当前位置：首页 > news >正文

Kubernetes安全

news 2025/12/16 4:35:49

Kubernetes RBAC授权

Kubernetes 安全框架

K8S安全控制框架主要由下面3个阶段进行控制，每一个阶段都支持插件方式，通过API Server配置来启用插件。

1. Authentication（鉴权）

K8s Apiserver提供三种客户端身份认证：

• HTTPS 证书认证：基于CA证书签名的数字证书认证（kubeconfig）

• HTTP Token认证：通过一个Token来识别用户（serviceaccount）

• HTTP Base认证：用户名+密码的方式认证（1.19版本弃用）

2. Authorization（授权）

RBAC（Role-Based Access Control，基于角色的访问控制）：负责完成授权（Authorization）工作。

RBAC根据API请求属性，决定允许还是拒绝。

比较常见的授权维度

• user：用户名

• group：用户分组

• 资源，例如pod、 deployment

• 资源操作方法： get， list， create， update， patch， watch， delete

• 命名空间

• API组

3. Admission Control（准入控制）

Adminssion Control实际上是一个准入控制器插件列表，发送到API Server的请求都需要经过这个列表中的每个准入控

制器插件的检查，检查不通过，则拒绝请求。

启用一个准入控制器：

kube-apiserver --enable-admission-plugins=NamespaceLifecycle,LimitRanger ...

关闭一个准入控制器：

kube-apiserver --disable-admission-plugins=PodNodeSelector,AlwaysDeny ...

查看默认启用：

kubectl exec kube-apiserver-k8s-master -n kube-system -- kube-apiserver -h | grep enable-admission-plugins

基于角色的权限访问控制： RBAC

RBAC（Role-Based Access Control，基于角色的访问控制），是K8s默认授权策略，并且是动态配置策略（修改即时生效）。

主体（subject）

• User：用户

• Group：用户组

• ServiceAccount：服务账号

角色

• Role：授权特定命名空间的访问权限

• ClusterRole：授权所有命名空间的访问权限

角色绑定

• RoleBinding：将角色绑定到主体（即subject）

• ClusterRoleBinding：将集群角色绑定到主体

注： RoleBinding在指定命名空间中执行授权， ClusterRoleBinding在集群范围执行授权。

RBAC授权案例

为指定用户授权访问不同命名空间权限，例如新入职一个小弟，希望让他先熟悉K8s集群，为了安全性，先不能给他太大权限，因此先给他授权访问default命名空间Pod读取权限。

实施大致步骤：

1. 用K8S CA签发客户端证书

2. 生成kubeconfig授权文件

3. 创建RBAC权限策略

4. 指定kubeconfig文件测试权限： kubectl get pods --kubeconfig=./aliang.kubeconfig

为指定用户授权访问不同命名空间权限

生成kubeconfig授权文件：

# 设置集群

kubectl config set-cluster kubernetes \
--certificate-authority=/etc/kubernetes/pki/ca.crt \
--embed-certs=true \
--server=https://192.168.31.61:6443 \    #masterIP
--kubeconfig=aliang.kubeconfig

# 设置客户端认证

kubectl config set-credentials aliang \
--client-key=aliang-key.pem \
--client-certificate=aliang.pem \
--embed-certs=true \
--kubeconfig=aliang.kubeconfig

# 设置默认上下文

kubectl config set-context kubernetes \
--cluster=kubernetes \
--user=aliang \
--kubeconfig=aliang.kubeconfig

# 设置当前使用配置

kubectl config use-context kubernetes --kubeconfig=aliang.kubeconfig

创建角色（权限集合）：

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
namespace: default
name: pod-reader
rules:
- apiGroups: [“” ] # api组，例如apps组，空值表示是核心API组，像namespace、 pod、 service、 pv、 pvc都在里面
resources: [“pods” ] #资源名称（复数），例如pods、 deployments、 services
verbs: [“get” , “watch” , “list” ] # 资源操作方法

将用户与角色绑定：

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: read-pods
namespace: default
subjects:
- kind: User # 主体
name: jane # 主体名称
apiGroup: rbac.authorization.k8s.io
roleRef: # 绑定的角色
kind: Role
name: pod-reader # 角色名称
apiGroup: rbac.authorization.k8s.io

