K8S访问控制------认证(authentication )、授权(authorization )体系

已于 2023-09-06 19:51:10 修改
阅读量930 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: # kubernetes 文章标签: kubernetes docker 容器
于 2023-08-29 21:34:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41768644/article/details/132516838
本文详细介绍了Kubernetes(K8S)的认证机制,包括X509客户端证书认证、静态令牌文件认证和启动引导令牌认证。其中,启动引导令牌常用于kubelet TLS启动引导。认证过程涉及用户账号类型、认证方式配置及其应用场景。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、账号分类

在K8S体系中有两种账号类型:User accounts(用户账号),即针对human user的;Service accounts(服务账号),即针对pod的。这两种账号都可以访问 API server,都需要经历认证、授权、准入控制等步骤,相关逻辑图如下所示:
在这里插入图片描述

二、authentication (认证)

在K8S架构中,可以使用多种认证方式,比如:X509 Client Certs(X509 客户端证书认证)、Static Token File (静态令牌文件认证)、Bootstrap Tokens(启动引导令牌认证)

1、X509 Client Certs(X509 客户端证书认证)

要开启客户端证书认证功能,需要在kube-apiserver中设置–client-ca-file=SOMEFILE选项,所引用的文件一般是一个CA机构的根证书文件,必须包含一个或者多个证书机构。该认证方式一般用于kube-controller-manager、kube-scheduler和kube-proxy组件向kube-apiserver认证自己。 如果提供了客户端证书并且证书被kube-apiserver验证通过,则客户端证书中的subject 中的公共名称(Common Name) 就被作为请求

