一文详解kube-apiserver认证鉴权能力

本文分享自华为云社区《kube-apiserver认证鉴权能力》,作者: 可以交个朋友。

HTTPS为什么要进行身份验证

首先不管是kubectl还是API调用都是通过HTTPS访问kube-apiserver,有图有真相

image.png

所以要想了解kube-apiserver认证鉴权,得先从HTTPS说起;接下来我们直接通过API接口访问apiserver

image.png

为什么不能访问?准确来说是为什么不能建立HTTPS连接

原因就是客户端无法验证服务端证书,导致HTTPS连接建立失败。可不可以不验证服务端证书?可以

image.png

但在公网环境不建议这么做,如果不验证服务端,你可能访问的并不是你想访问的服务端

image.png

证书如何保证服务端不被伪造

如何保证客户端收到的服务端公钥没有被伪造?答案就是第三方权威机构CA

证书申请流程:服务端需要将自己的信息和公钥发给CA,CA根据服务端发送过来的内容进行HASH,然后用CA私钥加密得到签名,将签名和CSR文件同时写入一个文件即为证书,而访问端通过CA根证书(包含CA公钥)解密服务端证书中的签名可以确认服务端身份,身份确认后就可以从服务端证书中CSR文件内拿到服务端的公钥

为什么要先HASH一下?因为不管CSR文件多大,经过HASH之后长度固定,加/解密速度更快

image.png

防伪关键点就是CA的私钥只有CA机构有,你无法修改证书里面的签名;你也无法用自己的CA私钥伪造签名,因为访问端没有你的CA公钥无法解密;

只要签名无法修改,csr文件的内容修改就毫无意义。

现在我们再访问一次apiserver,这次我们带上K8S集群CA证书试试

image.png

有HTTP状态码返回就说明HTTPS连接已建立;完整的HTTPS认证过程如下

image.png

想想为什么curl访问https://www.baidu.com不需要指定CA证书?

kubernetes认证方式

上文我们只是验证了服务端,服务端并没有验证客户端,所以我们收到了401的返回码。类似于我虽然接了你的电话,但我首先肯定是想知道你是谁。

apiserver支持三种认证客户端的方式:

  • HTTPS证书认证:此方式最严格,基于CA根证书签名的双向数字证书认证方式。比如kube-controller-manager、kubelet等
  • HTTP Token认证:通过一个Token来识别合法用户。比如serviceaccount
  • HTTP Base认证:通过用户名+密码的方式认证。由于不常用本文不做介绍

Token认证

我们创建一个serviceaccount;1.24版本以上创建serviceaccount不再自动创建secret。

kubectl create sa test

找到以serviceaccount名称开头的secret,拿到其中token字段的值

image.png

我们带上token再次访问apiserver,看看效果

image.png

返回了403状态码,显示Forbidden;说明我们过了认证,只是没有权限而已

证书认证

使用openssl生成客户端私钥和csr文件;其中/CN字段就是你的用户名;csr文件需要公钥,但命令行却指定的是私钥,是因为oenssl会自动用私钥生产公钥

openssl genrsa -out myuser.key 2048  
openssl req -new -key myuser.key -out myuser.csr -subj "/CN=myuser"

创建 CertificateSigningRequest资源,回忆下上文提到的证书申请过程,我们需要提供什么?

cat <<EOF | kubectl apply -f - 
apiVersion: certificates.k8s.io/v1 
kind: CertificateSigningRequest 
metadata: 
  name: myuser 
spec: 
  request: $(cat myuser.csr | base64 | tr -d "\n") 
  signerName: kubernetes.io/kube-apiserver-client 
  expirationSeconds: 86400  # one day 
  usages: 
  - client auth 
EOF

手动批准证书请求,证书会被保存到csr资源的status.certificate字段,将证书base64解码并写入文件

kubectl certificate approve myuser 
kubectl get csr myuser -o jsonpath='{.status.certificate}'| base64 -d > myuser.crt

可以用openssl查看证书内容,查看签名字段需要借助其他工具,比如:asn1editor

image.png

使用客户端私钥和证书再次访问apiserver

image.png

和token访问结果一致,认证通过但未赋权

鉴权机制

上文我们访问apiserver得到了403的返回码,说明我们权限不够,无法获取namespaces资源;为了集群便于管理,我们必须为不同用户设置不同权限。

在K8S集群中完成鉴权机制的是RBAC,RBAC授权规则是通过四种资源来进行配置:

  • Role:角色,其实是定义一组对Kubernetes资源(命名空间级别)的访问规则
  • ClusterRole:集群角色,其实是定义一组对Kubernetes资源(集群级别,包含全部命名空间)的访问规则
  • RoleBinding:角色绑定,定义了用户和角色的关系
  • ClusterRoleBinding:集群角色绑定,定义了用户和集群角色的关系

有了角色和角色绑定,还缺一个对象,你希望将角色绑定到那个对象上?

在k8s集群中这个对象称为subject主体,主体可以是用户、组或者serviceaccount;

k8s集群中不存在用户资源,你也无法通过命令查到;Kubernetes 使用证书中’subject’的通用名称(Common Name)字段 (例如:"/CN=bob")来确定用户名

image.png

接下来我们对上文创建的serviaccount和用户myuser赋权

创建集群角色和集群角色绑定

#创建一个集群角色,仅对namespaces资源有get、list和watch权限
kubectl create clusterrole myclusterrole --resource=namespaces --verb=get,list,watch
#将serviceaccount和myuser用户与该集群角色绑定,test和myuser便有了该集群角色的权限
kubectl create clusterrolebinding testuser --clusterrole=myclusterrole --user=myuser  
kubectl create clusterrolebinding testsa --clusterrole=myclusterrole --serviceaccount=default:test

再次使用token或者证书访问apiserver

使用证书访问

image.png

 

posted @ 2023-12-27 15:17  华为云开发者联盟  阅读(48)  评论(0编辑  收藏  举报