探索云原生技术之容器编排引擎-Kubernetes/K8S详解(9)

❤️作者简介:2022新星计划第三季云原生与云计算赛道Top5、华为云享专家、云原生领域潜力新星

博客首页:C站个人主页

作者目的:如有错误请指正,将来会不断的完善笔记,帮助更多的Java爱好者入门,共同进步!

文章目录

    • 基本理论介绍
      • 什么是云原生
      • 什么是kubernetes
      • kubernetes核心功能
      • k8s的安全认证
        • 访问控制概述
          • 概述
          • 客户端
          • 认证、授权和准入控制
        • 认证管理
          • kubernetes的客户端身份认证方式
          • HTTPS证书认证过程
        • 授权管理
          • 概述
          • API Server目前支持的几种授权策略
          • RBAC
            • 概述
            • Role和ClusterRole(角色/权限)
            • RoleBinding和ClusterRoleBinding(角色绑定)
          • RBAC实战(重点⭐)
            • 创建kubernetes账号
            • 创建Role和RoleBinding,为user-test授权
            • 切换到新账户进行验证
        • 准入控制
          • 当前可配置的Admission Control(准入控制)

基本理论介绍

什么是云原生

Pivotal公司的Matt Stine于2013年首次提出云原生(Cloud-Native)的概念;2015年,云原生刚推广时,Matt Stine在《迁移到云原生架构》一书中定义了符合云原生架构的几个特征:12因素、微服务、自敏捷架构、基于API协作、扛脆弱性;到了2017年,Matt Stine在接受InfoQ采访时又改了口风,将云原生架构归纳为模块化、可观察、可部署、可测试、可替换、可处理6特质;而Pivotal最新官网对云原生概括为4个要点:DevOps+持续交付+微服务+容器

总而言之,符合云原生架构的应用程序应该是:采用开源堆栈(K8S+Docker)进行容器化,基于微服务架构提高灵活性和可维护性,借助敏捷方法、DevOps支持持续迭代和运维自动化,利用云平台设施实现弹性伸缩、动态调度、优化资源利用率。

此处摘选自《知乎-华为云官方帐号》

在这里插入图片描述

什么是kubernetes

kubernetes,简称K8s,是用8代替8个字符"ubernete"而成的缩写。是一个开源的,用于管理云平台中多个主机上的容器化的应用,Kubernetes的目标是让部署容器化的应用简单并且高效,Kubernetes提供了应用部署,规划,更新,维护的一种机制

传统的应用部署方式:是通过插件或脚本来安装应用。这样做的缺点是应用的运行、配置、管理、所有生存周期将与当前操作系统绑定,这样做并不利于应用的升级更新/回滚等操作,当然也可以通过创建虚拟机的方式来实现某些功能,但是虚拟机非常重,并不利于可移植性。

新的部署方式:是通过部署容器方式实现,每个容器之间互相隔离,每个容器有自己的文件系统 ,容器之间进程不会相互影响,能区分计算资源。相对于虚拟机,容器能快速部署,由于容器与底层设施、机器文件系统解耦的,所以它能在不同云、不同版本操作系统间进行迁移。

容器占用资源少、部署快,每个应用可以被打包成一个容器镜像,每个应用与容器间成一对一关系也使容器有更大优势,使用容器可以在build或release 的阶段,为应用创建容器镜像,因为每个应用不需要与其余的应用堆栈组合,也不依赖于生产环境基础结构,这使得从研发到测试、生产能提供一致环境。类似地,容器比虚拟机轻量、更"透明",这更便于监控和管理。

Kubernetes是Google开源的一个容器编排引擎,它支持自动化部署、大规模可伸缩、应用容器化管理。在生产环境中部署一个应用程序时,通常要部署该应用的多个实例以便对应用请求进行负载均衡。

在Kubernetes中,我们可以创建多个容器,每个容器里面运行一个应用实例,然后通过内置的负载均衡策略,实现对这一组应用实例的管理、发现、访问,而这些细节都不需要运维人员去进行复杂的手工配置和处理。

