。pod的动作(增删改查)动态的,每个pod手动生成一个证书就不现实了,于是k8s使用了service Account来进行循环认证,serviceAccount包含了统一的认证信息,直接进行api server访问。
5,secret,保存资源对象,
serviceAccount内部,保存的是 token service-account-token
secret保存的是自定义的报名信息。
6,serviceAccount:
1,token
2,ca.crt
3,namespace
二,鉴权:
之前的认证过程,只是确认了双方都是可信的,可以相互通信,鉴权是为了确定请求方的访问权限。
能做哪些指定的操作。
1,AlwaysDeny:拒绝所有,一般是测试
2,AlwaysAllow:允许所有,一般也是用于测试
3,ABAC attribute-based access control 基于属性的访问控制
4,webhook:外部访问集群内部的鉴权方式
5,RBAC role-base access control 基于角色的访问控制,也是k8s默认的规则机制。
角色
role
绑定角色 rolebinding :将角色绑定到指定的命名空间
集群
clusterrole :可以授权所有密码空间的资源限制
绑定集群 clusterrolebinding:将集群的角色绑定到命名空间。
准入控制:
准入控制是API server的一个准入控制器的插入类别,不同的插件可以实现不同的准入控制机制。
一般情况下建议使用官方默认的准入控制器
limitranger 命名空间的配额管理
serviceAccount
resourceQuota:命名空间的配额限制。
3,实验
------------------- 实践:创建一个用户只能管理指定的命名空间 -------------------
//创建一个用户
useradd cheng
passwd cheng
//使用这个用户进行资源操作,会发现连接 API Server 时被拒绝访问请求
su - cheng
kubectl get pods
The connection to the server localhost:8080 was refused - did you specify the right host or port?
//创建用于用户连接到 API Server 所需的证书和 kubeconfig 文件
//先上传证书生成工具 cfssl、cfssljson、cfssl-certinfo 到 /usr/local/bin 目录中
chmod +x /usr/local/bin/cfssl*
mkdir /opt/cheng
cd /opt/cheng
vim user-cert.sh
#API Server 会把客户端证书的 CN 字段作为 User,把 names.O 字段作为 Group
chmod +x user-cert.sh
./user-cert.sh
#/etc/kubernetes/pki/ 目录中会生成 cheng-key.pem、cheng.pem、cheng.csr
cd /etc/kubernetes/pki/
cfssl gencert -ca=ca.crt -ca-key=ca.key -profile=kubernetes /opt/cheng/cheng-csr.json | cfssljson -bare cheng
###############################
cd /opt/cheng
vim rbac-kubeconfig.sh
kubectl create namespace cheng-cloud
chmod +x rbac-kubeconfig.sh
./rbac-kubeconfig.sh 192.168.176.61
使用上下文参数生成 cheng.kubeconfig 文件
kubectl config use-context kubernetes --kubeconfig=cheng.kubeconfig
//查看证书
cat cheng.kubeconfig
mkdir /home/cheng/.kube
cp cheng.kubeconfig /home/cheng/.kube/config
chown -R cheng:cheng /home/cheng/.kube/
//RBAC授权
vim rbac.yaml
kubectl apply -f rbac.yaml
kubectl get role,rolebinding -n cheng-cloud
//切换用户,测试操作权限
su - cheng
vim pod-test.yaml
cheng这个用户,只有对pod 的"get", "watch", "list", "create" 这些权限。