Kubernetes 的安全机制 APIServer 认证、授权、准入控制

本文涉及的产品
容器服务 Serverless 版 ACK Serverless,952元额度 多规格
容器服务 Serverless 版 ACK Serverless,317元额度 多规格
简介: 本文讲解 kubernetes 的安全机制。主要会按照这几个部分来讲解:APIServer 认证、授权、准入控制等。 我们都知道 kubenetes 默认在两个端口提供服务:一个是基于 https 安全端口 6443,另一个是基于 http 的非安全端口 8080。

本文讲解 kubernetes 的安全机制。主要会按照这几个部分来讲解:APIServer 认证、授权、准入控制等。

我们都知道 kubenetes 默认在两个端口提供服务:一个是基于 https 安全端口 6443,另一个是基于 http 的非安全端口 8080。其中非安全端口 8080 限制只能本机访问,即绑定的是 localhost。

对于安全端口来讲,一个 API 请求到达 6443 端口后,主要经 过以下几步处理:

  • 认证
  • 授权
  • 准入控制
  • 实际的 API 请求

APIServer 认证

Authentication verifies who you are.

认证的接口为:

// Request attempts to extract authentication information from a request and returns // information about the current user and true if successful, false if not successful, // or an error if the request could not be checked.
 type Request interface { AuthenticateRequest(req *http.Request) (user.Info, bool, error) } // Info describes a user that has been authenticated to the system.
 type Info interface { GetName() string GetUID() string GetGroups() []string GetExtra() map[string][]string } 也就是说,认证的目的是识别出访问者是谁,识别出访问者身份之后,具体有没有权限执行某个操作则是由“ 授权模块 ”来完成。

kubernetes 认证主要分为三种:CA 证书认证、Token 认证、Base 认证。可以同时配置多种认证方式,只要其中任意一个方式认证通过即可。

APIServer 授权

Authorization verifies what you are authorized to do.

授权就是授予不同用户不同的访问权限,APIServer 目前支持以下几种授权策略:

  • AlwaysDeny:表示拒绝所有的请求,该配置一般用于测试
  • AlwaysAllow:表示接收所有请求,如果集群不需要授权,则可以采取这个策略
  • ABAC:基于属性的访问控制,表示基于配置的授权规则去匹配用户请求,判断是否有权限。Beta 版本
  • RBAC:基于角色的访问控制,允许管理员通过 api 动态配置授权策略。Beta 版本

RBAC 主要还是基于私有云的那种授权思路,网易云基础服务(蜂巢)是基于 ABAC 自己开发的一套用户隔离的授权策略。因此接下来主要讲解一下 ABAC。

授权的接口为:

type Authorizer interface { Authorize(a Attributes) (err error) } // Attributes is an interface used by an Authorizer to get information about a request // that is used to make an authorization decision.
 type Attributes interface { GetUserName() string GetGroups() []string GetVerb() string IsReadOnly() bool // The namespace of the object, if a request is for a REST object. GetNamespace() string // The kind of object, if a request is for a REST object. GetResource() string // GetSubresource returns the subresource being requested, if present GetSubresource() string GetName() string GetTenantId(tenantId string) }

其实主要有六个基本属性:

  • 用户名,代表一个已经被认证的用户的 id
  • 是否是只读请求
  • 请求类型,比如 GET、List、Watch 等
  • 资源类型,比如 pods、nodes 等
  • namespace,被访问对象所属的 namespace
  • tenantid,被访问对象所属的租户 id

假如用户 A 发来请求 /api/v1/namespaces/nsa/pods/pda,那么我们可以通过这个请求以及 apiserver 的缓存,设置好上面的五个基本属性,为接下来的授权做好准备工作:

  • 用户名:A
  • 只读:是
  • 请求类型:GET
  • namespace:nsa
  • 资源类型:pods
  • tenantid:一个租户下面可以由多个 namespace,namespace 的 label 中设置了它属于哪个租户

接下来,看一下如何配置授权策略。

比如,我们限制集群内的用户只能访问自己租户的 persistentvolumes 资源,并且只能执行 get、list 和 watch 请求,那么对应的授权规则为:

{"ruleName": "kubelet", "resource": "persistentvolumes", "tenantId": "self", "method": "get&list&watch"}

限制集群内的用户能访问集群内的所有 pods 资源,但是只有对自己租户的 pods 资源才具有更改权限,那么对应的授权策略为:

{"ruleName": "kubelet", "resource": "pods", "tenantId": "self","method":"*"} {"ruleName": "kubelet", "resource": "pods", "tenantId":"*","method": "get&list&watch"}

其中“ * ”表示匹配所有。
我们可以定义多条授权策略,只要有一条通过即授权通过。

Admission Control 准入控制

通过了前面的认证和授权之后,还需要经过准入控制处理通过之后,apiserver 才会处理这个请求。Admission Control 有一个准入控制列表,我们可以通过命令行设置选择执行哪几个准入控制器。只有所有的准入控制器都检查通过之后,apiserver 才执行该请求,否则返回拒绝。

当前可配置的准入控制器主要有:

  • AlwaysAdmit:允许所有请求
  • AlwaysDeny:拒绝所有请求
  • AlwaysPullImages:在启动容器之前总是去下载镜像
  • ServiceAccount:将 secret 信息挂载到 pod 中,比如 service account token,registry key 等
  • ResourceQuota 和 LimitRanger:实现配额控制
  • SecurityContextDeny:禁止创建设置了 Security Context 的 pod