认证流程

ServiceAccount（服务账号）简称SA，用于让集群内Pod访问k8s Api。授权方式与kubeconfig方式一样。

示例：为一个服务账号分配只能创建deployment、 daemonset、statefulset的权限

# 创建服务账号

kubectl create serviceaccount cicd-token -n app-team1

# 创建集群角色

kubectl create clusterrole deployment-clusterrole \
--verb=create --resource=deployments,daemonsets,statefulsets

# 将服务账号绑定角色

kubectl create rolebinding cicd-token \
--serviceaccount=app-team1:cicd-token \
--clusterrole=deployment-clusterrole -n app-team1

# 测试服务账号权限

kubectl --as=system:serviceaccount:app-team1:cicd-token \
get pods -n app-team1

以上命令对应yaml文件

apiVersion: v1
kind: ServiceAccount
metadata:name: cicd-tokennamespace: app-team1
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:name: deployment-clusterrole
rules:
- apiGroups: ["apps"]resources: ["deployments","daemonsets","statefulsets"]verbs: ["create"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:name: cicd-tokennamespace: app-team1
roleRef:apiGroup: rbac.authorization.k8s.iokind: ClusterRolename: deployment-clusterrole
subjects:
- kind: ServiceAccountname: cicd-tokennamespace: app-team1

网络访问控制

网络访问控制应用场景

默认情况下， Kubernetes 集群网络没任何网络限制， Pod 可以与任何其他 Pod 通信，在某些场景下就需要进行网络控制，减少网络攻击面，提高安全性，这就会用到网络策略。

网络策略（Network Policy）：是一个K8s资源，用于限制Pod出入流量，提供Pod级别和

Namespace级别网络访问控制。

网络策略的应用场景（偏重多租户下）

• 应用程序间的访问控制，例如项目A不能访问项目B的Pod

• 开发环境命名空间不能访问测试环境命名空间Pod

• 当Pod暴露到外部时，需要做Pod白名单

网络策略概述

podSelector：目标Pod，根据标签选择。
policyTypes：策略类型，指定策略用于入站、出站流量。
Ingress： from是可以访问的白名单，可以来自于IP段、命名空间、 Pod标签等， ports是可以访问的端口。
Egress：这个Pod组可以访问外部的IP段和端口

网络策略工作流程

1、创建Network Policy资源

2、 Policy Controller监控网络策略，同步并通知节点上程序

3、节点上DaemonSet运行的程序从etcd中获取Policy，调用本地Iptables创建防火墙规则

网络访问控制3个案例

案例1：拒绝其他命名空间Pod访问

需求： test命名空间下所有pod可以互相访问，也可以访问其他命名空间Pod，但其他命名空间不能访问test命名空间Pod。

测试：

kubectl run busybox --image=busybox -n test -- sleep 12h
kubectl run web --image=nginx -n test

# 可以访问

kubectl exec busybox -n test -- ping <同命名空间pod IP>

# 不能访问（在default命名空间测试访问test命名空间pod web）

kubectl exec busybox -- ping <test命名空间pod IP>

对应的yaml

案例2：同一个命名空间下应用之间限制访问

需求：将test命名空间携带run=web标签的Pod隔离，只允许携带run=client1标签的Pod访问80端口。

测试：

kubectl run web --image=nginx -n test
kubectl run client1 --image=busybox -n test -- sleep 12h

# 可以访问

kubectl exec client1 -n test -- wget <test命名空间pod IP>

# 不能访问

kubectl exec busybox -- wget <test命名空间pod IP>

对应yaml文件

案例3：只允许指定命名空间中的应用访问

需求：只允许dev命名空间中的Pod访问prod命名空间中的pod 80端口

命名空间打标签：

kubectl label namespace dev name=dev

测试：

kubectl run busybox --image=busybox -n dev -- sleep 12h

# 可以访问

kubectl exec busybox -n dev -- wget <test命名空间pod IP>

# 不可以访问

kubectl exec busybox -- wget <test命名空间pod IP>

对应yaml文件

Kubernetes安全

Kubernetes RBAC授权 Kubernetes 安全框架 K8S安全控制框架主要由下面3个阶段进行控制，每一个阶段都支持插件方式，通过API Server配置来启用插件。1. Authentication（鉴权） K8s Apiserver提供三种客户端身份认证：• H…...

