❤️作者简介:2022新星计划第三季云原生与云计算赛道Top5、华为云享专家、云原生领域潜力新星
博客首页:C站个人主页
作者目的:如有错误请指正,将来会不断的完善笔记,帮助更多的Java爱好者入门,共同进步!
Pivotal公司的Matt Stine于2013年首次提出云原生(Cloud-Native)的概念;2015年,云原生刚推广时,Matt Stine在《迁移到云原生架构》一书中定义了符合云原生架构的几个特征:12因素、微服务、自敏捷架构、基于API协作、扛脆弱性;到了2017年,Matt Stine在接受InfoQ采访时又改了口风,将云原生架构归纳为模块化、可观察、可部署、可测试、可替换、可处理6特质;而Pivotal最新官网对云原生概括为4个要点:DevOps+持续交付+微服务+容器。
总而言之,符合云原生架构的应用程序应该是:采用开源堆栈(K8S+Docker)进行容器化,基于微服务架构提高灵活性和可维护性,借助敏捷方法、DevOps支持持续迭代和运维自动化,利用云平台设施实现弹性伸缩、动态调度、优化资源利用率。
(此处摘选自《知乎-华为云官方帐号》)
kubernetes,简称K8s,是用8代替8个字符"ubernete"而成的缩写。是一个开源的,用于管理云平台中多个主机上的容器化的应用,Kubernetes的目标是让部署容器化的应用简单并且高效,Kubernetes提供了应用部署,规划,更新,维护的一种机制。
传统的应用部署方式:是通过插件或脚本来安装应用。这样做的缺点是应用的运行、配置、管理、所有生存周期将与当前操作系统绑定,这样做并不利于应用的升级更新/回滚等操作,当然也可以通过创建虚拟机的方式来实现某些功能,但是虚拟机非常重,并不利于可移植性。
新的部署方式:是通过部署容器方式实现,每个容器之间互相隔离,每个容器有自己的文件系统 ,容器之间进程不会相互影响,能区分计算资源。相对于虚拟机,容器能快速部署,由于容器与底层设施、机器文件系统解耦的,所以它能在不同云、不同版本操作系统间进行迁移。
容器占用资源少、部署快,每个应用可以被打包成一个容器镜像,每个应用与容器间成一对一关系也使容器有更大优势,使用容器可以在build或release 的阶段,为应用创建容器镜像,因为每个应用不需要与其余的应用堆栈组合,也不依赖于生产环境基础结构,这使得从研发到测试、生产能提供一致环境。类似地,容器比虚拟机轻量、更"透明",这更便于监控和管理。
Kubernetes是Google开源的一个容器编排引擎,它支持自动化部署、大规模可伸缩、应用容器化管理。在生产环境中部署一个应用程序时,通常要部署该应用的多个实例以便对应用请求进行负载均衡。
在Kubernetes中,我们可以创建多个容器,每个容器里面运行一个应用实例,然后通过内置的负载均衡策略,实现对这一组应用实例的管理、发现、访问,而这些细节都不需要运维人员去进行复杂的手工配置和处理。
(此处摘选自《百度百科》)
在kubernetes集群中,客户端通常由两类:
① User Account:一般是独立于kubernetes之外的其他服务管理的用户账号。
② Service Account:kubernetes管理的账号,用于为Pod的服务进程在访问kubernetes时提供身份标识
API Server是访问和管理资源对象的唯一入口。任何一个请求访问API Server,都要经过下面的三个流程:
① Authentication(认证):身份鉴别,只有正确的账号才能通过认证。
② Authorization(授权):判断用户是否有权限对访问的资源执行特定的动作。
③ Admission Control(注入控制):用于补充授权机制以实现更加精细的访问控制功能。
kubernetes集群安全的关键点在于如何识别并认证客户端身份,它提供了3种客户端身份认证方式:(任选一种即可)
1:HTTP Base认证:
通过用户名+密码的方式进行认证。
这种方式是把“用户名:密码”用BASE64算法进行编码后的字符串放在HTTP请求中的Header的Authorization域里面发送给服务端。服务端收到后进行解码,获取用户名和密码,然后进行用户身份认证的过程。
2:HTTP Token认证:
通过一个Token来识别合法用户。
这种认证方式是用一个很长的难以被模仿的字符串–Token来表明客户端身份的一种方式。每个Token对应一个用户名,当客户端发起API调用请求的时候,需要在HTTP的Header中放入Token,API Server接受到Token后会和服务器中保存的Token进行比对,然后进行用户身份认证的过程。
3: HTTPS证书认证:(安全性最高的方式,也是最推荐的方式)
基于CA根证书签名的双向数字证书认证方式。
这种认证方式是安全性最高的一种方式,但是同时也是操作起来最麻烦的一种方式。
1:证书申请和下发:HTTPS通信双方的服务器向CA机构申请证书,CA机构发根证书、服务端证书及私钥给申请者。
2:客户端和服务器的双向认证:
客户端向服务端发起请求,服务端下发自己的证书给客户端。客户端收到证书后,通过私钥解密证书,在证书中获取服务端的私钥。客户端利用服务器端的公钥认证证书中的信息,如果一致,则认可这个服务器。
客户端发送自己的证书给服务器端,服务端接收到证书后,通过私钥解密证书。在证书中获取客户端的公钥,并用该公钥认证证书信息,确认客户端是否合法。
③ 服务器端和客户端进行通信。
服务器端和客户端协商好加密方案后,客户端会产生一个随机的私钥并加密,然后发送到服务器端。
服务器端接收到这个私钥后,双方接下来通信的所有内容都通过该随机私钥加密。
授权发生在认证成功之后,通过认证就可以知道请求用户是谁,然后kubernetes会根据事先定义的授权策略来决定用户是否有权限访问,这个过程就称为授权。
每个发送到API Server的请求都带上了用户和资源的信息:比如发送请求的用户、请求的路径、请求的动作等,授权就是根据这些信息和授权策略进行比较,如果符合策略,则认为授权通过,否则会返回错误。
AlwaysDeny:表示拒绝所有请求,一般用于测试。
AlwaysAllow:允许接收所有的请求,相当于集群不需要授权流程(kubernetes默认的策略)。
ABAC:基于属性的访问控制,表示使用用户配置的授权规则对用户请求进行匹配和控制。
Webhook:通过调用外部REST服务对用户进行授权。
