K8s-安全

K8s-安全_认证

引入:K8s安全包含内容

​ 认证

​ 鉴权

​ 准入控制

机制说明

​ Kubernetes 作为一个分布式集群的管理工具,保证集群的 安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介,也是外部控制的入口。所以 Kubernetes 的安全机制基本就是围绕保护API Server 来设计的。Kubernetes 使用了认 证(Authentication)、鉴权(Authorization)、准入控制 (Admission Control,权限的删选)三步来保证API Server的 安全(3A服务),业务走向

认证--Authentication

  • 认证方式

    • HTTP Token 认证:通过一个 Token 来识别合法用户

      HTTP Token 的认证是用一个很长的特殊编码方式的并且难以被模仿的字符串 - Token 来表达客户的一种方式。Token 是一 个很长的很复杂的字符串,每一个 Token 对应一个用户名存储在 API Server 能访问的文件中。当客户端发起 API 调用请求时,需 要在 HTTP Header 里放入 Token

    • HTTP Base 认证:通过用户名+密码的方式认证

      用户名+密码用BASE64 算法进行编码后的字符串放在 HTTP Request 中的 Heather Authorization 域里发送给服务 端,服务端收到后进行编码,获取用户名及密码 以上两种缺陷在于基于http协议,--明文,容易被抓取用户名密 码,所以引入以下最优选方案

    • 最严格的 HTTPS 证书认证:基于 CA 根证书签名的客户端身 份认证方式--双向认证

  • HTTPS证书认证:

  • 需要认证的节点--两种类型
    • Kubenetes 组件对 API Server 的访问:kubectl、Controller Manager、Scheduler、kubelet、kube-proxy
    • Kubernetes 管理的 Pod 对容器的访问:Pod(dashborad 也 是以 Pod 形式运行)

  • 安全性说明

​ Controller Manager、Scheduler 与 API Server 在同一台机 器,所以直接使用 API Server 的非安全端口访问,--insecurebind-address=127.0.0.1-基于kubadm

  • 证书颁发

    • 手动签发:通过 k8s 集群跟 ca 进行签发 HTTPS 证书

    • 自动签发:kubelet 首次访问 API Server 时,使用 token 做 认证,通过后,Controller Manager 会为 kubelet 生成一个证 书,以后的访问都是用证书做认证了

      具体可参考kuberbetes初始化时文 件:/usr/local/kubernetes/install/kubeadm-init.log

  • kubeconfig

​ kubeconfig 文件包含集群参数(CA证书、API Server地 址),客户端参数(上面生成的证书和私钥),集群 context(上 下文) 信息(集群名称、用户名)。Kubenetes 组件通过启动时 指定不同的 kubeconfig 文件可以切换到不同的集群,所在位置:/root/.kube/config-

  • ServiceAccount

​ Pod中的容器访问API Server。因为Pod的创建、销毁是动态 的,所以要为它手动生成证书就不可行了(主要是浪费资源)。 Kubenetes使用了Service Account解决Pod 访问API Server的 认证问题

  • Secret与SA的关系---SA是Secret的子对象

    Kubernetes 设计了一种资源对象叫做 Secret,分为两类,一 种是用于 ServiceAccount 的 service-account-token, 另一种 是用于保存用户自定义保密信息的 Opaque [əʊˈpeɪk] 。 ServiceAccount 中用到包含三个部分:Token、ca.crt、 namespace

    • token,是使用 API Server 私钥签名的 JWT。用于访问API Server时,Server端认证证书是否合法
    • ca.crt,根证书。用于Client端验证API Server发送的证书是否合法
    • namespace,标识这个service-account-token的作用域名空 间

说明: Json web token (JWT) , 是为了在网络应用环境间传递声 明而执行的一种基于 JSON 的开放标准([(RFC 7519] ).该token 被设计为紧凑且安全的,特别适用于分布式站点的单点登录 (SSO)场景。JWT的声明一般被用来在身份提供者和服务提供 者间传递被认证的用户身份信息,以便于从资源服务器获取资 源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该 token 也可直接被用于认证,也可被加密

  • 查看secret的名字所有名字空间

​ kubectl get secret --all-namespaces

  • 可查看具体的名字空间描述

​ kubectl describe secret default-token-5gm9r -- namespace=kube-system

说明: 默认情况下,每个 namespace 都会有一个 ServiceAccount,如果 Pod 在创建时没有指定 ServiceAccount,就会使用 Pod 所属的 namespace 的 ServiceAccount

  • 随机进入一个名字空间,查看挂载路径

​ kubectl exec -it kube-flannel-ds-amd64-dw5lx -n kubesystem -- /bin/s

​ 默认挂载目录: /run/secrets/kubernetes.io/serviceaccount/

  • 总结

组件--加密

双向 HTTPS 加密

​ 自动证书颁发:kubelet

​ 手动颁发: kubectl 、kube-proxy,只是kubeadm 初始化工具自动给我们创建了

无需加密:以 kubeadm 初始化环境中处于回环接口访 问:127.0.0.1(Controller Manager、Scheduler),kubeconfig---/root/.kube/config---集群信息访问的封装

Pod--加密

SA

​ token:JWT 编码,基于 apiserver 的私钥签发,用于 apiserver 认证 pod 的合法性

​ ca.crt:apiserver 发送给 pod 证书,使用 ca.crt 验证

​ namespace:标识当前的 pod 的所在空间

说明:源码包安装的kubernetes,加密是自选的

  • 图示说明:

  • 拓展

​ 安全传输层协议(TLS)用于在两个通信应用程序之间提供保密性 和数据完整性。

​ 传输层安全性协议(英语:Transport Layer Security,缩写作 TLS),及其前身安全套接层(Secure Sockets Layer,缩写作 SSL)是一种安全协议,目的是为互联网通信提供安全及数据完 整性保障。网景公司(Netscape)在1994年推出首版网页浏览 器,网景导航者时,推出HTTPS协议,以SSL进行加密,这是SSL 的起源。IETF将SSL进行标准化,1999年公布第一版TLS标准文 件。随后又公布RFC 5246 (2008年8月)与RFC 6176(2011年 3月)。在浏览器、邮箱、即时通信、VoIP、网络传真等应用程 序中,广泛支持这个协议。主要的网站,如Google、Facebook等也以这个协议来创建安全连线,发送数据。目前已成为互联网 上保密通信的工业标准。

posted @ 2022-07-27 14:47  Sunset_cloud  阅读(122)  评论(0编辑  收藏  举报