编程日记 2023/2/17 23:14:50

全国进入裁员潮，到底是大厂难混？还是我技不如人？

前言面对裁员，每个人的心态不同。他们有的完全没有料想到自己会被裁，有的却对裁员之事早有准备。大多数人，我想是焦虑失落的吧。 01 “降本增效”，HR怒提裁员刀小默 | 32岁芯片行业人力资源 1月份，身处芯片行业H…...

编程日记 2023/2/17 23:13:42

电子技术——内部电容效应以及MOS与BJT的高频响应模型

电子技术——内部电容效应以及MOS与BJT的高频响应模型耦合和旁路电容决定了放大器的低频响应，同时内部电容效应决定了放大器的高频响应。本节，我们简单简单介绍一下内部电容效应，并且更重要的是如何在小信号模型中模型化内部电容效应。 MOS…...

编程日记 2023/2/17 23:12:34

华为OD机试题 - 出租车计费（JavaScript）

最近更新的博客 2023新华为OD机试题 - 斗地主（JavaScript）2023新华为OD机试题 - 箱子之形摆放（JavaScript）2023新华为OD机试题 - 考古学家（JavaScript）2023新华为OD机试题 - 相同数字的积木游戏 1（JavaScript）2023新华为OD机试题 - 最多等和不相交连续子序列（JavaScri…...

编程日记 2023/2/17 23:11:28

Django框架进阶版

一、Django介绍 1.起源 2005年发布，采用python语言编写的。早期Django主要做新闻和内容管理重量级python web框架，配备了大量组件 2.组件包含组件如下基本配置文件/路由系统 MTV设计模式 Cookies和Session 分页和发邮件 Admin管理后台 3…...

编程日记 2023/2/17 23:10:19

2023美赛F题全部代码+数据+结果数学建模

2023年美赛F题全部思路数据代码都已完成全部内容见链接：https://www.jdmm.cc/file/2708700/ 1.根据文献选的GGDP的指标，发现GGDP与水资源等有关，由此可以筛选出影响GGDP的所有因子，并可以用所有因子利用层次分析法建立评价体…...

编程日记 2023/2/17 23:09:14

Java基础-logback日志使用

日志 1.1 作用： 跟输出语句一样，可以把程序在运行过程中的详细信息都打印在控制台上。利用log日志还可以把这些详细信息保存到文件和数据库中。 1.2 使用步骤： 不是java的，也不是自己写的，是第三方提供…...

编程日记 2023/2/17 23:08:07

kaggle竞赛-宠物受欢迎程度（赛题讲解与数据分析）

比赛官网地址赛题介绍 petfinder是马来西亚领先的动物福利平台宠物网站地址该网站使用可爱指数来排名宠物照片。它分析了图片组成和其他因素，并与数千个宠物档案的表现进行了比较。在这场比赛中，你将分析原始图像和元数据来预测宠物照片的“Pawp…...

编程日记 2023/2/17 23:07:01

Go语言基础知识学习笔记

环境准备下载安装Golang：https://golang.google.cn/dl/ 因为国外下载速度较慢，我们需要配置国内代理 # 开启包管理工具 go env -w GO111MODULEon # 设置代理 go env -w GOPROXYhttps://goproxy.cn,direct # 设置不走 proxy 的私有仓库，多…...

编程日记 2023/2/17 23:05:51

Python3 错误和异常

Python3 错误和异常作为 Python 初学者，在刚学习 Python 编程时，经常会看到一些报错信息，在前面我们没有提及，这章节我们会专门介绍。 Python 有两种错误很容易辨认：语法错误和异常。 Python assert（断…...

编程日记 2023/2/17 23:04:44

程序人生 - 学习和分享

文章目录记于 230217学习安排泛学AI 和未来记于 230217 刚入行时，经常看到技术博客中，博主们分享生活，比如相亲、上班生活，甚至还有人发结婚照。这个栏目通常被称为：程序人生。这个现象已经很久没看到了&#xff0c…...

编程日记 2023/2/17 23:03:38

基于树莓派的智能家居项目整理

一、功能介绍二、设计框图三、实物展示四、程序一、功能介绍硬件：树莓派3B、LD3320语音识别模块、pi 摄像头、继电器组、小灯、火焰传感器、蜂鸣器、电磁锁项目框架： 采用了简单工厂模式的一个设计方式。稳定，拓展性…...

