温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
获取短信验证码
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》
登 录 注册有礼
云服务器 香港服务器 高防服务器
最新更新 网站标签 地图导航
产品

如何配置Kubernetes集群安全

发布时间:2021-12-07 14:33:11 来源:亿速云 阅读:139 作者:小新 栏目:云计算

这篇文章将为大家详细讲解有关如何配置Kubernetes集群安全,小编觉得挺实用的,因此分享给大家做个参考,希望大家阅读完这篇文章后可以有所收获。

这两天在梳理Kubernetes集群的安全配置,涉及到各个组件的配置,最终决定画一个图来展现,应该会更清晰。

如何配置Kubernetes集群安全

涉及以下配置:

  1. 其他各个组件作为client,访问kube-apiserver时,各个组件的配置,参考图中黑色线条对应的配置:

    - **kube-apiserver**

    ```


    --secure-port=443 --client_ca_file=/var/run/kubernetes/dd_ca.crt --tls-private-key-file=/var/run/kubernetes/dd_server.key ```

    • kube-controller-manager

        ```
  --kubeconfig=/etc/kubernetes/cmkubeconfig

  apiVersion: v1
  kind: Config
  users
  - name: controllermanager
    user:
      client-certificate: /var/run/kubernetes/dd_cs_client.crt
      client-key: /var/run/kubernetes/dd_cs_client.key
  clusters:
  - name: local
    cluster:
      certificate-authority: /var/run/kubernetes/dd_ca.crt
  contexts:
  - context:
      cluster: local
      user: controllermanager
    name: my-context
  current-context: my-context
  ```


    • kube-scheduler kube-scheduler访问apiserver的安全配置同kube-controller-manager。

    • kubelet

      	--kubeconfig=/var/lib/kubelet/kubeconfig

	apiVersion: v1
	kind: Config
	users:
	- name: kubelet
	  user:
	    client-certificats: /home/dd_kubelet_client.crt
	    client-key: /home/dd_kubelet_client.key
	clusters:
	- name: local
	  cluster:
	    certificate-authority: /home/dd_ca.crt
	contexts:
	- context:
	    cluster: local
	    user: kubelet
	  name: my-context
	current-context: my-context


    • kube-proxy

      	--kubeconfig=/var/lib/kubeproxy/proxykubeconfig 

	apiVersion: v1
	kind: Config
	users:
	- name: kubeproxy
	  user:
	    client-certificate: /home/dd_kubelet_client.crt
	    client-key: /home/dd_kubelet_client.key
	clusters:
	- name: local
	  cluster:
	    certificate-authority: /home/dd_ca.crt
	contexts:
	- context:
	    cluster: local
	    user: kubeproxy
	  name: my-context
	current-context: my-context


  2. kube-apiserver作为client,访问kubelet server时的配置,参考图中绿色线条对应的配置:

    • kube-apiserver

      --kubelet-https
--kubelet-certificate-authority=/var/run/kubelet/kubelet-ca.crt  
--kubelet-client-certificate=/var/run/kubelet/apiserver-kubelet.crt
--kubelet-client-key=/var/run/kubelet/apiserver-kubelet.key


    • kubelet

      --client-ca-file=/var/run/kubelet/kubelet_ca.crt
--tls-private-key-file=/var/run/kubelet/server.key
--tls-cert-file string=/var/run/kubelet/server.crt


  3. Pod访问kube-apiserver,是通过ServiceAccount来提供Token的, 涉及的配置见粉红色线条对应的内容。

    每个namespace都有一个default ServiceAccount。如果Pod.Spec.serivceAccountName未设置,这默认用default ServiceAccount。上图中的配置中,给Pod指明了一个自定义的Pod.Spec.serivceAccountName:build-rebot automountServiceAccountToken: true表示自动将该ServiceAccount中的Secret定义的token,ca.crt,namespace挂载到Pod每个container内的以下对应目录:

    ServiceAccount Admission Make Sure Secret Volume Mounted:


    • Pod.Spec

/var/run/secrets/kubernetes.io/serviceaccount/token /var/run/secrets/kubernetes.io/serviceaccount/ca.crt /var/run/secrets/kubernetes.io/serviceaccount/namespace ```

- **kube-controller-manager**

    ```
    --root-ca-file=/var/run/kubernetes/dd_ca.crt 
    --service-account-private-key-file=/var/run/kubernetes/dd_server.key
    ```

这样Pod内的应用就能通过以下两种方式访问apiserver了:

- 添加kubectl proxy container,示例见[kubectl-container](https://github.com/kubernetes/kubernetes/tree/master/examples/kubectl-container/)

- use the Go client library, and create a client using the rest.InClusterConfig() and kubernetes.NewForConfig() functions. They handle locating and authenticating to the apiserver. [example](https://github.com/kubernetes/client-go/blob/master/examples/in-cluster/main.go)

4. kube-apiserver作为client,通过TLS访问etcd对应的配置见图中蓝色线条对应的内容。

- **kube-apiserver**

    ```
    --kubelet-https
    --kubelet-certificate-authority=/var/run/kubelet/etcd-ca.crt  
    --kubelet-client-certificate=/var/run/kubelet/etcd-kubelet.crt
    --kubelet-client-key=/var/run/kubelet/etcd-kubelet.key
    ```
- **etcd**

    ```
    --client-cert-auth 
    --trusted-ca-file=/etc/ssl/etcd/etcd-ca.crt 
    --cert-file=/etc/ssl/etcd/server.crt 
    --key-file=/etc/ssl/etcd/server.key
    ```

  1. apiserver的Authentication Config:

    其中token-auth-file对应文件内容格式为:

     ```
 token1,user1,uid1,”group1,group2,group3"
 token2,user2,uid2,”group1,group2"
 ```


