文档章节

Kubernetes集群安全配置

WaltonWang
 WaltonWang
发布于 2017/06/07 23:27
字数 808
阅读 155
收藏 2
点赞 0
评论 0

更多关于kubernetes的深入文章,请看我csdn或者oschina的博客主页。

这两天在梳理Kubernetes集群的安全配置,涉及到各个组件的配置,最终决定画一个图来展现,应该会更清晰。

这里写图片描述

涉及以下配置:

  1. 其他各个组件作为client,访问kube-apiserver时,各个组件的配置,参考图中黑色线条对应的配置:

    - **kube-apiserver**
    
        ```	
    

    --secure-port=443 --client_ca_file=/var/run/kubernetes/dd_ca.crt --tls-private-key-file=/var/run/kubernetes/dd_server.key ```

    • kube-controller-manager

        ```
        --kubeconfig=/etc/kubernetes/cmkubeconfig
      
        apiVersion: v1
        kind: Config
        users
        - name: controllermanager
          user:
            client-certificate: /var/run/kubernetes/dd_cs_client.crt
            client-key: /var/run/kubernetes/dd_cs_client.key
        clusters:
        - name: local
          cluster:
            certificate-authority: /var/run/kubernetes/dd_ca.crt
        contexts:
        - context:
            cluster: local
            user: controllermanager
          name: my-context
        current-context: my-context
        ```
      
    • kube-scheduler kube-scheduler访问apiserver的安全配置同kube-controller-manager。

    • kubelet

      	--kubeconfig=/var/lib/kubelet/kubeconfig
      
      	apiVersion: v1
      	kind: Config
      	users:
      	- name: kubelet
      	  user:
      	    client-certificats: /home/dd_kubelet_client.crt
      	    client-key: /home/dd_kubelet_client.key
      	clusters:
      	- name: local
      	  cluster:
      	    certificate-authority: /home/dd_ca.crt
      	contexts:
      	- context:
      	    cluster: local
      	    user: kubelet
      	  name: my-context
      	current-context: my-context
      
      
    • kube-proxy

      	--kubeconfig=/var/lib/kubeproxy/proxykubeconfig 
      
      	apiVersion: v1
      	kind: Config
      	users:
      	- name: kubeproxy
      	  user:
      	    client-certificate: /home/dd_kubelet_client.crt
      	    client-key: /home/dd_kubelet_client.key
      	clusters:
      	- name: local
      	  cluster:
      	    certificate-authority: /home/dd_ca.crt
      	contexts:
      	- context:
      	    cluster: local
      	    user: kubeproxy
      	  name: my-context
      	current-context: my-context
      
  2. kube-apiserver作为client,访问kubelet server时的配置,参考图中绿色线条对应的配置:

    • kube-apiserver

      --kubelet-https
      --kubelet-certificate-authority=/var/run/kubelet/kubelet-ca.crt  
      --kubelet-client-certificate=/var/run/kubelet/apiserver-kubelet.crt
      --kubelet-client-key=/var/run/kubelet/apiserver-kubelet.key
      
    • kubelet

      --client-ca-file=/var/run/kubelet/kubelet_ca.crt
      --tls-private-key-file=/var/run/kubelet/server.key
      --tls-cert-file string=/var/run/kubelet/server.crt
      
  3. Pod访问kube-apiserver,是通过ServiceAccount来提供Token的, 涉及的配置见粉红色线条对应的内容。

    • Pod.Spec

    每个namespace都有一个default ServiceAccount。如果Pod.Spec.serivceAccountName未设置,这默认用default ServiceAccount。上图中的配置中,给Pod指明了一个自定义的Pod.Spec.serivceAccountName:build-rebotautomountServiceAccountToken: true表示自动将该ServiceAccount中的Secret定义的token,ca.crt,namespace挂载到Pod每个container内的以下对应目录:

    ServiceAccount Admission Make Sure Secret Volume Mounted:
    

/var/run/secrets/kubernetes.io/serviceaccount/token /var/run/secrets/kubernetes.io/serviceaccount/ca.crt /var/run/secrets/kubernetes.io/serviceaccount/namespace ```

- **kube-controller-manager**

    ```
    --root-ca-file=/var/run/kubernetes/dd_ca.crt 
    --service-account-private-key-file=/var/run/kubernetes/dd_server.key
    ```

这样Pod内的应用就能通过以下两种方式访问apiserver了:

- 添加kubectl proxy container,示例见[kubectl-container](https://github.com/kubernetes/kubernetes/tree/master/examples/kubectl-container/)

- use the Go client library, and create a client using the rest.InClusterConfig() and kubernetes.NewForConfig() functions. They handle locating and authenticating to the apiserver. [example](https://github.com/kubernetes/client-go/blob/master/examples/in-cluster/main.go)