此处摘选自《百度百科》

kubernetes核心功能

  • 存储系统挂载(数据卷):pod中容器之间共享数据,可以使用数据卷
  • 应用健康检测:容器内服务可能进程阻塞无法处理请求,可以设置监控检查策略保证应用健壮性
  • 应用实例的复制(实现pod的高可用):pod控制器(deployment)维护着pod副本数量(可以自己进行设置,默认为1),保证一个pod或一组同类的pod数量始终可用,如果pod控制器deployment当前维护的pod数量少于deployment设置的pod数量,则会自动生成一个新的pod,以便数量符合pod控制器,形成高可用。
  • Pod的弹性伸缩:根据设定的指标(比如:cpu利用率)自动缩放pod副本数
  • 服务发现:使用环境变量或者DNS插件保证容器中程序发现pod入口访问地址
  • 负载均衡:一组pod副本分配一个私有的集群IP地址,负载均衡转发请求到后端容器。在集群内部其他pod可通过这个clusterIP访问应用
  • 滚动更新:更新服务不会发生中断,一次更新一个pod,而不是同时删除整个服务。
  • 容器编排:通过文件来部署服务,使得应用程序部署变得更高效
  • 资源监控:node节点组件集成cAdvisor资源收集工具,可通过Heapster汇总整个集群节点资源数据,然后存储到InfluxDb时序数据库,再由Grafana展示。
  • 提供认证和授权:支持角色访问控制(RBAC)认证授权等策略

k8s的安全认证

访问控制概述
概述
  • kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。所谓的安全性其实就是保证对kubernetes的各种客户端进行认证和授权操作。
客户端
  • 在kubernetes集群中,客户端通常由两类:

  • ① User Account:一般是独立于kubernetes之外的其他服务管理的用户账号。

  • ② Service Account:kubernetes管理的账号,用于为Pod的服务进程在访问kubernetes时提供身份标识

认证、授权和准入控制
  • API Server是访问和管理资源对象的唯一入口。任何一个请求访问API Server,都要经过下面的三个流程:

  • ① Authentication(认证):身份鉴别,只有正确的账号才能通过认证。

  • ② Authorization(授权):判断用户是否有权限对访问的资源执行特定的动作。

  • ③ Admission Control(注入控制):用于补充授权机制以实现更加精细的访问控制功能。

认证管理
kubernetes的客户端身份认证方式
  • kubernetes集群安全的关键点在于如何识别并认证客户端身份,它提供了3种客户端身份认证方式:(任选一种即可)

  • 1:HTTP Base认证:

  • 通过用户名+密码的方式进行认证。

  • 这种方式是把“用户名:密码”用BASE64算法进行编码后的字符串放在HTTP请求中的Header的Authorization域里面发送给服务端。服务端收到后进行解码,获取用户名和密码,然后进行用户身份认证的过程。

  • 2:HTTP Token认证:

  • 通过一个Token来识别合法用户。

  • 这种认证方式是用一个很长的难以被模仿的字符串–Token来表明客户端身份的一种方式。每个Token对应一个用户名,当客户端发起API调用请求的时候,需要在HTTP的Header中放入Token,API Server接受到Token后会和服务器中保存的Token进行比对,然后进行用户身份认证的过程。

  • 3: HTTPS证书认证:(安全性最高的方式,也是最推荐的方式)

  • 基于CA根证书签名的双向数字证书认证方式。

  • 这种认证方式是安全性最高的一种方式,但是同时也是操作起来最麻烦的一种方式。

HTTPS证书认证过程
  • 1:证书申请和下发:HTTPS通信双方的服务器向CA机构申请证书,CA机构发根证书、服务端证书及私钥给申请者。

  • 2:客户端和服务器的双向认证:

  • 客户端向服务端发起请求,服务端下发自己的证书给客户端。客户端收到证书后,通过私钥解密证书,在证书中获取服务端的私钥。客户端利用服务器端的公钥认证证书中的信息,如果一致,则认可这个服务器。

  • 客户端发送自己的证书给服务器端,服务端接收到证书后,通过私钥解密证书。在证书中获取客户端的公钥,并用该公钥认证证书信息,确认客户端是否合法。

  • ③ 服务器端和客户端进行通信。

  • 服务器端和客户端协商好加密方案后,客户端会产生一个随机的私钥并加密,然后发送到服务器端。

  • 服务器端接收到这个私钥后,双方接下来通信的所有内容都通过该随机私钥加密。

授权管理
概述
  • 授权发生在认证成功之后,通过认证就可以知道请求用户是谁,然后kubernetes会根据事先定义的授权策略来决定用户是否有权限访问,这个过程就称为授权。

  • 每个发送到API Server的请求都带上了用户和资源的信息:比如发送请求的用户、请求的路径、请求的动作等,授权就是根据这些信息和授权策略进行比较,如果符合策略,则认为授权通过,否则会返回错误。

API Server目前支持的几种授权策略
  • AlwaysDeny:表示拒绝所有请求,一般用于测试。

  • AlwaysAllow:允许接收所有的请求,相当于集群不需要授权流程(kubernetes默认的策略)。

  • ABAC:基于属性的访问控制,表示使用用户配置的授权规则对用户请求进行匹配和控制。

  • Webhook:通过调用外部REST服务对用户进行授权。

  • Node:是一种专用模式,用于对kubelet发出的请求进行访问控制。

  • RBAC:基于角色的访问控制(kubeadm安装方式下的默认选项)。

RBAC
概述
  • RBAC(Role Based Access Control):基于角色的访问控制,主要是在描述一件事情:给哪些对象授权了哪些权限。

  • RBAC涉及到了下面几个概念:

