机制阐明
Kubernetes作为一个分布式集群的管理工具,保障集群的安全性是其一个重要的工作。API Server是集群外部各个组件通信的中介,也是内部管制的入口。所以Kubernetes的平安机制根本就是围绕爱护API Server来设计的。Kubernetes应用了认证(Authentication)、鉴权(Authorization)、准入管制(AdmissionControl)三步来保障API Server的平安
Authentication
HTTP Token认证:通过一个Token来辨认非法用户
- HTTP Token的认证是用一个很长的非凡编码方式的并且难以被模拟的字符串- Token来表白客户的一种形式。Token是一个很长的很简单的字符串,每一个Token对应一个用户名存储在API Server能拜访的文件中。当客户端发动API调用申请时,须要在HTTP Header里放入Token
HTTP Base认证:通过用户名+明码的形式认证
- 用户名+:+明码用BASE64算法进行编码后的字符串放在HTTP Request中的HeatherAuthorization域里发送给服务端,服务端收到后进行编码,获取用户名及明码
- 最严格的HTTPS证书认证:基于CA根证书签名的客户端身份认证形式
Ⅰ、HTTPS证书认证:
Ⅱ、须要认证的节点
两种类型
- Kubenetes组件对API Server的拜访:kubectl、Controller Manager、Scheduler、kubelet、kube-proxy
- Kubernetes治理的Pod对容器的拜访:Pod(dashborad也是以Pod模式运行)
安全性阐明
- Controller Manager、Scheduler与API Server在同一台机器,所以间接应用API Server的非平安端口拜访,--insecure-bind-address=127.0.0.1
- kubectl、kubelet、kube-proxy拜访API Server就都须要证书进行HTTPS双向认证
证书颁发
- 手动签发:通过k8s集群的跟ca进行签发HTTPS证书
- 主动签发:kubelet首次拜访API Server时,应用token做认证,通过后,Controller Manager会为kubelet生成一个证书,当前的拜访都是用证书做认证了
Ⅲ、kubeconfig
kubeconfig文件蕴含集群参数(CA证书、API Server地址),客户端参数(下面生成的证书和私钥),集群context信息(集群名称、用户名)。Kubenetes组件通过启动时指定不同的kubeconfig文件能够切换到不同的集群
Ⅳ、ServiceAccount
Pod中的容器拜访API Server。因为Pod的创立、销毁是动静的,所以要为它手动生成证书就不可行了。Kubenetes应用了Service Account解决Pod拜访API Server的认证问题
Ⅴ、Secret与SA的关系
Kubernetes设计了一种资源对象叫做Secret,分为两类,一种是用于ServiceAccount的service-accounttoken,另一种是用于保留用户自定义窃密信息的Opaque。ServiceAccount中用到蕴含三个局部:Token、ca.crt、namespace
- token是应用API Server私钥签名的JWT。用于拜访API Server时,Server端认证
- ca.crt,根证书。用于Client端验证API Server发送的证书
- namespace,标识这个service-account-token的作用域名空间
kubectl get secret --all-namespaces kubectl describe secret default-token-5gm9r --namespace=kube-system默认状况下,每个namespace都会有一个ServiceAccount,如果Pod在创立时没有指定ServiceAccount,就会应用Pod所属的namespace的ServiceAccount