4. kube-apiserver作为client,通过TLS访问etcd对应的配置见图中蓝色线条对应的内容。

- **kube-apiserver**

    ```
    --kubelet-https
    --kubelet-certificate-authority=/var/run/kubelet/etcd-ca.crt  
    --kubelet-client-certificate=/var/run/kubelet/etcd-kubelet.crt
    --kubelet-client-key=/var/run/kubelet/etcd-kubelet.key
    ```
- **etcd**

    ```
    --client-cert-auth 
    --trusted-ca-file=/etc/ssl/etcd/etcd-ca.crt 
    --cert-file=/etc/ssl/etcd/server.crt 
    --key-file=/etc/ssl/etcd/server.key
    ```
  1. apiserver的Authentication Config:

    • kube-apiserver 以下三个flag,分别表示enable apiserver的x509 client certs, static token, static password三种认证方式。

      --client-ca-file=/var/run/kubernetes/dd_ca.crt    
      --token-auth-file=SOMEFILE  
      --basic-auth-file=SOMEFILE  
      

    其中token-auth-file对应文件内容格式为:

     ```
     token1,user1,uid1,”group1,group2,group3"
     token2,user2,uid2,”group1,group2"
     ```
    

    basic-auth-file对应文件内容格式为:

     ```
     password1,user1,uid1,”group1,group2,group3"
     password2,user2,uid2,”group1,group2,group3"
     ```
    
  2. apiserver的Authorization Config:

    • kube-apiserver 当前我们的环境中,使用默认值AlwaysAllow,如果有需要,后续会考虑enable RBAC

      --authorization-mode=AlwaysAllow
      
  3. apiserver的Admission Control Config:

    • kube-apiserver 使用官方推荐的,v1.6+之后的配置为:

      --admission-control=NamespaceLifecycle,
      LimitRanger,
      ServiceAccount,
      PersistentVolumeLabel,
      DefaultStorageClass,
      ResourceQuota,
      DefaultTolerationSeconds
      

更多关于kubernetes的深入文章,请看我csdn或者oschina的博客主页。

© 著作权归作者所有

共有 人打赏支持
WaltonWang
粉丝 159
博文 88
码字总数 182269
作品 0
深圳
程序员
Rancher 2.0 正式发布:加速企业 Kubernetes 落地

Rancher Labs 团队宣布 Rancher 2.0 已正式发布! Rancher 2.0 是一个 100% 开源的 Kubernetes 管理平台,为企业用户提供 Kubernetes-as-a-Service (Kubernetes即服务),并且 Rancher 2.0 能...

王练 ⋅ 05/03 ⋅ 13

【重磅】完美融合Kubernetes,Ghostcloud企业级容器云平台EcOS率先实现双容器调度

前言 给大家报道一个最新重磅消息:最新版Ghostcloud企业级容器云平台EcOS(Enterprise Container Operation System)已完美支持容器市场最主流的调度引擎Kubernetes,并于今日正式上线啦!内...

精灵云 ⋅ 2017/07/06 ⋅ 0

扎心!Kubernetes企业落地六大“难”

Kubernetes已经迅速成为企业从容器和云中获得最大收益的必备平台之一。然而,对于风险厌恶型的大规模企业而言,这种快速发展带来了重大挑战。 ZeroStack产品管理副总裁Kamesh Pemmaraju最近提...

K8S技术社区 ⋅ 03/01 ⋅ 0

Kubernetes Deployment 的安全最佳实践

今天的文章由来自 Aqua Security 的 Amir Jerbl 和 Micheal Chemy 撰写,在不同用户案例中搜集到的数据基础上,描述了 Kubernetes Deployment 的安全最佳实践。 Kubernetes 提供了很多配置来...

Caicloud ⋅ 2016/09/26 ⋅ 0

Kubernetes 部署的最佳安全实践

编者按:本文是由 Aqua Security 的Amir Jerbi 和Michael Cherny 所写,基于他们从本地和云端上收集到的实际数据,描述了Kubernetes 部署的最佳安全实践。 Kubernetes提供了许多可以极大地提...

时速云 ⋅ 2016/09/21 ⋅ 0

容器服务K8S vs 自建K8S 区别

吃力不讨好,自建 K8S 很辛苦 首先先分享自建 K8S 会遇到的几个痛苦场景: case 1:新版本很性感,升级 or 不升级,这是个问题 K8S 是很活跃开源项目,更新很快,每次新版本都有让人眼前一亮的...