Node:是一种专用模式,用于对kubelet发出的请求进行访问控制。
RBAC:基于角色的访问控制(kubeadm安装方式下的默认选项)。
RBAC(Role Based Access Control):基于角色的访问控制,主要是在描述一件事情:给哪些对象授权了哪些权限。
RBAC涉及到了下面几个概念:
对象:User、Groups、ServiceAccount。
角色:代表着一组定义在资源上的可操作的动作(权限)的集合。
绑定:将定义好的角色和用户绑定在一起。
RBAC还引入了4个顶级资源对象:
Role、ClusterRole:角色,用于指定一组权限。
RoleBinding、ClusterRoleBinding:角色绑定,用于将角色(权限的集合)赋予给对象。
角色:一个角色就是一组权限的集合,这里的权限都是许可形式的(白名单)。
Role的资源清单(Role只能对命名空间内的资源进行授权,需要指定namespace)
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
name: authorization-role
namespace: test #要指定namespace
rules:
- apiGroups: [""] # 支持的API组列表,""空字符串,表示核心API群
resources: ["pods"] # 支持的资源对象列表
verbs: ["get","list"] #支持的操作方法
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: authorization-clusterrole
rules:
- apiGroups: [""] # 支持的API组列表,""空字符串,表示核心API群
resources: ["pods"] # 支持的资源对象列表
verbs: ["get","list"] #支持的操作方法
rules中的参数说明:
apiGroups:
支持的API组列表。
“”,”apps”,”autoscaling”,”batch”。
resources:
支持的资源对象列表。
-“services”,“endpoints”,“pods”,“secrets”,“configmaps”,“crontabs”,“deployments”,“jobs”,“nodes”,“rolebindings”,“clusterroles”,“daemonsets”,“replicasets”,“statefulsets”,“horizontalpodautoscalers”,“replicationcontrollers”,“cronjobs”。
verbs:
对资源对象的操作方法列表。
“get”, “list”, “watch”, “create”, “update”, “patch”, “delete”, “exec”。
角色绑定:角色绑定是用来把一个角色绑定到一个目标对象上,绑定目标可以是User、Group或者ServiceAccount。
RoleBinding的资源清单:(RoleBinding可以将同一namespace中的subject对象绑定到某个Role下,则此Subject具有该Role定义的权限)
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: authorization-role-binding
namespace: test
subjects:
- kind: User
name: myname
apiGroup: rbac.authorization.k8s.io
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: Role
name: authorization-role
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
name: authorization-clusterrole-binding
subjects:
- kind: User
name: myname
apiGroup: rbac.authorization.k8s.io
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: ClusterRole
name: authorization-clusterrole
案例:创建一个只能管理test命名空间下Pods资源的kubernetes账号(帐号名为:user-test)。
注意:如果账户名你想自定义成自己想要的,那就把所有user-test替换成你的帐号新名称。
1:创建证书:
cd /etc/kubernetes/pki/
(umask 077;openssl genrsa -out user-test.key 2048)
用API Server的证书去签署证书:
签名申请:申请的用户是user-test,组是testgroup
[root@k8s-master pki]# openssl req -new -key user-test.key -out user-test.csr -subj "/CN=user-test/O=testgroup"
签署证书:
[root@k8s-master pki]# openssl x509 -req -in user-test.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out user-test.crt -days 3650
Signature ok
subject=/CN=user-test/O=testgroup
Getting CA Private Key
设置集群、用户、上下文信息:(注意:–server的ip地址要改成你的)
[root@k8s-master pki]# kubectl config set-cluster kubernetes --embed-certs=true --certificate-authority=/etc/kubernetes/pki/ca.crt --server=https://192.168.184.100:6443
Cluster "kubernetes" set.