了解本专栏 订阅专栏 解锁全文 超级会员免费看
kubernetes(k8s)访问控制认证+授权+准入控制)
weixin_43936969的博客
05-24 4460
文章目录1. kubernetes API 访问控制2. 认证 Authentication1 访问k8s的API Server的客户端2 UserAccount 与 serviceaccount2.1 创建serviceaccount:2.2 添加secrets到serviceaccount中2.3 把serviceaccount和pod绑定起来2.4 创建useraccount3. 授权 Authorization3.1RBAC基于角色访问控制授权3.2 RoleBinding角色绑定3.3Cluste
k8s 访问控制--认证与鉴权】
嘻哈记的运维学习之路
02-29 1765
操作k8s的所有请求都是通过https的方式进行请求,通过REST协议操作我们的k8s接口,所以在k8s中有一套认证和鉴权的资源。
k8s安全 认证 鉴权 准入控制之一:认证(Authentication)
热门推荐
张成基
07-06 2万+
k8s安全 认证 鉴权 准入控制之一:认证(Authentication) 机制说明 Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部 各个组件通信的中介,也是外部控制的入口。所以 Kubernetes 的安全机制基本就是围绕保护 API Server 来设计 的。Kubernetes 使用了认证(Authentication)、鉴权(Authorization)、准入控制(Admission Control)三步来保证API Serv
kubekey或kk离线安装k8s集群,一个忽视的问题unauthorized: authentication required
qq_41015868的博客
10-31 1372
kubekey简称kk安装k8s集群时的安装问题
K8S 安全认证
elihe2011的专栏
12-27 4087
1. 安全机制 1.1 认证 (Authentication) 1.1.1 认证方式 HTTP Token:Authorization: Bearer $TOKEN HTTP Basic: Authorization: Basic $(base64encode USERNAME:PASSWORD), HTTPS: 基于CA根证书签名的客户端身份认证方式(推荐) 证书颁发: 手动签发:通过k8s集群的根 ca 进行签发 HTTPS 证书 自动签发:kubelet 首次访问 API Serv
k8s dashboard 认证配置
xiaomin1991222的专栏
03-30 488
Authentication to the Kubernetes API Server A number of components are involved in the authentication process and the first step is to narrow down the source of the problem, namely whet...
k8s--基础--23.3--认证-授权-准入控制--授权
zhou920786312的博客
08-15 739
就是给用户(Users)授予一个角色(Role),那么这个用户就有这个角色的权限。Role是有名称空间的限制的。
virt-gateway-operator实现非k8s用户有限时间JWT访问K8s资源
- authorization授权机制,用于控制对资源的访问。 - k8s:与Kubernetes相关的技术或组件。 - jwt-authentication:特别指出使用JWT进行身份验证。 - oc-gate:特定于OpenShift的身份验证网关组件。 ### 压缩包子...
使用kube-prometheus部署k8s监控---超详细(Kubernetes Deployment of Kubernetes Monitoring (detailed)
最新发布
Linux运维老纪的博客
09-09 3002
​​​​​​​kube-prometheus是一个开源的监控和报警系统,它基于Prometheus和Grafana构建,旨在为Kubernetes提供监控功能。本章详细介绍如何使用kube-prometheus部署k8s监控。
K8s --k8s访问控制
ly660402的博客
02-27 465
API Server 是K8s重要的管理API 层。它负责提供restful api访问端点, 并且将数据持久化到etcd server中。Kubernetes 集群中,API Server 扮演着交互入口的位置。API Server 不仅负责和 etcd 交互(其他组件不会直接操作 etcd,只有 API Server 这么做),并切对外提供统一的API调用入口, 所有的交互都是以 API Server 为核心的。 kubernetes API 访问控制 Authentication认证认证.
k8s从入门到放弃-第九章安全认证
每天进步一点点!!!
05-14 650
文章目录9.1访问控制概述9.2认证管理9.3授权管理9.4准入控制 本章节主要介绍Kubernetes的安全认证机制。 9.1访问控制概述 Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。 所谓的安全性其实就是 保证对Kubernetes的各种客户端进行认证和鉴权操作。 客户端 在Kubernetes集群中,客户端通常有两类: ●User Account: 一般是独立于kubernetes之外的其他服务管理的用户账号。 ●Service Account: kubern
kubernetes安全机制
Drw_Dcm的博客
11-14 2741
kubernetes安全机制
kubernetes视频教程笔记 (31)-安全-鉴权Authorization
软件工程小施同学 的专栏
12-15 492
一、Authorization 上面认证过程,只是确认通信的双方都确认了对方是可信的,可以相互通信。而鉴权是确定请求方有哪些资源的权限。 API Server 目前支持以下几种授权策略 (通过 API Server 的启动参数 “--authorization-mode” 设置) AlwaysDeny:表示拒绝所有的请求,一般用于测试 AlwaysAllow:允许接收所有请求,如果集群不需要授权流程,则可以采用该策略 ABAC(Attribute-Based Access Control):...
k8s 之 auth部署
qq_36465337的博客
03-23 529
k8s 系列之 部署eureka集群 k8s 部署gateway k8s 系列之 user 的部署 一:简介 基本上之前的所有问题我都已经讲解过了 , 那么现在可以直接部署了 二 : 部署 auth 资源清单 apiVersion: v1 kind: Service metadata: name: cloud-auth namespace: ms spec: po...
老卫带你学---K8S源码剖析(Auth)
老卫带你学
03-05 412
Nodeidentify用来限制kubelet对api-server的访问鉴权,目前做的也比较简单,主要是对前缀进行匹配,看前缀是否是“system:node:”那核心的模块其实主要在几个match函数中。在前面进行完匹配后决定是否鉴权成功。
k8sAuthentication Authorization Admission control含义
conli的博客
10-24 266
k8s Authentication Authorization Admission control 含义与区别
kubernetes 扩展应用——auth
chengyuyao8941的博客
02-01 338
Basic Authentication 一、生成密码 $ htpasswd -c auth foo New password: <bar> New password: Re-type new password: Adding password for user foo auth...
Kubernetes之Pod初始化容器
qq_29860591的博客
11-29 876
Kubernetes之Pod初始化容器 概述 ​ 初始化是很多编程语言普遍关注的问题,甚至有些编程语言直接支持模式构造来生成初始化程序,这些用于进行初始化的程序结构称为初始化器或初始化列表。初始化代码要首先运行,且只能运行一次,它们常用于验证前提条件、基于默认值或传入的参数初始化对象实例的字段等。Pod中的初始化容器(Init Container)功能与此类似,它们为那些有先决条件的...
k8s认证授权
梵修
10-15 2828
Kubernetes中API Server是访问和管理资源对象的唯一入口。所有客户端均要通过API Server访问或者改变集群状态以及完成数据存储,API Server会对每一次请求进行合法性校验,校验包括:用户身份验证、操作权限验证以及操作是否符合全局规范约束等。所有检查均正常完成才能访问或存储数据到etcd。如下图所示:客户端认证操作由API Server配置的一到多个认证插件完成,收到请求后API Server会串行调用这些插件,直到一个插件可以成功识别用户身份为止。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值