木环 ⋅ 05/04 ⋅ 0

纯手工搭建kubernetes(k8s)1.9集群 - (三)认证授权和服务发现

1. 理解认证授权 1.1 为什么要认证 想理解认证,我们得从认证解决什么问题、防止什么问题的发生入手。 防止什么问题呢?是防止有人入侵你的集群,root你的机器后让我们集群依然安全吗?不是吧...

haoxifer ⋅ 04/10 ⋅ 0

Docker Swarm新版本发布对Kubernetes的意义

相比于普通的软件的开发速度,容器编排领域的发展速度相当惊人。基于容器的初创公司呈爆发式增长,这个领域的竞争也愈加激烈。这是一个好的开始,但是技术的选择却成为一个难题。在这样的情况...

Caicloud ⋅ 2016/07/18 ⋅ 0

Docker EE 2.0 版本尝鲜测评,带给您无与伦比的容器体验(一)

本文首发自“Docker公司”公众号(ID:docker-cn) 编译丨小东 每周一、三、五 与您不见不散! 我们很高兴地宣布,Docker Enterprise Edition 2.0 已经发布,这标志着 Docker 企业级容器平台...

docker公司 ⋅ 04/23 ⋅ 0

7个Kubernetes工具来帮你扩展容器体系结构

【编者的话】今天和大家一起来聊一聊Kubernetes的左膀右臂–7个Kubernetes工具,为你的容器体系打怪升级之路保驾护航。 最初由Google开发的容器编排工具Kubernetes已成为敏捷和DevOps团队的重...

langhailove_2008 ⋅ 03/16 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

005. 深入JVM学习—Java堆内存参数调整

1. JVM整体内存调整图解(调优关键) 实际上每一块子内存区域都会存在一部分可变伸缩区域,其基本流程:如果内存空间不足,则在可变的范围之内扩大内存空间,当一段时间之后,内存空间不紧张...

影狼 ⋅ 31分钟前 ⋅ 0

内存障碍: 软件黑客的硬件视图

此文为笔者近日有幸看到的一则关于计算机底层内存障碍的学术论文,并翻译(机译)而来[自认为翻译的还行],若读者想要英文原版的论文话,给我留言,我发给你。 内存障碍: 软件黑客的硬件视图...

Romane ⋅ 今天 ⋅ 0

SpringCloud 微服务 (七) 服务通信 Feign

壹 继续第(六)篇RestTemplate篇 做到现在,本机上已经有注册中心: eureka, 服务:client、order、product 继续在order中实现通信向product服务,使用Feign方式 下面记录学习和遇到的问题 贰 or...

___大侠 ⋅ 今天 ⋅ 0

gitee、github上issue标签方案

目录 [TOC] issue生命周期 st=>start: 开始e=>end: 结束op0=>operation: 新建issueop1=>operation: 评审issueop2=>operation: 任务负责人执行任务cond1=>condition: 是否通过?op3=>o......

lovewinner ⋅ 今天 ⋅ 0

浅谈mysql的索引设计原则以及常见索引的区别

索引定义:是一个单独的,存储在磁盘上的数据库结构,其包含着对数据表里所有记录的引用指针. 数据库索引的设计原则: 为了使索引的使用效率更高,在创建索引时,必须考虑在哪些字段上创建索...

屌丝男神 ⋅ 今天 ⋅ 0

String,StringBuilder,StringBuffer三者的区别

这三个类之间的区别主要是在两个方面,即运行速度和线程安全这两方面。 首先说运行速度,或者说是, 1.执行速度 在这方面运行速度快慢为:StringBuilder(线程不安全,可变) > StringBuffer...

时刻在奔跑 ⋅ 今天 ⋅ 0

java以太坊开发 - web3j使用钱包进行转账

首先载入钱包,然后利用账户凭证操作受控交易Transfer进行转账: Web3j web3 = Web3j.build(new HttpService()); // defaults to http://localhost:8545/Credentials credentials = Wallet......

以太坊教程 ⋅ 今天 ⋅ 0

Oracle全文检索配置与实践

Oracle全文检索配置与实践

微小宝 ⋅ 今天 ⋅ 0

mysql的分区和分表

1,什么是mysql分表,分区 什么是分表,从表面意思上看呢,就是把一张表分成N多个小表,具体请看mysql分表的3种方法 什么是分区,分区呢就是把一张表的数据分成N多个区块,这些区块可以在同一...

梦梦阁 ⋅ 今天 ⋅ 0

exception.ZuulException: Forwarding error

错误日志 com.netflix.zuul.exception.ZuulException: Forwarding error Caused by: com.netflix.hystrix.exception.HystrixRuntimeException: xxx timed-out and no fallback available. Ca......

jack_peng ⋅ 今天 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部