一文详解kube-apiserver认证鉴权能力
本文分享自华为云社区《kube-apiserver认证鉴权能力》,作者: 可以交个朋友。
HTTPS为什么要进行身份验证
首先不管是kubectl还是API调用都是通过HTTPS访问kube-apiserver,有图有真相
所以要想了解kube-apiserver认证鉴权,得先从HTTPS说起;接下来我们直接通过API接口访问apiserver
为什么不能访问?准确来说是为什么不能建立HTTPS连接
原因就是客户端无法验证服务端证书,导致HTTPS连接建立失败。可不可以不验证服务端证书?可以
但在公网环境不建议这么做,如果不验证服务端,你可能访问的并不是你想访问的服务端
证书如何保证服务端不被伪造
如何保证客户端收到的服务端公钥没有被伪造?答案就是第三方权威机构CA
证书申请流程:服务端需要将自己的信息和公钥发给CA,CA根据服务端发送过来的内容进行HASH,然后用CA私钥加密得到签名,将签名和CSR文件同时写入一个文件即为证书,而访问端通过CA根证书(包含CA公钥)解密服务端证书中的签名可以确认服务端身份,身份确认后就可以从服务端证书中CSR文件内拿到服务端的公钥
为什么要先HASH一下?因为不管CSR文件多大,经过HASH之后长度固定,加/解密速度更快
防伪关键点就是CA的私钥只有CA机构有,你无法修改证书里面的签名;你也无法用自己的CA私钥伪造签名,因为访问端没有你的CA公钥无法解密;
只要签名无法修改,csr文件的内容修改就毫无意义。
现在我们再访问一次apiserver,这次我们带上K8S集群CA证书试试
有HTTP状态码返回就说明HTTPS连接已建立;完整的HTTPS认证过程如下
想想为什么curl访问https://www.baidu.com不需要指定CA证书?
kubernetes认证方式
上文我们只是验证了服务端,服务端并没有验证客户端,所以我们收到了401的返回码。类似于我虽然接了你的电话,但我首先肯定是想知道你是谁。
apiserver支持三种认证客户端的方式:
- HTTPS证书认证:此方式最严格,基于CA根证书签名的双向数字证书认证方式。比如kube-controller-manager、kubelet等
- HTTP Token认证:通过一个Token来识别合法用户。比如serviceaccount
- HTTP Base认证:通过用户名+密码的方式认证。由于不常用本文不做介绍
Token认证
我们创建一个serviceaccount;1.24版本以上创建serviceaccount不再自动创建secret。
kubectl create sa test
找到以serviceaccount名称开头的secret,拿到其中token字段的值
我们带上token再次访问apiserver,看看效果
返回了403状态码,显示Forbidden;说明我们过了认证,只是没有权限而已
证书认证
使用openssl生成客户端私钥和csr文件;其中/CN字段就是你的用户名;csr文件需要公钥,但命令行却指定的是私钥,是因为oenssl会自动用私钥生产公钥
openssl genrsa -out myuser.key 2048
openssl req -new -key myuser.key -out myuser.csr -subj "/CN=myuser"
创建 CertificateSigningRequest资源,回忆下上文提到的证书申请过程,我们需要提供什么?
cat <<EOF | kubectl apply -f -
apiVersion: certificates.k8s.io/v1
kind: CertificateSigningRequest
metadata:
name: myuser
spec:
request: $(cat myuser.csr | base64 | tr -d "\n")
signerName: kubernetes.io/kube-apiserver-client
expirationSeconds: 86400 # one day
usages:
- client auth
EOF
手动批准证书请求,证书会被保存到csr资源的status.certificate字段,将证书base64解码并写入文件
kubectl certificate approve myuser
kubectl get csr myuser -o jsonpath='{.status.certificate}'| base64 -d > myuser.crt
可以用openssl查看证书内容,查看签名字段需要借助其他工具,比如:asn1editor
使用客户端私钥和证书再次访问apiserver
和token访问结果一致,认证通过但未赋权
鉴权机制
上文我们访问apiserver得到了403的返回码,说明我们权限不够,无法获取namespaces资源;为了集群便于管理,我们必须为不同用户设置不同权限。
在K8S集群中完成鉴权机制的是RBAC,RBAC授权规则是通过四种资源来进行配置:
- Role:角色,其实是定义一组对Kubernetes资源(命名空间级别)的访问规则
- ClusterRole:集群角色,其实是定义一组对Kubernetes资源(集群级别,包含全部命名空间)的访问规则
- RoleBinding:角色绑定,定义了用户和角色的关系
- ClusterRoleBinding:集群角色绑定,定义了用户和集群角色的关系
有了角色和角色绑定,还缺一个对象,你希望将角色绑定到那个对象上?
在k8s集群中这个对象称为subject主体,主体可以是用户、组或者serviceaccount;
k8s集群中不存在用户资源,你也无法通过命令查到;Kubernetes 使用证书中’subject’的通用名称(Common Name)字段 (例如:"/CN=bob")来确定用户名
接下来我们对上文创建的serviaccount和用户myuser赋权
创建集群角色和集群角色绑定
#创建一个集群角色,仅对namespaces资源有get、list和watch权限
kubectl create clusterrole myclusterrole --resource=namespaces --verb=get,list,watch
#将serviceaccount和myuser用户与该集群角色绑定,test和myuser便有了该集群角色的权限
kubectl create clusterrolebinding testuser --clusterrole=myclusterrole --user=myuser
kubectl create clusterrolebinding testsa --clusterrole=myclusterrole --serviceaccount=default:test
再次使用token或者证书访问apiserver
使用证书访问
一文详解kube-apiserver认证鉴权能力的更多相关文章
- 一文详解Hexo+Github小白建站
作者:玩世不恭的Coder时间:2020-03-08说明:本文为原创文章,未经允许不可转载,转载前请联系作者 一文详解Hexo+Github小白建站 前言 GitHub是一个面向开源及私有软件项目的托 ...