[root@k8s-master pki]# kubectl config set-credentials user-test --embed-certs=true --client-certificate=/etc/kubernetes/pki/user-test.crt --client-key=/etc/kubernetes/pki/user-test.key
User "user-test" set.
[root@k8s-master pki]# kubectl config set-context user-test@kubernetes --cluster=kubernetes --user=user-test
Context "user-test@kubernetes" created.
切换账号到user-test:
[root@k8s-master pki]# kubectl config use-context user-test@kubernetes
Switched to context "user-test@kubernetes".
查看namespace为test下的Pod,发现没有权限:
[root@k8s-master pki]# kubectl get pods -n test
Error from server (Forbidden): pods is forbidden: User "user-test" cannot list resource "pods" in API group "" in the namespace "test"
切换到admin账户:
[root@k8s-master pki]# kubectl config use-context kubernetes-admin@kubernetes
Switched to context "kubernetes-admin@kubernetes".
vim role-test.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
name: role-test
namespace: test # 通过指定namespace方式来限制这个帐号只能操作这个test命名空间内的资源
rules:
- apiGroups: [""] # 支持的API组列表,""空字符串,表示核心API群
resources: ["pods"] # 支持的资源对象列表
verbs: ["get","list"]
---
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
name: role-binding-test
namespace: test # 通过指定namespace方式来限制这个帐号只能操作这个test命名空间内的资源
subjects:
- kind: User
name: user-test # 我们在k8s新建的帐号名
apiGroup: rbac.authorization.k8s.io
roleRef:
kind: Role
name: role-test
apiGroup: rbac.authorization.k8s.io
[root@k8s-master pki]# kubectl apply -f role-test.yaml
role.rbac.authorization.k8s.io/role-test created
rolebinding.rbac.authorization.k8s.io/role-binding-test created
[root@k8s-master pki]# kubectl config use-context user-test@kubernetes
Switched to context "user-test@kubernetes".
[root@k8s-master pki]# kubectl get pod -n test
NAME READY STATUS RESTARTS AGE
pod-configmap 1/1 Running 1 21h
pod-secret 1/1 Running 1 16h
[root@k8s-master pki]# kubectl get pod -n kube-system
Error from server (Forbidden): pods is forbidden: User "user-test" cannot list resource "pods" in API group "" in the namespace "kube-system"
[root@k8s-master pki]# kubectl config use-context kubernetes-admin@kubernetes
Switched to context "kubernetes-admin@kubernetes".
AlwaysAdmit:允许所有请求。
AlwaysDeny:禁止所有请求,一般用于测试。
AlwaysPullImages:在启动容器之前总去下载镜像。
DenyExecOnPrivileged:它会拦截所有想在Privileged Container上执行命令的请求。
ImagePolicyWebhook:这个插件将允许后端的一个Webhook程序来完成admission controller的功能。
Service Account:实现ServiceAccount实现了自动化。
SecurityContextDeny:这个插件将使用SecurityContext的Pod中的定义全部失效。
ResourceQuota:用于资源配额管理目的,观察所有请求,确保在namespace上的配额不会超标。
LimitRanger:用于资源限制管理,作用于namespace上,确保对Pod进行资源限制。
InitialResources:为未设置资源请求与限制的Pod,根据其镜像的历史资源的使用情况进行设置。
NamespaceLifecycle:如果尝试在一个不存在的namespace中创建资源对象,则该创建请求将被拒 绝。当删除一个namespace时,系统将会删除该namespace中所有对象。
DefaultStorageClass:为了实现共享存储的动态供应,为未指定StorageClass或PV的PVC尝试匹配默认StorageClass,尽可能减少用户在申请PVC时所需了解的后端存储细节。
DefaultTolerationSeconds:这个插件为那些没有设置forgiveness tolerations并具有notready:NoExecute和unreachable:NoExecute两种taints的Pod设置默认的“容忍”时间,为5min。
PodSecurityPolicy:这个插件用于在创建或修改Pod时决定是否根据Pod的security context和可用的 PodSecurityPolicy对Pod的安全策略进行控制
❤️本章结束,我们下一章见❤️