  • 对象:User、Groups、ServiceAccount。

  • 角色:代表着一组定义在资源上的可操作的动作(权限)的集合。

  • 绑定:将定义好的角色和用户绑定在一起。

  • RBAC还引入了4个顶级资源对象:

  • Role、ClusterRole:角色,用于指定一组权限。

  • RoleBinding、ClusterRoleBinding:角色绑定,用于将角色(权限的集合)赋予给对象。

Role和ClusterRole(角色/权限)
  • 角色:一个角色就是一组权限的集合,这里的权限都是许可形式的(白名单)。

  • Role的资源清单(Role只能对命名空间内的资源进行授权,需要指定namespace

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: authorization-role
  namespace: test #要指定namespace
rules:
  - apiGroups: [""] # 支持的API组列表,""空字符串,表示核心API群
    resources: ["pods"] # 支持的资源对象列表
    verbs: ["get","list"] #支持的操作方法
  • ClusterRole的资源清单(ClusterRole可以对集群范围内的资源、跨namespace的范围资源、非资源类型进行授权,所以不用指定其namespace
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: authorization-clusterrole
rules:
  - apiGroups: [""] # 支持的API组列表,""空字符串,表示核心API群
    resources: ["pods"] # 支持的资源对象列表
    verbs: ["get","list"] #支持的操作方法

rules中的参数说明:

  • apiGroups:

  • 支持的API组列表。

  • “”,”apps”,”autoscaling”,”batch”。

  • resources:

  • 支持的资源对象列表。

  • -“services”,“endpoints”,“pods”,“secrets”,“configmaps”,“crontabs”,“deployments”,“jobs”,“nodes”,“rolebindings”,“clusterroles”,“daemonsets”,“replicasets”,“statefulsets”,“horizontalpodautoscalers”,“replicationcontrollers”,“cronjobs”。

  • verbs:

  • 对资源对象的操作方法列表。

  • “get”, “list”, “watch”, “create”, “update”, “patch”, “delete”, “exec”。

RoleBinding和ClusterRoleBinding(角色绑定)
  • 角色绑定:角色绑定是用来把一个角色绑定到一个目标对象上,绑定目标可以是User、Group或者ServiceAccount。

  • RoleBinding的资源清单:(RoleBinding可以将同一namespace中的subject对象绑定到某个Role下,则此Subject具有该Role定义的权限)

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: authorization-role-binding
  namespace: test
subjects:
  - kind: User
    name: myname
    apiGroup: rbac.authorization.k8s.io  
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: Role
  name: authorization-role
  • ClusterRoleBinding的资源清单:(ClusterRoleBinding在整个集群级别和所有namespaces将特定的subject与ClusterRole绑定,授予权限,其不用指定namespace
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: authorization-clusterrole-binding
subjects:
  - kind: User
    name: myname
    apiGroup: rbac.authorization.k8s.io
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: authorization-clusterrole
RBAC实战(重点⭐)

案例:创建一个只能管理test命名空间下Pods资源的kubernetes账号(帐号名为:user-test)。

创建kubernetes账号
  • 注意:如果账户名你想自定义成自己想要的,那就把所有user-test替换成你的帐号新名称。

  • 1:创建证书:

cd /etc/kubernetes/pki/
(umask 077;openssl genrsa -out user-test.key 2048)
  • 用API Server的证书去签署证书:

  • 签名申请:申请的用户是user-test,组是testgroup

  • [root@k8s-master pki]# openssl req -new -key user-test.key -out user-test.csr -subj "/CN=user-test/O=testgroup"
    
  • 签署证书:

  • [root@k8s-master pki]# openssl x509 -req -in user-test.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out user-test.crt -days 3650
    Signature ok
    subject=/CN=user-test/O=testgroup
    Getting CA Private Key
    
  • 设置集群、用户、上下文信息:(注意:–server的ip地址要改成你的)

  • [root@k8s-master pki]# kubectl config set-cluster kubernetes --embed-certs=true --certificate-authority=/etc/kubernetes/pki/ca.crt --server=https://192.168.184.100:6443
    Cluster "kubernetes" set.
    
  • [root@k8s-master pki]# kubectl config set-credentials user-test --embed-certs=true --client-certificate=/etc/kubernetes/pki/user-test.crt --client-key=/etc/kubernetes/pki/user-test.key
    User "user-test" set.
    
