Kubernetes 安全概念详解
2024-10-19 18:24:35
Kubernetes 安全框架 API 认证三关
• 访问K8S集群的资源需要过三关:认证、鉴权、准入控制
• 普通用户若要安全访问集群API Server,往往需要证书、Token
或者用户名+密码;Pod访问,需要ServiceAccount
• K8S安全控制框架主要由下面3个阶段进行控制,每一个阶段都
支持插件方式,通过API Server配置来启用插件。
1. Authentication(认证)
2. Authorization(授权)
3. Admission Control(准入控制)
# 查看ServiceAccount
kubectl get sa
NAME SECRETS AGE
default 1 5d22h
nfs-client-provisioner 1 3h1m
授权
RBAC(Role-Based Access Control,基于角色的访问控制):负责完成授权(Authorization)工作。
准入控制
Adminssion Control实际上是一个准入控制器插件列表,发送到API Server的请求都需要经过这个列表中的每个准入控制器
插件的检查,检查不通过,则拒绝请求。
1.11版本以上推荐使用的插件:
--enable-admission-plugins= \
NamespaceLifecycle,LimitRanger,ServiceAccount,DefaultStorageClass,DefaultTolerationSeconds, ResourceQuota
RBAC核心概念
RBAC(Role-Based Access Control,基于角色的访问控制),允许通过Kubernetes API动态配置策略。
• 角色
• Role:授权特定命名空间的访问权限
• ClusterRole:授权所有命名空间的访问权限
• 角色绑定
• RoleBinding:将角色绑定到主体(即subject)
• ClusterRoleBinding:将集群角色绑定到主体
• 主体(subject)
• User:用户
• Group:用户组
• ServiceAccount:服务账号
最新文章
- Sybase 数据库新增用户,赋权
- Sql Server事务简单用法
- 转 How to install XenServer Tools – Linux(forward)
- C程序内存分配
- 【转】使用junit进行单元测试(初级篇)
- Single Number 解答
- 用Collections.synchronizedCollection创建线程安全的集合、列表。。。
- 北京Python筛选过程中应注意什么
- 【BZOJ3529】【SDOI2014】数表
- Python内置函数(31)——object
- SpringBoot(二)_项目属性配置
- syzkaller 资料集合
- 联系customer的js
- 20172308《Java软件结构与数据结构》第一周学习总结
- noVNC连接CentOS,以Web方式交付VNC远程连接
- ios 中是否每一个对象(尤其是在使用多线程时),都要判断一下对象是否为nil,以防止程序闪退?
- Discuz常见大问题-如何使用云采集插件
- 高德地图 Android编程中 如何设置使 标记 marker 能够被拖拽
- [Go语言]从Docker源码学习Go——main函数
- Caffe机器学习框架