准入控制的接口定义为:

// Interface is an abstract, pluggable interface for Admission Control decisions.
 type Interface interface { // Admit makes an admission decision based on the request attributes Admit(a Attributes) (err error) // Handles returns true if this admission controller can handle the given operation // where operation can be one of CREATE, UPDATE, DELETE, or CONNECT Handles(operation Operation) bool }

type Handler struct {
 operations sets.String } // Handles returns true for methods that this handler supports
 func (h *Handler) Handles(operation Operation) bool { return h.operations.Has(string(operation)) }

如果我们想实现自己的准入控制插件,只要实现这个接口即可,使用起来非常简单。

本文转自中文社区-Kubernetes 的安全机制 APIServer 认证、授权、准入控制

相关实践学习
通过Ingress进行灰度发布
本场景您将运行一个简单的应用,部署一个新的应用用于新的发布,并通过Ingress能力实现灰度发布。
容器应用与集群管理
欢迎来到《容器应用与集群管理》课程,本课程是“云原生容器Clouder认证“系列中的第二阶段。课程将向您介绍与容器集群相关的概念和技术,这些概念和技术可以帮助您了解阿里云容器服务ACK/ACK Serverless的使用。同时,本课程也会向您介绍可以采取的工具、方法和可操作步骤,以帮助您了解如何基于容器服务ACK Serverless构建和管理企业级应用。 学习完本课程后,您将能够: 掌握容器集群、容器编排的基本概念 掌握Kubernetes的基础概念及核心思想 掌握阿里云容器服务ACK/ACK Serverless概念及使用方法 基于容器服务ACK Serverless搭建和管理企业级网站应用
相关文章
|
1月前
|
Kubernetes 安全 Cloud Native
云上攻防-云原生篇&K8s安全-Kubelet未授权访问、API Server未授权访问
本文介绍了云原生环境下Kubernetes集群的安全问题及攻击方法。首先概述了云环境下的新型攻击路径,如通过虚拟机攻击云管理平台、容器逃逸控制宿主机等。接着详细解释了Kubernetes集群架构,并列举了常见组件的默认端口及其安全隐患。文章通过具体案例演示了API Server 8080和6443端口未授权访问的攻击过程,以及Kubelet 10250端口未授权访问的利用方法,展示了如何通过这些漏洞实现权限提升和横向渗透。
156 0
云上攻防-云原生篇&K8s安全-Kubelet未授权访问、API Server未授权访问
|
2月前
|
Kubernetes 安全 开发工具
Kubernetes系统安全-准入控制(admission control)
文章详细介绍了Kubernetes中的准入控制机制,包括各种准入控制器的功能、如何创建和使用LimitRange和ResourceQuota资源,以及PodSecurityPolicy和准入控制器扩展的使用方法。
38 1
Kubernetes系统安全-准入控制(admission control)
|
1月前
|
消息中间件 Java Kafka
Kafka ACK机制详解!
本文深入剖析了Kafka的ACK机制,涵盖其原理、源码分析及应用场景,并探讨了acks=0、acks=1和acks=all三种级别的优缺点。文中还介绍了ISR(同步副本)的工作原理及其维护机制,帮助读者理解如何在性能与可靠性之间找到最佳平衡。适合希望深入了解Kafka消息传递机制的开发者阅读。
182 0
|
2月前
|
Kubernetes 容器
k8s基于secretRef认证对接rbd块设备
文章介绍了如何在Kubernetes集群中通过secretRef认证方式接入Ceph的RBD块设备,并提供了详细的步骤和配置文件示例。
43 7
|
2月前
|
Kubernetes 容器 Perl
k8s基于keyring文件认证对接rbd块设备
文章介绍了如何在Kubernetes集群中使用Ceph的keyring文件进行认证,并对接RBD块设备,包括使用admin用户和自定义用户两种方式的详细步骤和注意事项。
54 3
|
2月前
|
Kubernetes 安全 API
Kubernetes系统安全-授权策略(authorization policy)
文章主要介绍了Kubernetes系统中的授权策略,包括授权模块的概述、RBAC授权模块的详细说明以及如何创建和管理角色(Role)和集群角色(ClusterRole)。
60 0
Kubernetes系统安全-授权策略(authorization policy)
|
2月前
|
Kubernetes 安全 API
Kubernetes系统安全-认证(Authentication)
文章主要介绍了Kubernetes系统中的安全认证机制,包括API服务器的访问控制、认证、授权策略和准入控制,以及如何使用kubeconfig文件和创建自定义用户与服务账号。
164 0
Kubernetes系统安全-认证(Authentication)
|
3月前
|
Kubernetes 监控 Perl
在k8S中,自动扩容机制是什么?
在k8S中,自动扩容机制是什么?
|
3月前
|
Kubernetes 负载均衡 监控
在K8S中,apiserver的高可用是如何实现的?
在K8S中,apiserver的高可用是如何实现的?
|
3月前
|
存储 网络安全 API
【Azure Service Bus】 Service Bus如何确保消息发送成功,发送端是否有Ack机制 
【Azure Service Bus】 Service Bus如何确保消息发送成功,发送端是否有Ack机制