编程日记 2023/2/17 23:02:31

《洛阳冬冷》

——洛阳的冬天太冷，最暖不过你的眼神。 ******* 她拿了个画着几丛竹子的小团扇子一路分花拂柳地往前走，后面一水儿的侍女不敢出声，只得地默默跟着她。她一张脸本来生得就好看，这一怒起来竟然还更加的好看了。此时她走得太急&…...

编程日记 2023/2/17 23:01:22

YOLOv5简介

YOLOv5 一、输入端 1. Mosaic数据增强： CutMix 数据增强：随机生成一个裁剪框Box，裁剪掉A图中的相应位置，然后用B图相应位置的ROI放到A中被裁剪的区域中形成新的样本。采用加权求和的方式计算损失，将A区域中被cut掉的…...

编程日记 2023/2/17 23:00:15

【面向对象语言三大特性之 “继承”】

目录 1.继承的概念及定义 1.1继承的概念 1.2 继承定义 1.2.1定义格式 1.2.2继承关系和访问限定符 1.2.3继承基类成员访问方式的变化 2.基类和派生类对象赋值转换 3.继承中的作用域 4.派生类的默认成员函数 5.继承与友元 6. 继承与静态成员 7.复杂的菱形继承及菱形虚拟…...

编程日记 2023/2/17 22:59:08

0 说明本文基于本地虚拟机从零开始搭建ambari集群 1 前置条件 1.1 本地虚拟机环境节点角色ambari-1ambari-server ambari-agentambari-2ambari-agentambari-3ambari-agent 1.2 安装包 1.3 修改主机名并配置hosts文件 hostnamectl set-hostname ambari-1 hostnamectl se…...

编程日记 2023/2/17 22:56:58

房产|1月全国70城房价出炉！疫情放开后你关心的城市房价有何变化

2023年1月份，70个大中城市中新房销售价格环比上涨城市个数增加；一线城市新房销售价格环比同比转涨、二三线城市环比降势趋缓，二三线城市同比下降。 | 新房/二手房12月-1月环比上涨城市数量变化 70个大中城市中，新房环比上涨城市…...

编程日记 2023/2/17 22:55:51

秒验重新定义“一键登录”

现如今，一般APP在注册登录时，仍然要经历填写用户名、密码、绑定手机号等一系列传统流程，有的人认为可以通过第三方登录避免这些流程，但仍旧要经历手机验证码的环节，而且存在验证码被拦截的风险，短信费用也很…...

编程日记 2023/2/17 22:54:44

ZenBuster：一款功能强大的多线程跨平台URL枚举工具

关于ZenBuster ZenBuster是一款功能强大的多线程跨平台URL枚举工具，该工具基于Python开发，同时还具备暴力破解功能。该工具适用于安全专业人员，可以在渗透测试或CTF比赛中为广大研究人员提供帮助，并收集和目标相关的各种信息。…...

编程日记 2023/2/17 22:53:37

2023年美赛ICM问题E:光污染这题很好做啊！

2023年美赛ICM问题E:光污染这题很好做啊！![在这里插入图片描述](https://img-blog.csdnimg.cn/e918cc6fc9214b53bf4859063bfe56b0.png#pic_center) 我看到DS数模的分析，看似头头是道，实则GouPi不通，我出一个，用于大家…...

编程日记 2023/2/17 22:52:29

装饰模式（Decorator Pattern）重构java邮件发奖系统实战

前言现在我们有个如下的需求，设计一个邮件发奖的小系统， 需求 1.数据验证 → 2. 敏感信息加密 → 3. 日志记录 → 4. 实际发送邮件装饰器模式（Decorator Pattern）允许向一个现有的对象添加新的功能，同时又不改变其…...

编程新知 2025/12/15 19:31:01

通过Wrangler CLI在worker中创建数据库和表

官方使用文档：Getting started Cloudflare D1 docs 创建数据库在命令行中执行完成之后，会在本地和远程创建数据库： npx wranglerlatest d1 create prod-d1-tutorial 在cf中就可以看到数据库： 现在，您的Cloudfla…...

编程新知 2025/12/13 23:30:19

Module Federation 和 Native Federation 的比较

前言 Module Federation 是 Webpack 5 引入的微前端架构方案，允许不同独立构建的应用在运行时动态共享模块。 Native Federation 是 Angular 官方基于 Module Federation 理念实现的专为 Angular 优化的微前端方案。概念解析 Module Federation (模块联邦) Modul…...

编程新知 2025/12/15 10:47:12