  • [root@k8s-master pki]# kubectl config set-context user-test@kubernetes --cluster=kubernetes --user=user-test
    Context "user-test@kubernetes" created.
    
  • 切换账号到user-test:

  • [root@k8s-master pki]# kubectl config use-context user-test@kubernetes
    Switched to context "user-test@kubernetes".
    
  • 查看namespace为test下的Pod,发现没有权限:

  • [root@k8s-master pki]# kubectl get pods -n test
    Error from server (Forbidden): pods is forbidden: User "user-test" cannot list resource "pods" in API group "" in the namespace "test"
    
  • 切换到admin账户:

  • [root@k8s-master pki]# kubectl config use-context kubernetes-admin@kubernetes
    Switched to context "kubernetes-admin@kubernetes".
    
创建Role和RoleBinding,为user-test授权
  • 1:编写配置文件:
vim role-test.yaml
  • 内容如下:
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: role-test
  namespace: test # 通过指定namespace方式来限制这个帐号只能操作这个test命名空间内的资源
rules:
  - apiGroups: [""] # 支持的API组列表,""空字符串,表示核心API群
    resources: ["pods"] # 支持的资源对象列表
    verbs: ["get","list"]

---

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: role-binding-test
  namespace: test # 通过指定namespace方式来限制这个帐号只能操作这个test命名空间内的资源
subjects:
  - kind: User
    name: user-test # 我们在k8s新建的帐号名
    apiGroup: rbac.authorization.k8s.io 
roleRef:
  kind: Role 
  name: role-test
  apiGroup: rbac.authorization.k8s.io
  • 2:执行配置文件:
[root@k8s-master pki]# kubectl apply -f role-test.yaml
role.rbac.authorization.k8s.io/role-test created
rolebinding.rbac.authorization.k8s.io/role-binding-test created
切换到新账户进行验证
  • 1:切换账户到user-test:
[root@k8s-master pki]# kubectl config use-context user-test@kubernetes
Switched to context "user-test@kubernetes".
  • 2:使用这个新帐号user-test查看namespace为test下的Pod,看看是否成功:(说明权限分配成功了)
[root@k8s-master pki]# kubectl get pod -n test
NAME            READY   STATUS    RESTARTS   AGE
pod-configmap   1/1     Running   1          21h
pod-secret      1/1     Running   1          16h
  • 3:因为我们的帐号只能查看test命名空间下的Pod,我们现在查看其它资源:
[root@k8s-master pki]# kubectl get pod -n kube-system
Error from server (Forbidden): pods is forbidden: User "user-test" cannot list resource "pods" in API group "" in the namespace "kube-system"
  • 4:切换到admin账户:
[root@k8s-master pki]# kubectl config use-context kubernetes-admin@kubernetes
Switched to context "kubernetes-admin@kubernetes".
准入控制
当前可配置的Admission Control(准入控制)
  • AlwaysAdmit:允许所有请求。

  • AlwaysDeny:禁止所有请求,一般用于测试。

  • AlwaysPullImages:在启动容器之前总去下载镜像。

  • DenyExecOnPrivileged:它会拦截所有想在Privileged Container上执行命令的请求。

  • ImagePolicyWebhook:这个插件将允许后端的一个Webhook程序来完成admission controller的功能。

  • Service Account:实现ServiceAccount实现了自动化。

  • SecurityContextDeny:这个插件将使用SecurityContext的Pod中的定义全部失效。

  • ResourceQuota:用于资源配额管理目的,观察所有请求,确保在namespace上的配额不会超标。

  • LimitRanger:用于资源限制管理,作用于namespace上,确保对Pod进行资源限制。

  • InitialResources:为未设置资源请求与限制的Pod,根据其镜像的历史资源的使用情况进行设置。

  • NamespaceLifecycle:如果尝试在一个不存在的namespace中创建资源对象,则该创建请求将被拒 绝。当删除一个namespace时,系统将会删除该namespace中所有对象。

  • DefaultStorageClass:为了实现共享存储的动态供应,为未指定StorageClass或PV的PVC尝试匹配默认StorageClass,尽可能减少用户在申请PVC时所需了解的后端存储细节。

  • DefaultTolerationSeconds:这个插件为那些没有设置forgiveness tolerations并具有notready:NoExecute和unreachable:NoExecute两种taints的Pod设置默认的“容忍”时间,为5min。

  • PodSecurityPolicy:这个插件用于在创建或修改Pod时决定是否根据Pod的security context和可用的 PodSecurityPolicy对Pod的安全策略进行控制

❤️本章结束,我们下一章见❤️

你可能感兴趣的:(Java成神之路,kubernetes,探索云原生,kubernetes,云原生,容器,docker,linux)