    basic-auth-file对应文件内容格式为:

     ```
 password1,user1,uid1,”group1,group2,group3"
 password2,user2,uid2,”group1,group2,group3"
 ```


    • kube-apiserver 以下三个flag,分别表示enable apiserver的x509 client certs, static token, static password三种认证方式。

      --client-ca-file=/var/run/kubernetes/dd_ca.crt    
--token-auth-file=SOMEFILE  
--basic-auth-file=SOMEFILE


  2. apiserver的Authorization Config:

    • kube-apiserver 当前我们的环境中,使用默认值AlwaysAllow,如果有需要,后续会考虑enable RBAC

      --authorization-mode=AlwaysAllow


  3. apiserver的Admission Control Config:

    • kube-apiserver 使用官方推荐的,v1.6+之后的配置为:

      --admission-control=NamespaceLifecycle,
LimitRanger,
ServiceAccount,
PersistentVolumeLabel,
DefaultStorageClass,
ResourceQuota,
DefaultTolerationSeconds


关于“如何配置Kubernetes集群安全”这篇文章就分享到这里了,希望以上内容可以对大家有一定的帮助,使各位可以学到更多知识,如果觉得文章不错,请把它分享出去让更多的人看到。

向AI问一下细节
推荐阅读:
  1. 如何通过kubeadm安装工具配置kubernetes集群
  2. kubernetes如何对多租户集群进行安全隔离

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

kubernetes

猜你喜欢

最新资讯
相关推荐

相关标签

kubernetes1.14 kubernetes数据持久化 kubernetes集群 kubernetes-dashboar phpinfo() 计算机管理 navica 10061错误 2005错误 sqlserver2005 idl vside dateadd vista mobi 2013错误 1862错误 swagger-ui laravel5.5 heredoc
AI

产品服务
地区划分
专题活动
帮助支持
关于我们
售后咨询
7*24小时在线电话:400-100-2938
7*24小时在线 QQ:800811969
关注亿速云

亿速云公众号

手机网站二维码

Copyright © Yisu Cloud Ltd. All Rights Reserved. 2018 版权所有

广州亿速云计算有限公司粤ICP备17096448号-1 粤公网安备 44010402001142号增值电信业务经营许可证编号:B1-20181529