- 一文详解 Linux 系统常用监控工一文详解 Linux 系统常用监控工具(top,htop,iotop,iftop)具(top,htop,iotop,iftop)
一文详解 Linux 系统常用监控工具(top,htop,iotop,iftop) 概 述 本文主要记录一下 Linux 系统上一些常用的系统监控工具,非常好用.正所谓磨刀不误砍柴工,花点时间 ...
- pika详解(五)登录认证及connectionParameters
pika详解(五)登录认证及connectionParameters 本文链接:https://blog.csdn.net/comprel/article/details/94662916 版权 pi ...
- 基于Springboot集成security、oauth2实现认证鉴权、资源管理
1.Oauth2简介 OAuth(开放授权)是一个开放标准,允许用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容,OAu ...
- Spring Security 接口认证鉴权入门实践指南
目录 前言 SpringBoot 示例 SpringBoot pom.xml SpringBoot application.yml SpringBoot IndexController SpringB ...
- 认证鉴权与API权限控制在微服务架构中的设计与实现(四)
引言: 本文系<认证鉴权与API权限控制在微服务架构中的设计与实现>系列的完结篇,前面三篇已经将认证鉴权与API权限控制的流程和主要细节讲解完.本文比较长,对这个系列进行收尾,主要内容包括 ...
- 一文详解 OpenGL ES 3.x 渲染管线
OpenGL ES 构建的三维空间,其中的三维实体由许多的三角形拼接构成.如下图左侧所示的三维实体圆锥,其由许多三角形按照一定规律拼接构成.而组成圆锥的每一个三角形,其任意一个顶点由三维空间中 x.y ...
- 一文详解 WebSocket 网络协议
WebSocket 协议运行在TCP协议之上,与Http协议同属于应用层网络数据传输协议.WebSocket相比于Http协议最大的特点是:允许服务端主动向客户端推送数据(从而解决Http 1.1协议 ...
- 1.3w字,一文详解死锁!
死锁(Dead Lock)指的是两个或两个以上的运算单元(进程.线程或协程),都在等待对方停止执行,以取得系统资源,但是没有一方提前退出,就称为死锁. 1.死锁演示 死锁的形成分为两个方面,一个是使用 ...
- 一文详解Redis键过期策略
摘要:Redis采用的过期策略:惰性删除+定期删除. 本文分享自华为云社区<Redis键过期策略详解>,作者:JavaEdge. 1 设置带过期时间的 key # 时间复杂度:O(1),最 ...
随机推荐
- 2023 Visual Studio Code 插件推荐:18 个提高开发效率的常用插件
Visual Studio Code (简称VSCode) 是一款强大的开源代码编辑器,它拥有众多功能强大的扩展插件,使得开发者可以根据自己的需求来定制编辑器的功能和外观.在本文中,我们将分享一些非常 ...
- ABC322 A-F 题解
前言 为什么 ABC 天天出原题. 为什么 D 题这么答辩. A 直接找. 赛时代码 B 模拟. 赛时代码 C 对于每一个节日从后往前扫到上一个节日. 赛时代码 D 搜索,不需要任何剪枝,直接爆搜. ...
- 聊聊RNN&LSTM
RNN 用于解决输入数据为,序列到序列(时间序列)数据,不能在传统的前馈神经网络(FNN)很好应用的问题.时间序列数据是指在不同时间点上收集到的数据,这类数据反映了某一事物.现象等随时间的变化状态或程 ...
- HTML DOM之二:事件
对事件作出反应 当事件发生时,可以执行 JavaScript,比如当用户点击一个 HTML 元素时. 如需在用户点击某个元素时执行代码,请把 JavaScript 代码添加到 HTML 事件属性中: ...
- svn 分支的创建及合并
http://blog.csdn.net/jixiuffff/article/details/5586858 http://zhidao.baidu.com/link?url=uiRk-4ZBkLPx ...
- 一、Linux发展史
一.Linux发展史及红帽认证 红帽授权培训合作伙伴 木兰宽松许可证 1. Linux系统发展史 1. Unix发展历程 上世纪六十年代贝尔实验室(Bell).麻省理工学院(MIT)以及通用电气(GE ...
- Miniconda安装及搭建
Miniconda安装配置 下载Miniconda Miniconda下载地址 最新版 Miniconda For Windows 下载链接 Windows 安装配置 修改Powershell执行策略 ...
- 又一个涵盖前后端+DevOps+OpenAI大模型的高并发项目启动了
大家好,我是冰河~~ 今天,正式通知大家一件事情:又到了启动新项目的时候,这也是 冰河技术 知识星球继 Seckill秒杀系统 项目后,又一个高并发实战项目.星球其他项目与专栏,大家可移步到冰河的个人 ...
- C语言水仙花数
#include<stdio.h> void main() { int i, j, k, n=100;//分别设置三个数和一个三位数 for(i=1;i<=9;i++) //一个一个 ...
- Excel数据统计与分析