Kubernetes 安全概念详解

Kubernetes 安全框架 API 认证三关

• 访问K8S集群的资源需要过三关:认证、鉴权、准入控制
• 普通用户若要安全访问集群API Server,往往需要证书、Token
  或者用户名+密码;Pod访问,需要ServiceAccount
• K8S安全控制框架主要由下面3个阶段进行控制,每一个阶段都
  支持插件方式,通过API Server配置来启用插件。
1. Authentication(认证)
2. Authorization(授权)
3. Admission Control(准入控制)

Kubernetes 安全概念详解_第1张图片


# 查看ServiceAccount
kubectl get sa

NAME SECRETS AGE
default 1 5d22h
nfs-client-provisioner 1 3h1m

授权

RBAC(Role-Based Access Control,基于角色的访问控制):负责完成授权(Authorization)工作。

Kubernetes 安全概念详解_第2张图片

准入控制

Adminssion Control实际上是一个准入控制器插件列表,发送到API Server的请求都需要经过这个列表中的每个准入控制器
插件的检查,检查不通过,则拒绝请求。

1.11版本以上推荐使用的插件:

--enable-admission-plugins= \
NamespaceLifecycle,LimitRanger,ServiceAccount,DefaultStorageClass,DefaultTolerationSeconds, ResourceQuota

RBAC核心概念

RBAC(Role-Based Access Control,基于角色的访问控制),允许通过Kubernetes API动态配置策略。

• 角色
  • Role:授权特定命名空间的访问权限
  • ClusterRole:授权所有命名空间的访问权限
• 角色绑定
  • RoleBinding:将角色绑定到主体(即subject)
  • ClusterRoleBinding:将集群角色绑定到主体
• 主体(subject)
  • User:用户
  • Group:用户组
  • ServiceAccount:服务账号

Kubernetes 安全概念详解_第3张图片

 

你可能感兴趣的:(Kubernetes 安全概念详解)