1、k8s:分布式集群管理工具,就是容器编排
2、安全机制的核心:api-service
(1)api-server作为整个集群内部通信的中介,也是外部控制的入口,所有的安全机制都是围绕api-server来进行设计的
(2)请求api资源:3个条件都通过才可以在k8s集群中创建
①认证
②鉴权(赋权)
③准入机制
3、认证(authentcation)
(1)http token:通过token实现识别合法用户
①token:很长,很复杂的一个字符串,字符串是用来表达客户的一种方式
②每一个token都对应一个用户名,用户名存放在api-server能够访问的文件中
③当客户端发起请求时,http header中包含token
④客户端发起请求——token——apiserver(用户名存储文件)——解码——用户名——访问集群
(2)http base:用户名+密码的验证方式
①用户名和密码都是通过base64的方式进行加密,加密完成的字符串,放在http request的header authorization发送给服务端,服务端收到加密的字符串,解码,获取用户名和密码,验证通过,登录成功
(3)https证书:最严格、最严谨的方式,基于CA根证书签名的客户端身份进行验证
4、认证的访问类型
(1)k8s组件对apiserver的访问(kubelet、kube-proxy)
(2)pod对apiserver的访问(pod coredns、dashborad都是pod,也需要访问api)
(3)客户端访问(kubectl命令)
5、k8s组件对apiserver的访问(kubelet、kube-proxy)
(1)controller-manager-scheduler与apiserver在一台服务器,可以直接使用apiserver的非安全端口访问(8080端口)
(2)kubelet、kube-proxy都是通过apiserver的https证书,进行双向验证,都是用6443端口进行验证
6、签发证书
(1)手动签发:二进制部署就是手动签发证书,(CA签发:把证书匹配到每个对应组件,访问6443即可)
(2)自动签发:kubeadm(kubelet第一访问apiserver使用token,token通过了后,controller-manager会为kubelet生成一个证书,以后都是通过证书访问)kubeadm修改了证书的有效期,默认1年
(3)kubeconfig:kubeconfig文件包含了集群的参数,CA证书、apiserver地址、客户端的参数(客户端的证书和私钥)、集群的名称和用户名
①k8s组件通过启动时指定访问不同的kubeconfig,可以访问不同的集群——apiserver——namespace——资源对象——pod——容器
②kubeconfig既是集群的描述文件,也是一个集群信息的保存文件,包含了集群的访问方式和认证信息
③~/.kube/config:保存的是kubectl的访问认证信息
(4)serviceaccount:serviceaccount就是为了方便pod中的容器访问apiserver
①pod的动作(增删改查)动态的,为每个pod手动生成一个证书不现实,所以k8s使用了service account来进行循环认证,serviceaccount里面包含了统一的认证信息,直接进行apiservice访问
②serviceaccount内部保存的token,service-account-token
③secret保存的是自定义的保密信息
④serviceAccount的保存信息:token、ca.crt、namespace都会被自动的挂载到pod中
7、鉴权
(1)之前的认证过程,只是确认了双方都是可信的,可以互相通信,鉴权是为了确定请求方的访问权限(能做哪些指定的操作)
alwaysDeny |
拒绝所有,一般是测试 |
alwaysAllow |
允许所有,用于测试 |
ABAC |
attribute-based-access-control,基于属性的访问控制 |
webhook |
外部访问集群内部的鉴权方式 |
RBAC |
role-base-access-control,基于角色的访问控制,也是k8s现在默认的规则机制 |
①角色:role—指定命名空间的资源控制权限 绑定角色:rolebinding—将角色绑定到指定的命名空间 ②集群:clusterrole—可以授权所有命名空间的资源控制权限 绑定集群:clusterrolebinding—将集群的角色绑定到命名空间 |
|
8、准入控制
(1)准入控制:是apiserver的一个准入控制器的插件列表,不同的插件可以实现不同的准入控制机制,一般情况下,建议使用官方默认的准入控制器
①limitranger、serviceaccount命名空间的配额管理
②resourcequota:命名空间的配额限制
9、实例:实现不同用户管理自定的命名空间
(1)创建用户
(2)上传证书
chmod +x /usr/local/bin/cfssl*
(3)创建根证书
chmod +x user-cert.sh
./user-cert.sh
(4)生成CA的根证书
cfssl gencert -ca=ca.crt -ca-key=ca.key -profile=kubernetes /opt/lucky/lucky-csr.json | cfssljson -bare lucky
(5)鉴权
①创建命名空间lucky-cloud
②创建鉴权文件
chmod +x rbac-kubeconfig.sh
./rbac-kubeconfig.sh 20.0.0.71
③使用上下文参数生成lucky.kubeconfig文件
kubectl config use-context kubernetes --kubeconfig=lucky.kubeconfig
④复制lucky.kubeconfig文件
mkdir /home/lucky/.kube
cp lucky.kubeconfig /home/lucky/.kube/config
chown -R lucky:lucky /home/lucky/.kube/
(6)rbac授权
①绑定角色
②创建pod
③切换用户:实现指定用户只能在指定命名空间查看pod的情况
④测试
⑤自定义修改权限
